Protección de RMS con File Classification Infrastructure (FCI) de Windows Server

Use este artículo para obtener instrucciones y un script para usar el cliente de Azure Information Protection y PowerShell para configurar el Administrador de recursos del servidor de archivos y la infraestructura de clasificación de archivos (FCI).

Esta solución le permite proteger automáticamente todos los archivos de una carpeta en un servidor de archivos que ejecuta Windows Server o proteger automáticamente los archivos que cumplen un criterio específico. Por ejemplo, los archivos que se han clasificado como que contienen información confidencial o delicada. Esta solución se conecta directamente al servicio Azure Rights Management desde Azure Information Protection para proteger los archivos, por lo que debe tener este servicio implementado para su organización.

Nota:

Aunque Azure Information Protection incluye un conector que admite la infraestructura de clasificación de archivos, esa solución solo admite la protección nativa, por ejemplo, archivos de Office.

Para admitir varios tipos de archivos con la infraestructura de clasificación de archivos de Windows Server, debe usar el módulo AzureInformationProtection de PowerShell, tal como se documenta en este artículo. Los cmdlets de Azure Information Protection, como el cliente de Azure Information Protection, admiten la protección genérica, así como la protección nativa, lo que significa que los tipos de archivo distintos de los documentos de Office se pueden proteger. Para obtener más información, consulte Tipos de archivos admitidos por el cliente de Azure Information Protection en la guía de administración del cliente de Azure Information Protection.

Las instrucciones que siguen son para Windows Server 2012 R2 o Windows Server 2012. Si ejecuta otras versiones compatibles de Windows, es posible que tenga que adaptar algunos de los pasos para ver las diferencias entre la versión del sistema operativo y la que se documenta en este artículo.

Requisitos previos para la protección de Azure Rights Management con FCI de Windows Server

Requisitos previos para estas instrucciones:

• En cada servidor de archivos donde ejecutará el Administrador de recursos de archivos con la infraestructura de clasificación de archivos:

  • Ha instalado el Administrador de recursos del servidor de archivos como uno de los servicios de rol para el rol Servicios de archivos.

  • Ha identificado una carpeta local que contiene archivos que se van a proteger con Rights Management. Por ejemplo, C:\FileShare.

  • Ha instalado el módulo de PowerShell AzureInformationProtection y ha configurado los requisitos previos para que este módulo se conecte al servicio Azure Rights Management.

    El módulo de PowerShell AzureInformationProtection se incluye con el cliente de Azure Information Protection. Para obtener instrucciones de instalación, consulte Instalación del cliente de Azure Information Protection para los usuarios desde la guía de administración de Azure Information Protection. Si es necesario, puede instalar solo el módulo de PowerShell mediante el parámetro PowerShellOnly=true.

    Los requisitos previos para usar este módulo de PowerShell incluyen la activación del servicio Azure Rights Management, la creación de una entidad de servicio y la edición del registro si el inquilino está fuera de Norteamérica. Antes de iniciar las instrucciones de este artículo, asegúrese de que tiene valores para BposTenantId, AppPrincipalId y Clave simétrica, tal como se documenta en estos requisitos previos.

  • Si desea cambiar el nivel predeterminado de protección (nativo o genérico) para extensiones de nombre de archivo específicas, ha editado el registro como se describe en la sección Cambio del nivel de protección predeterminado de archivos de la guía de administración.

  • Tiene una conexión a Internet y ha configurado las opciones del equipo si son necesarias para un servidor proxy. Por ejemplo: netsh winhttp import proxy source=ie

• Ha sincronizado las cuentas de usuario de Active Directory local con el identificador de Microsoft Entra o Microsoft 365, incluidas sus direcciones de correo electrónico. Esto es necesario para todos los usuarios que puedan necesitar acceder a los archivos después de que estén protegidos por FCI y el servicio Azure Rights Management. Si no realiza este paso (por ejemplo, en un entorno de prueba), es posible que los usuarios no puedan acceder a estos archivos. Si necesita más información sobre este requisito, consulte Preparación de usuarios y grupos para Azure Information Protection.

• Este escenario no admite plantillas de departamento, por lo que debe usar una plantilla que no está configurada para un ámbito o usar el cmdlet Set-AipServiceTemplateProperty y el parámetro EnableInLegacyApps.

Instrucciones para configurar la FCI del administrador de recursos del servidor de archivos para la protección de Azure Rights Management

Siga estas instrucciones para proteger automáticamente todos los archivos de una carpeta mediante un script de PowerShell como una tarea personalizada. Realice estos procedimientos en este orden:

1. Guardar el script de PowerShell al "stage"

2. Creación de una propiedad de clasificación para Rights Management (RMS)

3. Crear una regla de clasificación (Clasificar para RMS)

4. Configuración de la programación de clasificación

5. Crear una tarea de administración de archivos personalizada (Proteger archivos con RMS)

6. Probar la configuración mediante la ejecución manual de la regla y la tarea

Al final de estas instrucciones, todos los archivos de la carpeta seleccionada se clasificarán con la propiedad personalizada de RMS y, a continuación, estos archivos se protegerán mediante Rights Management. Para una configuración más compleja que protege de forma selectiva algunos archivos y no otros, puede crear o usar una regla y una propiedad de clasificación diferentes, con una tarea de administración de archivos que protege solo esos archivos.

Tenga en cuenta que si realiza cambios en la plantilla de Rights Management que usa para FCI, la cuenta de equipo que ejecuta el script para proteger los archivos no obtiene automáticamente la plantilla actualizada. Para ello, en el script, busque el comando convertir en comentario Get-RMSTemplate -Force y quite el carácter de comentario #. Cuando se descarga la plantilla actualizada (el script se ha ejecutado al menos una vez), puede comentar este comando adicional para que las plantillas no se descarguen innecesariamente cada vez. Si los cambios en la plantilla son lo suficientemente importantes como para volver a proteger los archivos en el servidor de archivos, puede hacerlo de forma interactiva ejecutando el cmdlet Protect-RMSFile con una cuenta que tenga los derechos de uso Exportar o Control total de los archivos. También debe ejecutar Get-RMSTemplate -Force si publica una nueva plantilla que desea usar para FCI.

Guarde el script Windows PowerShell

1. Copie el contenido del script de Windows PowerShell para la protección de Azure RMS mediante el Administrador de recursos del servidor de archivos. Pegue el contenido del script y asigne al archivo el nombre RMS-Protect-FCI.ps1 en su propio equipo.

2. Revise el script y realice los cambios siguientes:

   • Busque la siguiente cadena y reemplácela por su propio AppPrincipalId que use con el cmdlet Set-RMSServerAuthentication para conectarse al servicio Azure Rights Management:

     <enter your AppPrincipalId here>
     

     Por ejemplo, el script podría tener el siguiente aspecto:

     [Parameter(Mandatory = $false)]

     [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

   • Busque la siguiente cadena y reemplácela por su propia clave simétrica que use con el cmdlet Set-RMSServerAuthentication para conectarse al servicio Azure Rights Management:

     <enter your key here>
     

     Por ejemplo, el script podría tener el siguiente aspecto:

     [Parameter(Mandatory = $false)]

     [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

   • Busque la siguiente cadena y reemplácela por su propio BposTenantId (id. de inquilino) que use con el cmdlet Set-RMSServerAuthentication para conectarse al servicio Azure Rights Management:

     <enter your BposTenantId here>
     

     Por ejemplo, el script podría tener el siguiente aspecto:

     [Parameter(Mandatory = $false)]

     [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

3. Firma de los scripts Si no firma el script (más seguro), debe configurar Windows PowerShell en los servidores que lo ejecutan. Por ejemplo, ejecute una sesión de Windows PowerShell con la opción Ejecutar como administrador y escriba: Set-ExecutionPolicy RemoteSigned. Sin embargo, esta configuración permite ejecutar todos los scripts no firmados cuando se almacenan en este servidor (menos seguro).

   Para más información acerca de la firma de scripts de Windows PowerShell, consulte about_Signing en la biblioteca de documentación de PowerShell.

4. Guarde el archivo localmente en cada servidor de archivos que ejecute el Administrador de recursos de archivos con la infraestructura de clasificación de archivos. Por ejemplo, guarde el archivo en C:\RMS-Protection. Si usa una ruta de acceso o un nombre de carpeta diferentes, elija una ruta de acceso y una carpeta que no incluya espacios. Proteja este archivo mediante permisos NTFS para que los usuarios no autorizados no puedan modificarlo.

Ya está listo para empezar a configurar el Administrador de recursos del servidor de archivos.

Creación de una propiedad de clasificación para Rights Management (RMS)

• En el Administrador de recursos del servidor de archivos, Administración de clasificaciones, cree una nueva propiedad local:

  • Nombre: Tipo RMS

  • Descripción: Tipo Protección Rights Management

  • Tipo depropiedad: seleccione Sí/No.

  • Valor: seleccione Sí.

Ahora podemos crear una regla de clasificación que use esta propiedad.

Crear una regla de clasificación (Clasificar para RMS)

• Cree una nueva regla de clasificación:

  • En la pestaña General:

    • Nombre: Tipo Clasificar para RMS

    • Habilitado: mantenga el valor predeterminado, que es que esta casilla está activada.

    • Descripción: Tipo Clasificar todos los archivos de la carpeta <nombre carpeta> para Rights Management.

      Reemplace <nombre carpeta nombre> de la carpeta por el nombre de la carpeta elegida. Por ejemplo, Clasificar todos los archivos de la carpeta C:\FileShare para Rights Management

    • Ámbito: agregue la carpeta elegida. Por ejemplo, C:\FileShare.

      No active la casilla

  • En la pestaña Clasificación:

  • Método de clasificación: Seleccionar Clasificador de carpetas

  • Nombre de propiedad: seleccione RMS.

  • Valor de propiedad: seleccione Sí.

Aunque puede ejecutar las reglas de clasificación manualmente, para las operaciones en curso, quiere que esta regla se ejecute según una programación para que los nuevos archivos se clasifiquen con la propiedad RMS.

Configuración de la programación de clasificación

• En la pestaña Clasificación automática:

  • Habilitar programación fija: active esta casilla.

  • Configure la programación para que se ejecuten todas las reglas de clasificación, que incluye nuestra nueva regla para clasificar archivos con la propiedad RMS.

  • Permitir la clasificación continua para los nuevos archivos: active esta casilla para que se clasifiquen los nuevos archivos.

  • Opcional: realice cualquier otro cambio que desee, como configurar opciones para informes y notificaciones.

Ahora que ha completado la configuración de clasificación, está listo para configurar una tarea de administración para aplicar la protección RMS a los archivos.

Crear una tarea de administración de archivos personalizada (Proteger archivos con RMS)

• En Tareas de administración de archivos, cree una nueva tarea de administración de archivos:

  • En la pestaña General:

    • Nombre de tarea: escriba Proteger archivos con RMS.

    • Mantenga activada la casilla Habilitar.

    • Descripción: escriba Proteger archivos en el <nombre carpeta> con Rights Management y una plantilla mediante un script de Windows PowerShell.

      Reemplace <nombre carpeta> por el nombre de la carpeta elegida. Por ejemplo, Proteger archivos en C:\FileShare con Rights Management y una plantilla mediante un script de Windows PowerShell

    • Ámbito: seleccione la carpeta elegida. Por ejemplo, C:\FileShare.

      No active la casilla

  • En la pestaña Acción:

    • Tipo: seleccione Personalizado.

    • Ejecutable: especifique lo siguiente:

      C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      

      Si Windows no está en la unidad C:, modifique esta ruta de acceso o vaya a este archivo.

    • Argumento: especifique lo siguiente y proporcione sus propios valores para la <ruta de acceso> y el <identificador de plantilla>:

      -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail '[Source File Owner Email]'"
      

      Por ejemplo, si copió el script en C:\RMS-Protection y el identificador de plantilla que identificó de los requisitos previos es e6ee2481-26b9-45e5-b34a-f744eacd53b0, especifique lo siguiente:

      -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail '[Source File Owner Email]'"

      En este comando, [Ruta de acceso del archivo de origen] y [Correo electrónico del propietario del archivo de origen] son variables específicas de FCI, por lo que escríbalas exactamente como aparecen en el comando anterior. FCI usa la primera variable para especificar automáticamente el archivo identificado en la carpeta y la segunda variable es para que FCI recupere automáticamente la dirección de correo electrónico del propietario con nombre del archivo identificado. Este comando se repite para cada archivo de la carpeta, que en nuestro ejemplo, es cada archivo de la carpeta C:\FileShare que, además, tiene RMS como una propiedad de clasificación de archivos.

      Nota:

      El parámetro y valor -OwnerMail [Correo electrónico del propietario del archivo original] garantiza que el propietario original del archivo obtenga la titularidad de Rights Management del archivo una vez protegido. Esta configuración garantiza que el propietario del archivo original tenga todos los derechos de Rights Management en sus propios archivos. Cuando un usuario de dominio crea archivos, la dirección de correo electrónico se recupera automáticamente de Active Directory mediante el nombre de cuenta de usuario en la propiedad Owner del archivo. Para ello, el servidor de archivos debe estar en el mismo dominio o dominio de confianza que el usuario.

      Siempre que sea posible, asigne los propietarios originales a documentos protegidos para asegurarse de que estos usuarios sigan teniendo control total sobre los archivos que crearon. Sin embargo, si usa la variable [Correo electrónico del propietario del archivo de origen] como en el comando anterior y un archivo no tiene un usuario de dominio definido como propietario (por ejemplo, se usó una cuenta local para crear el archivo, por lo que el propietario muestra SYSTEM), se produce un error en el script.

      En el caso de los archivos que no tienen un usuario de dominio como propietario, puede copiar y guardar estos archivos usted mismo como usuario de dominio, de modo que se convierta en el propietario de estos archivos. O bien, si tiene permisos, puede cambiar manualmente el propietario. O bien, puede proporcionar una dirección de correo electrónico específica (como su propia o una dirección de grupo para el departamento de TI) en lugar de la variable [Correo electrónico del propietario del archivo de origen], lo que significa que todos los archivos que protege mediante este script usan esta dirección de correo electrónico para definir el nuevo propietario.

  • Ejecutar comando como: seleccione sistema local

  • En la pestaña Condiciones,

    • Propiedad: seleccione RMS

    • Operador: Seleccionar Es igual a.

    • Valor: seleccione Sí.

  • En la pestaña Programación:

    • Ejecutar en: configure la programación preferida.

      Deje tiempo suficiente para que se complete el script. Aunque esta solución protege todos los archivos de la carpeta, el script se ejecuta una vez para cada archivo, cada vez. Aunque esto lleva más tiempo que proteger todos los archivos al mismo tiempo, lo que admite el cliente de Azure Information Protection, esta configuración archivo por archivo para FCI es más eficaz. Por ejemplo, los archivos protegidos pueden tener propietarios diferentes (conservar el propietario original) al usar la variable [Correo electrónico del propietario del archivo de origen] y esta acción de archivo por archivo es necesaria si posteriormente cambia la configuración para proteger de forma selectiva archivos en lugar de todos los archivos de una carpeta.

    • Ejecutar continuamente en nuevos archivos: active esta casilla.

Probar la configuración mediante la ejecución manual de la regla y la tarea

1. Ejecute la regla de clasificación:

   1. Haga clic en Reglas de clasificación>Ejecutar clasificación con todas las reglas ahora.

   2. Haz clic en Esperar a que termine la clasificación y, luego, haz clic en Aceptar.

2. Espere a que se cierre el cuadro de diálogo Clasificación en ejecución y, a continuación, vea los resultados en el informe mostrado automáticamente. Debería ver 1 para el campo Propiedades y el número de archivos de la carpeta. Confirme mediante Explorador de archivos y compruebe las propiedades de los archivos en la carpeta elegida. En la pestaña Clasificación, debería ver RMS como un nombre de propiedad y Sí para su valor.

3. Ejecute la tarea de administración de archivos:

   1. Haga clic en Tareas de administración de archivos>Proteger archivos con RMS>Ejecutar tarea de administración de archivos ahora.

   2. Haga clic en Esperar a que finalice la tarea y, a continuación, en Aceptar.

4. Espere a que se cierre el cuadro de diálogo Ejecutar tarea de administración de archivos y, a continuación, vea los resultados en el informe mostrado automáticamente. Debería ver el número de archivos que se encuentran en la carpeta elegida en el campo Archivos. Confirme que los archivos de la carpeta elegida ahora están protegidos por Rights Management. Por ejemplo, si la carpeta elegida es C:\FileShare, escriba el siguiente comando en una sesión de Windows PowerShell y confirme que ningún archivo tiene el estado Desprotegido:

   foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}
   

   Sugerencia

   Algunas sugerencias para la solución de problemas:

   • Si ve 0 en el informe, en lugar del número de archivos de la carpeta, esta salida indica que el script no se ejecutó. En primer lugar, compruebe el propio script cargándolo en Windows PowerShell ISE para validar el contenido del script e intente ejecutarlo una vez en la misma sesión de PowerShell, para ver si se muestran errores. Si no se han especificado argumentos, el script intenta conectarse y autenticarse en el servicio Azure Rights Management.

     • Si el script informa de que no se pudo conectar al servicio Azure Rights Management (Azure RMS), compruebe los valores que muestra para la cuenta de entidad de servicio, que especificó en el script. Para más información sobre cómo crear esta cuenta de entidad de servicio, consulte Requisito previo 3: Para proteger o desproteger archivos sin interacción desde la guía de administración del cliente de Azure Information Protection.
     • Si el script informa de que podría conectarse a Azure RMS, compruebe que puede encontrar la plantilla especificada ejecutando Get-RMSTemplate directamente desde Windows PowerShell en el servidor. Debería ver la plantilla que especificó devuelta en los resultados.

   • Si el script se ejecuta en Windows PowerShell ISE sin errores, intente ejecutarlo como se indica a continuación desde una sesión de PowerShell, especificando un nombre de archivo para proteger y sin el parámetro -OwnerEmail:

     powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"
     

     • Si el script se ejecuta correctamente en esta sesión de Windows PowerShell, compruebe las entradas de Executive y Argument en la acción de la tarea de administración de archivos. Si ha especificado -OwnerEmail [Correo electrónico del propietario de archivo de origen], intente quitar este parámetro.

       Si la tarea de administración de archivos funciona correctamente sin -OwnerEmail [Correo electrónico del propietario de archivo de origen], compruebe que los archivos desprotegidos tienen un usuario de dominio que aparece como propietario del archivo, en lugar de SYSTEM. Para realizar esta comprobación, use la pestaña Seguridad de las propiedades del archivo y, a continuación, haga clic en Avanzadas. El valor Propietario se muestra inmediatamente después del nombre del archivo. Además, compruebe que el servidor de archivos está en el mismo dominio o en un dominio de confianza para buscar la dirección de correo electrónico del usuario desde Active Directory Domain Services.

   • Si ve el número correcto de archivos en el informe, pero los archivos no están protegidos, intente proteger los archivos manualmente mediante el cmdlet Protect-RMSFile para ver si se muestran errores.

Cuando haya confirmado que estas tareas se ejecutan correctamente, puede cerrar el Administrador de recursos de archivos. Los nuevos archivos se clasifican y protegen automáticamente cuando se ejecutan las tareas programadas.

Acción necesaria si realiza cambios en la plantilla de Rights Management

Si realiza cambios en la plantilla de Rights Management a la que hace referencia el script, la cuenta de equipo que ejecuta el script para proteger los archivos no obtiene automáticamente la plantilla actualizada. En el script, busque el comando comentado Get-RMSTemplate -Force en la función Set-RMSConnection y quite el carácter de comentario al principio de la línea. La próxima vez que se ejecute el script, se descarga la plantilla actualizada. Para optimizar el rendimiento para que las plantillas no se descarguen innecesariamente, puede volver a comentar esta línea.

Si los cambios en la plantilla son lo suficientemente importantes como para volver a proteger los archivos en el servidor de archivos, puede hacerlo de forma interactiva ejecutando el cmdlet Protect-RMSFile con una cuenta que tenga los derechos de uso Exportar o Control total de los archivos.

Ejecute también esta línea en el script si publica una nueva plantilla que desea usar para FCI y cambia el identificador de plantilla en la línea de argumentos de la tarea de administración de archivos personalizada.

Modificación de las instrucciones para proteger los archivos de forma selectiva

Cuando tenga las instrucciones anteriores funcionando, es fácil modificarlas para una configuración más sofisticada. Por ejemplo, proteja los archivos mediante el mismo script, pero solo para los archivos que contienen información de identificación personal, y quizás seleccione una plantilla que tenga derechos más restrictivos.

Para realizar esta modificación, use una de las propiedades de clasificación integradas (por ejemplo, Información de identificación personal) o cree su propia propiedad. A continuación, cree una nueva regla que use esta propiedad. Por ejemplo, puede seleccionar el clasificador de contenido, elegir la propiedad Información de identificación personal con un valor de Alto y configurar el patrón de cadena o expresión que identifica el archivo que se va a configurar para esta propiedad (como la cadena "Fecha de nacimiento").

Ahora todo lo que necesita hacer es crear una nueva tarea de administración de archivos que use el mismo script, pero quizás con una plantilla diferente y configurar la condición para la propiedad de clasificación que acaba de configurar. Por ejemplo, en lugar de la condición que configuramos anteriormente (propiedad RMS, Igual, Sí), seleccione la propiedad Información de identificación personal con el valor Operador establecido en Igual y el Valor de Alto.

Pasos siguientes

Seguramente se pregunte: ¿Cuál es la diferencia entre FCI de Windows Server y el analizador de Azure Information Protection?