Configuración de la colaboración con documentos segura mediante Azure Information ProtectionConfiguring secure document collaboration by using Azure Information Protection

Se aplica a: Azure Information Protection y Office 365Applies to: Azure Information Protection, Office 365

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente de Azure Information Protection (clásico) y la Administración de etiquetas en Azure Portal quedarán en desuso a partir del 31 de marzo de 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Este intervalo de tiempo permite que todos los clientes de Azure Information Protection actuales cambien a nuestra solución de etiquetado unificada mediante la plataforma de etiquetado unificado de Microsoft Information Protection.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Obtenga más información en el aviso de desuso oficial.Learn more in the official deprecation notice.

Al utilizar Azure Information Protection, es posible proteger los documentos sin renunciar a la colaboración con usuarios autorizados.When you use Azure Information Protection, you can protect your documents without sacrificing collaboration for authorized users. La mayoría de los documentos que un usuario crea y, a continuación, comparte con otros usuarios para ver y editar serán documentos de Office de Word, Excel y PowerPoint.The majority of documents that one user creates and then shares with others to view and edit will be Office documents from Word, Excel, and PowerPoint. Estos documentos admiten la protección nativa, lo que significa que además de las características de autorización y cifrado relativas a la protección, admiten también la restricción de permisos para llevar a cabo un control más minucioso.These documents support native protection, which means that in addition to the protection features of authorization and encryption, they also support restricted permission for more fine-grained control.

Estos permisos se denominan derechos de uso, e incluyen permisos como ver, editar o imprimir.These permissions are called usage rights, and include permissions such as view, edit, print. Puede definir derechos de uso individuales cuando un documento está protegido, o puede definir una agrupación de derechos de uso, lo que se denomina niveles de permisos.You can define individual usage rights when a document is protected, or you can define a grouping of usage rights, called permission levels. Los niveles de permisos facilitan la selección de derechos de uso que normalmente se utilizan en conjunto, como revisor o coautor.Permission levels make it easier to select usage rights that are typically used together, for example, Reviewer and Co-Author. Para obtener más información sobre los derechos de uso y los niveles de permisos, consulte configuración de los derechos de uso para Azure Information Protection.For more information about usage rights and permission levels, see Configuring usage rights for Azure Information Protection.

Al configurar estos permisos, también puede especificar a qué usuarios están destinados:When you configure these permissions, you can specify which users they are for:

  • Para los usuarios de su propia organización o de otra organización que usa Azure Active Directory: puede especificar cuentas de usuario de Azure AD, grupos de Azure AD o todos los usuarios de esa organización.For users in your own organization or another organization that uses Azure Active Directory: You can specify Azure AD user accounts, Azure AD groups, or all users in that organization.

  • Para los usuarios que no tienen una cuenta de Azure Active Directory: especifique una dirección de correo electrónico que se usará con una cuenta Microsoft.For users who do not have an Azure Active Directory account: Specify an email address that will be used with a Microsoft account. Esta cuenta puede existir ya o bien los usuarios pueden crearla en el momento en que abran el documento protegido.This account can already exist, or users can create it at the time they open the protected document.

    Para abrir documentos con una cuenta de Microsoft, los usuarios deben usar aplicaciones de Office 365 (Hacer clic y ejecutar).To open documents with a Microsoft account, users must use Office 365 apps (Click-to-Run). Otras ediciones y versiones de Office todavía no admiten la apertura de documentos protegidos de Office con una cuenta Microsoft.Other Office editions and versions do not yet support opening Office protected documents with a Microsoft account.

  • Para cualquier usuario autenticado: esta opción es adecuada para cuando no es necesario controlar quién tiene acceso al documento protegido, siempre que el usuario se pueda autenticar.For any authenticated user: This option is suitable for when you don't need to control who accesses the protected document, providing the user can be authenticated. La autenticación puede completarse mediante Azure AD, una cuenta Microsoft o un proveedor social federado o un código de acceso de un solo uso cuando el contenido está protegido por las nuevas funcionalidades de Office 365 Message Encryption.The authentication can be by Azure AD, by using a Microsoft account, or even a federated social provider or one-time passcode when the content is protected by the new capabilities of Office 365 Message Encryption.

Como administrador, puede configurar una etiqueta de Azure Information Protection para aplicar los permisos y los usuarios autorizados.As an administrator, you can configure an Azure Information Protection label to apply the permissions and authorized users. Esta configuración facilita en gran medida a los usuarios y otros administradores la aplicación de la configuración de protección adecuada, ya que basta con aplicar la etiqueta sin tener que especificar los detalles.This configuration makes it very easy for users and other administrators to apply the correct protection settings, because they simply apply the label without having to specify any details. En las secciones siguientes se proporciona un tutorial de ejemplo para proteger un documento que admite la colaboración segura con usuarios internos y externos.The following sections provide an example walk through to protect a document that supports secure collaboration with internal and external users.

Ejemplo de configuración para una etiqueta a fin aplicar una protección que admite la colaboración interna y externaExample configuration for a label to apply protection to support internal and external collaboration

En este ejemplo se explica cómo configurar una etiqueta existente para aplicar la protección a fin de que los usuarios de su organización puedan colaborar en documentos con todos los usuarios de otra organización que tenga Office 365 o Azure AD, un grupo de otra organización que tenga Office 365 o Azure AD y un usuario que no tenga una cuenta de Azure AD y, en su lugar, utilice su dirección de correo electrónico de Gmail.This example walks through configuring an existing label to apply protection so that users from your organization can collaborate on documents with all users from another organization that has Office 365 or Azure AD, a group from a different organization that has Office 365 or Azure AD, and a user who doesn't have an account in Azure AD and instead will use their Gmail email address.

Dado que el escenario restringe el acceso a usuarios específicos, no incluye la configuración para todos los usuarios autenticados.Because the scenario restricts access to specific people, it does not include the setting for any authenticated users. Para obtener un ejemplo de cómo configurar una etiqueta con esta configuración, consulte el Ejemplo 5: Etiqueta que cifra el contenido pero no limita el acceso a este.For an example of how you can configure a label with this setting, see Example 5: Label that encrypts content but doesn't restrict who can access it.

  1. Seleccione una etiqueta que ya esté en la directiva global o una directiva con ámbito.Select your label that's already in the global policy or a scoped policy. En el panel Protección, asegúrese de que Azure (clave de nube) esté seleccionado.On the Protection pane, make sure Azure (cloud key) is selected.

  2. Asegúrese de que Establecer permisos esté seleccionado y seleccione Agregar permisos.Make sure Set permissions is selected, and select Add permissions.

  3. En el panel Agregar permisos:On the Add permissions pane:

    • Para el grupo interno: seleccione Examinar directorio para seleccionar el grupo, que debe estar habilitado para correo electrónico.For your internal group: Select Browse directory to select the group, which must be email-enabled.

    • Para todos los usuarios de la primera organización : seleccione Escribir detalles y escriba el nombre de un dominio en el inquilino de la organización.For all users in the first external organization: Select Enter details and type the name of a domain in the organization's tenant. Por ejemplo, fabrikam.com.For example, fabrikam.com.

    • Para el grupo de la segunda organización externa: aún en la pestaña Escribir detalles, escriba la dirección de correo electrónico del grupo en el inquilino de la organización.For the group in the second external organization: Still on the Enter details tab, type the email address of the group in the organization's tenant. Por ejemplo, sales@contoso.com.For example, sales@contoso.com.

    • Para el usuario que no tiene una cuenta de Azure AD: aún en la pestaña Escribir detalles, escriba la dirección de correo electrónico del usuario.For the user who doesn't have an Azure AD account: Still on the Enter details tab, type the user's email address. Por ejemplo, bengi.turan@gmail.com.For example, bengi.turan@gmail.com.

  4. Para conceder los mismos permisos a todos los usuarios: para Elección de permisos a partir de valores predeterminados, seleccione Copropietario, Coautor, Revisor o Personalizado para seleccionar los permisos que quiera conceder.To grant the same permissions to all these users: For Choose permissions from preset, select Co-Owner, Co-Author, Reviewer, or Custom to select the permissions that you want to grant.

    Por ejemplo, los permisos configurados podrían ser similares a lo siguiente:For example, your configured permissions might look similar to the following:

    Configuración de permisos para colaborar de forma segura

  5. Haga clic en Aceptar en el panel Agregar permisos.Click OK on the Add permissions pane.

  6. En el panel protección , haga clic en Aceptar.On the Protection pane, click OK.

  7. En el panel Etiqueta, seleccione Guardar.On the Label pane, select Save.

Aplicación de la etiqueta que admite la colaboración seguraApplying the label that supports secure collaboration

Ahora que se ha configurado esta etiqueta, se puede aplicar a los documentos de varias maneras, como las siguientes:Now that this label is configured, it can be applied to documents in a number of ways that include the following:

Diferentes formas de aplicar la etiquetaDifferent ways to apply the label Más informaciónMore information
Un usuario selecciona manualmente la etiqueta cuando se crea el documento en su aplicación de Office.A user manually selects the label when the document is created in their Office application. Los usuarios seleccionan la etiqueta del botón Proteger en la cinta de Office, o en la barra de Azure Information Protection.Users select the label from the Protect button on the Office ribbon, or from the Azure Information Protection bar.
Se pedirá a los usuarios que seleccionen una etiqueta cuando se guarde un nuevo documento.Users are prompted to select a label when a new document is saved. Ha configurado un valor de directiva de Azure Information Protection denominado All documents and emails must have a label (Todos los documentos y correos electrónicos deben tener una etiqueta).You've configured the Azure Information Protection policy setting named All documents and emails must have a label.
Un usuario comparte el documento por correo electrónico y selecciona manualmente la etiqueta en Outlook.A user shares the document by email and manually selects the label in Outlook. Los usuarios seleccionan la etiqueta del botón Proteger en la cinta de Office, o en la barra de Azure Information Protection, y el documento adjunto se protege automáticamente con la misma configuración.Users select the label from the Protect button on the Office ribbon, or from the Azure Information Protection bar, and the attached document is automatically protected with the same settings.
Un administrador aplica la etiqueta al documento mediante el uso de PowerShell.An administrator applies the label to the document by using PowerShell. Use el cmdlet Set-AIPFileLabel para aplicar la etiqueta a un documento específico o a todos los documentos de una carpeta.Use the Set-AIPFileLabel cmdlet to apply the label to a specific document or all documents in a folder.
Además, ha configurado la etiqueta para aplicar la clasificación automática que ahora se puede aplicar mediante el examen de Azure Information Protection, o mediante PowerShell.You have additionally configured the label to apply automatic classification that can now be applied by using the Azure Information Protection scanner, or PowerShell. Vea Configuración de las condiciones para la clasificación automática y recomendada en Azure Information Protection.See How to configure conditions for automatic and recommended classification for Azure Information Protection.

Para completar este tutorial, aplique manualmente la etiqueta cuando cree el documento en su aplicación de Office:To complete this walkthrough, manually apply the label when you create the document in your Office application:

  1. En un equipo cliente, si ya tiene abierta su aplicación de Office, primero ciérrela y vuelva a abrirla para obtener los últimos cambios de directiva que incluyen la etiqueta recién configurada.On a client computer, if you already have your Office application open, first close and reopen it to get the latest policy changes that include your newly configured label.

  2. Aplique la etiqueta a un documento y guárdela.Apply the label to a document, and save it.

Comparta el documento protegido adjuntándolo a un correo electrónico, y envíelo a las personas que haya autorizado a modificar el documento de envío.Share the protected document by attaching it to an email, and send it to the people you authorized to edit the document.

Apertura y modificación del documento protegidoOpening and editing the protected document

Cuando los usuarios a los que haya autorizado abran el documento para su edición, este se abre con un banner informativo que les informa de que los permisos están restringidos.When users that you authorized open the document for editing, the document opens with an information banner that informs them that permissions are restricted. Por ejemplo:For example:

Banner informativo de ejemplo sobre permisos de Azure Information Protection

Si seleccionan el botón Ver permiso, verán los permisos que tienen.If they select the View Permission button, they see the permissions that they have. En el ejemplo siguiente, el usuario puede ver y editar el documento:In the following example, the user can view and edit the document:

Cuadro de diálogo de ejemplo sobre permisos de Azure Information Protection

Nota: Si el documento se abre por usuarios externos que también usan Azure Information Protection, la aplicación de Office no muestra la etiqueta de clasificación para el documento, aunque permanecen las marcas visuales de la etiqueta.Note: If the document is opened by external users who are also using Azure Information Protection, the Office application does not display your classification label for the document, although any visual markings from the label remain. En su lugar, los usuarios externos pueden aplicar su propia etiqueta en consonancia con la taxonomía de clasificación de su organización.Instead, external users can apply their own label in line with their organization's classification taxonomy. Si estos usuarios externos le devuelven a continuación el documento editado, Office muestra la etiqueta de clasificación original cuando vuelva a abrir el documento.If these external users then send back the edited document to you, Office displays your original classification label when you reopen the document.

Antes de que el documento protegido se abra, tiene lugar uno de los siguientes flujos de autenticación:Before the protected document opens, one of the following authentication flows happen:

  • En el caso de los usuarios que tienen una cuenta de Azure AD, estos usan sus credenciales de Azure AD para autenticarse mediante Azure AD y el documento se abre.For the users who have an Azure AD account, they use their Azure AD credentials to be authenticated by Azure AD, and the document opens.

  • En el caso de los usuarios que no tienen una cuenta de Azure AD, si no han iniciado sesión en Office con una cuenta que tenga permisos para abrir el documento, ven la página Cuentas.For the user who doesn't have an Azure AD account, if they are not signed in to Office with an account that has permissions to open the document, they see the Accounts page.

    En la página Cuentas, seleccione Agregar cuenta:On the Accounts page, select Add Account:

    Adición de una cuenta Microsoft para abrir el documento protegido

    En la página Iniciar sesión, seleccione Crear unoOn the Sign in page, select Create one! y siga las indicaciones para crear una nueva cuenta Microsoft con la dirección de correo electrónico que se usó para conceder los permisos:and follow the prompts to create a new Microsoft account with the email address that was used to grant the permissions:

    Creación de una cuenta Microsoft para abrir el documento protegido

    Cuando se crea la nueva cuenta Microsoft, la cuenta local cambia a esta nueva cuenta de Microsoft y el usuario puede entonces abrir el documento.When the new Microsoft account is created, the local account switches to this new Microsoft account and the user can then open the document.

Escenarios admitidos para abrir documentos protegidosSupported scenarios for opening protected documents

En la siguiente tabla se resumen los distintos métodos de autenticación que se admiten para ver y editar documentos protegidos.The following table summaries the different authentication methods that are supported for viewing and editing protected documents.

Además, los siguientes escenarios admiten la visualización de documentos:In addition, the following scenarios support viewing documents:

  • El visor de Azure Information Protection para Windows, y para iOS y Android, puede abrir archivos mediante una cuenta Microsoft.The Azure Information Protection viewer for Windows, and for iOS and Android can open files by using a Microsoft account.

  • Un explorador puede abrir archivos adjuntos protegidos cuando se usan proveedores sociales y códigos de acceso de un solo uso para la autenticación con Exchange Online y las nuevas funcionalidades de Office 365 Message Encryption.A browser can open protected attachments when social providers and one-time passcodes are used for authentication with Exchange Online and the new capabilities from Office 365 Message Encryption.

Plataformas para ver y editar documentos:Platforms for viewing and editing documents:
Word, Excel, PowerPointWord, Excel, PowerPoint
Método de autenticación:Authentication method:
Azure ADAzure AD
Método de autenticación:Authentication method:
Cuenta de MicrosoftMicrosoft account
WindowsWindows [1]Yes [1] [2]Yes [2]
iOSiOS [1]Yes [1] NoNo
AndroidAndroid [1]Yes [1] NoNo
MacOSMacOS [1]Yes [1] NoNo
Nota al pie 1Footnote 1

Admite cuentas de usuario, grupos habilitados para correo electrónico, todos los miembros.Supports user accounts, email-enabled groups, all members. Las cuentas de usuario y los grupos habilitados para correo electrónico pueden incluir las cuentas de invitado.User accounts and email-enabled groups can include guest accounts. Todos los miembros excluyen las cuentas de invitado.All members exclude guest accounts.

Nota al pie 2Footnote 2

Compatible actualmente solo con aplicaciones de Office 365 (Hacer clic y ejecutar).Currently supported by Office 365 apps (Click-to-Run) only.

Pasos siguientesNext steps

Consulte otras configuraciones de ejemplo de etiquetas para aplicar la protección a los escenarios comunes.See other example configurations for labels to apply protection for common scenarios. Este artículo también contiene información más detallada acerca de la configuración de la protección.This article also contains more details about the protection settings.

Para obtener más información sobre las otras opciones y parámetros que puede configurar para la etiqueta, vea Configuración de la directiva de Azure Information Protection.For more information about the other options and settings that you can configure for your label, see Configuring Azure Information Protection policy.

La etiqueta que se configuró en este artículo también crea una plantilla de protección con el mismo nombre.The label that was configured in this article also creates a protection template by the same name. Si tiene aplicaciones y servicios que se integran con plantillas de protección de Azure Information Protection, pueden aplicar esta plantilla.If you have applications and services that integrate with protection templates from Azure Information Protection, they can apply this template. Por ejemplo, soluciones de DLP y reglas de flujo de correo electrónico.For example, DLP solutions and mail flow rules. Outlook en la web muestra automáticamente las plantillas de protección de la directiva global de Azure Information Protection.Outlook on the web automatically displays protection templates from the Azure Information Protection global policy.