¿Qué es Rights Management de Azure?What is Azure Rights Management?

Se aplica a: Azure Information Protection y Office 365Applies to: Azure Information Protection, Office 365

Azure Rights Management (que se suele abreviar como Azure RMS) es la tecnología de protección usada por Azure Information Protection.Azure Rights Management (often abbreviated to Azure RMS) is the protection technology used by Azure Information Protection.

Este servicio de protección basado en la nube usa directivas de cifrado, identidad y autorización para proteger los archivos y el correo electrónico, y funciona en varios dispositivos (teléfonos, tabletas y equipos).This cloud-based protection service uses encryption, identity, and authorization policies to help secure your files and email, and it works across multiple devices—phones, tablets, and PCs. La información se puede proteger tanto dentro como fuera de su organización porque dicha protección permanece con los datos, incluso cuando sale de los límites de su organización.Information can be protected both within your organization and outside your organization because that protection remains with the data, even when it leaves your organization’s boundaries.

Por ejemplo, los empleados podrían enviar un documento por correo electrónico a una empresa asociada o guardar un documento en su unidad en la nube.As an example, employees might email a document to a partner company, or save a document to their cloud drive. La protección persistente que ofrece Azure RMS no solo permite proteger los datos de la empresa, sino que también puede ser legalmente obligatoria para requisitos de cumplimiento y descubrimiento legal, o simplemente como buenas prácticas de administración de la información.The persistent protection that Azure RMS provides not only helps to secure your company data, but might also be legally mandated for compliance, legal discovery requirements, or simply for good information management practices.

Pero lo que es importante, las personas y los servicios autorizados (como búsqueda e indización) pueden seguir leyendo e inspeccionando los datos protegidos.But importantly, authorized people and services (such as search and indexing) can continue to read and inspect the protected data. Esto no se logra fácilmente con otras soluciones de protección de la información que usan el cifrado punto a punto.This capability is not easily accomplished with other information protection solutions that use peer-to-peer encryption. Esta función se denomina "razonamiento encima de los datos" y es un elemento crucial en el mantenimiento del control de los datos de la organización.You might have heard this capability referred to as "reasoning over data" and it is a crucial element in maintaining control of your organization’s data.

En la imagen siguiente se muestra cómo este servicio ofrece una solución de protección para Office 365, así como para servicios y servidores locales.The following picture shows how this service offers a protection solution for Office 365, as well as for on-premises servers and services. También se ve que la protección es compatible con los dispositivos de usuario final populares que ejecutan Windows, Mac OS, iOS y Android.You also see that protection is supported by the popular end-user devices that run Windows, macOS, iOS, and Android.

Cómo funciona Azure RMS

Puede usar esta protección con las suscripciones de Office 365, así como con las suscripciones de Azure Information Protection.You can use this protection with Office 365 subscriptions as well as with subscriptions for Azure Information Protection. Encontrará más información sobre las suscripciones disponibles y las características que se admiten en el sitio de Azure Information Protection.You can find more information about the available subscriptions and which features they support on the Azure Information Protection site.

Problemas empresariales resueltos por Azure Rights ManagementBusiness problems solved by Azure Rights Management

Use la tabla siguiente para identificar problemas o requisitos empresariales que puede tener su organización para proteger documentos y correos electrónicos y de qué manera puede tratarlos la tecnología de Azure Rights Management.Use the following table to identify business requirements or problems that your organization might have for protecting documents and emails, and how the Azure Rights Management technology can address these.

Requisito o problemaRequirement or problem Resuelto por Azure RMSSolved by Azure RMS
Proteger varios tipos de archivoProtect multiple file types √ En implementaciones anteriores de Rights Management, solo se podían proteger los archivos de Office, con la protección nativa de Rights Management.√ In early implementations of Rights Management, only Office files could be protected, using native Rights Management protection. Ahora, la protección genérica que ofreció por primera vez la aplicación Rights Management sharing y que ahora ofrece Azure Information Protection amplía la compatibilidad a más tipos de archivo.Now, generic protection that was first offered by the Rights Management sharing application and now by the Azure Information Protection client means that more file types are supported.
Proteger los archivos en cualquier lugarProtect files anywhere √ Si un archivo está protegido, la protección permanece con el archivo, aunque se guarde o copie en almacenamiento que no se encuentra bajo el control de TI, como un servicio de almacenamiento en la nube.√ When a file is protected, the protection stays with the file, even if it is saved or copied to storage that is not under the control of IT, such as a cloud storage service.
Compartir información de forma seguraSafely share information √ Si un archivo está protegido, se puede compartir con otros de forma segura.√ When a file is protected, it is safe to share with others. Por ejemplo, un archivo adjunto a un correo electrónico o un vínculo a un sitio de SharePoint.For example, an attachment to an email or a link to a SharePoint site. Si un correo electrónico contiene información confidencial, puede proteger el correo electrónico o utilizar solo la opción No reenviar de Outlook.If the sensitive information is within an email message, you can protect the email or simply use the Do Not Forward option from Outlook.

La ventaja de adjuntar un archivo protegido con respecto a la protección del mensaje de correo electrónico completo es que el texto de correo electrónico no está cifrado, por lo que puede incluir instrucciones sobre el primer uso si el correo se va a enviar fuera de la organización.The benefit of attaching a protected file rather than protecting the whole email message is that the email text is not encrypted, so you can include instructions for first-time use if the email is being sent outside your organization. Todo el mundo puede leer las instrucciones pero, como el documento adjunto está protegido, solo podrán abrirlo los usuarios autorizados, aunque el correo electrónico o el documento se reenvíen a otras personas.Anybody can read the instructions but because the attached document is protected, only authorized users will be able to open the document, even if the email or document is forwarded to other people.
Auditoría y supervisiónAuditing and monitoring √ Puede auditar y supervisar el uso de sus archivos protegidos, incluso después de que estos archivos salgan de los límites de su organización.√ You can audit and monitor usage of your protected files, even after these files leave your organization’s boundaries.

Por ejemplo, puede trabajar para Contoso, Ltd. Está trabajando en un proyecto conjunto con tres empleados de Fabrikam, Inc. Envía por correo electrónico a estos tres empleados un documento que protege y restringe a solo lectura.For example, you work for Contoso, Ltd. You are working on a joint project with three people from Fabrikam, Inc. You email these three people a document that you protect and restrict to read-only. La auditoría de Azure Rights Management puede proporcionar la siguiente información:Azure Rights Management auditing can provide the following information:

- Si las personas que ha especificado en Fabrikam han abierto el documento y cuándo.- Whether the people you specified in Fabrikam opened the document, and when.

- Si otras personas que no ha especificado han intentado (sin éxito) abrir el documento, quizá porque se reenvió o se guardó en una ubicación compartida a la que otros usuarios podían acceder.- Whether other people that you didn’t specify attempted (and failed) to open the document—perhaps because it was forwarded or saved to a shared location that others could access.

- Si cualquiera de las personas especificadas ha intentado (y no ha logrado) imprimir o cambiar el documento.- Whether any of the specified people tried (and failed) to print or change the document.

Además, el sitio de seguimiento de documentos permite a los usuarios y a los administradores realizar un seguimiento y, si es necesario, revocar el acceso a documentos protegidos.In addition, the document tracking site lets users and administrators track, and if necessary, revoke access to protected documents.
Soporte para dispositivos de uso común, no solo equipos WindowsSupport for commonly used devices, not just Windows computers √ Entre los  dispositivos admitidos se incluyen:√ Supported devices include:

- Equipos y teléfonos con Windows- Windows computers and phones

- Equipos Mac- Mac computers

- Tabletas y teléfonos iOS- iOS tablets and phones

- Tabletas y teléfonos Android- Android tablets and phones
Soporte para colaboración de negocio a negocioSupport for business-to-business collaboration √ Debido a que Azure Rights Management es un servicio en la nube, no hay que configurar de manera explícita las confianzas con otras organizaciones para poder compartir contenido protegido con ellas.√ Because Azure Rights Management is a cloud service, there’s no need to explicitly configure trusts with other organizations before you can share protected content with them. Si ya tiene un directorio de Office 365 o Azure AD, la colaboración entre organizaciones se admite automáticamente.If they already have an Office 365 or an Azure AD directory, collaboration across organizations is automatically supported. Si no es así, los usuarios pueden suscribirse para disfrutar de una suscripción gratuita de RMS para usuarios, o usar la cuenta Microsoft para las aplicaciones que admiten esta autenticación para Azure Information Protection.If they do not, users can sign up for the free RMS for individuals subscription, or use a Microsoft account for applications that support this authentication for Azure Information Protection.
Soporte para servicios locales, así como Office 365Support for on-premises services, as well as Office 365 √ Además de funcionar sin problemas con Office 365, también puede usar Azure Rights Management con los siguientes servicios locales al implementar el conector RMS:√  In addition to working seamlessly with Office 365, you can also use Azure Rights Management with the following on-premises services when you deploy the RMS connector:

- Exchange Server- Exchange Server

- SharePoint Server- SharePoint Server

- Windows Server que ejecuta la infraestructura de clasificación de archivos- Windows Server running File Classification Infrastructure
Activación sencillaEasy activation √ Para las suscripciones nuevas, la activación es automática.√ For new subscriptions, activation is automatic. En cuanto a las suscripciones existentes, para activar el servicio de Rights Management solo hacen falta un par de clics en el portal de administración.For existing subscriptions, activating the Rights Management service requires just a couple of clicks in your management portal. O bien, si prefiere el control de la línea de comandos, solo se deben usar dos comandos de PowerShell.Or, if you prefer command-line control, just two PowerShell commands.
Capacidad de escalar en la organización, según sea necesarioAbility to scale across your organization, as needed √ Dado que Azure Rights Management se ejecuta como servicio en la nube con la elasticidad de Azure para escalar verticalmente y horizontalmente, no tiene que aprovisionar o implementar servidores locales adicionales.√ Because Azure Rights Management runs as a cloud service with the Azure elasticity to scale up and out, you don’t have to provision or deploy additional on-premises servers.
Capacidad para crear directivas simples y flexiblesAbility to create simple and flexible policies √ Las  plantillas de protección personalizadas proporcionan una solución rápida y sencilla para que los administradores apliquen las directivas y para que los usuarios apliquen el nivel correcto de protección para cada documento y restrinjan el acceso a las personas dentro de la organización.√ Customized protection templates provide a quick and easy solution for administrators to apply policies, and for users to apply the correct level of protection for each document and restrict access to people inside your organization.

Por ejemplo, para que se comparta un documento estratégico de toda la compañía con todos los empleados, podría aplicar una directiva de solo lectura a todos los empleados internos.For example, for a company-wide strategy paper to be shared with all employees, you could apply a read-only policy to all internal employees. A continuación, para un documento más confidencial, como un informe financiero, podría restringir el acceso solo a ejecutivos.Then, for a more sensitive document, such as a financial report, you could restrict access to executives only.
Amplia compatibilidad de aplicacionesBroad application support √ Azure Rights Management tiene una integración estrecha con aplicaciones y servicios de Microsoft Office, y amplía la compatibilidad con otras aplicaciones mediante el cliente de Azure Information Protection.√ Azure Rights Management has tight integration with Microsoft Office applications and services, and extends support for other applications by using the Azure Information Protection client.

√ Los SDK de Azure Information Protection proporcionan a sus desarrolladores internos y proveedores de software API para escribir aplicaciones personalizadas que admiten Azure Information Protection.√ The Azure Information Protection SDKs provide your internal developers and software vendors with APIs to write custom applications that support Azure Information Protection.

Para más información, vea Otras aplicaciones compatibles con las API de Rights Management.For more information, see Other applications that support the Rights Management APIs.
TI debe mantener el control de los datosIT must maintain control of data √ Las organizaciones pueden elegir administrar su propia clave de inquilino y usar su solución "Bring Your Own Key" (BYOK) y almacenar su clave de inquilino en los módulos de seguridad de hardware (HSM).√ Organizations can choose to manage their own tenant key and use the “Bring Your Own Key” (BYOK) solution and store their tenant key in Hardware Security Modules (HSMs).

√ Compatibilidad con la auditoría y el registro de uso para que pueda analizar información empresarial, supervisar el abuso y (si tiene una pérdida de información) realizar análisis forenses.√ Support for auditing and usage logging so that you can analyze for business insights, monitor for abuse, and (if you have an information leak) perform forensic analysis.

√ El acceso delegado mediante la característica de superusuario garantiza que TI siempre pueda tener acceso al contenido protegido, aunque un documento estuviera protegido por un empleado que haya dejado la organización.√ Delegated access by using the super user feature ensures that IT can always access protected content, even if a document was protected by an employee who then leaves the organization. En comparación, las soluciones de cifrado punto a punto se arriesgan a perder acceso a los datos de la compañía.In comparison, peer-to-peer encryption solutions risk losing access to company data.

√ Sincronice solo los atributos de directorio que Azure RMS necesita para admitir una identidad común para sus cuentas de Active Directory locales, mediante una solución de identidad híbrida, como Azure AD Connect.√ Synchronize just the directory attributes that Azure RMS needs to support a common identity for your on-premises Active Directory accounts, by using a hybrid identity solution, such as Azure AD Connect.

√ Habilite el inicio de sesión único sin replicar contraseñas a la nube, mediante AD FS.√ Enable single-sign on without replicating passwords to the cloud, by using AD FS.

√ Las organizaciones siempre tienen la opción de dejar de usar el servicio Azure Rights Management sin perder el acceso a contenido anteriormente protegido por Azure Rights Management.√ Organizations always have the choice to stop using the Azure Rights Management service without losing access to content that was previously protected by Azure Rights Management. Para obtener información sobre las opciones de retirada, consulte Retirada y desactivación de Azure Rights Management.For information about decommissioning options, see Decommissioning and deactivating Azure Rights Management. Además, las organizaciones que hayan implementado Active Directory Rights Management Services (AD RMS) pueden migrar al servicio Azure Rights Management sin perder el acceso a los datos protegidos anteriormente por AD RMS.In addition, organizations who have deployed Active Directory Rights Management Services (AD RMS) can migrate to the Azure Rights Management service without losing access to data that was previously protected by AD RMS.

Sugerencia

Si está familiarizado con la versión local de Rights Management, Active Directory Rights Management Services (AD RMS), puede que esté interesado en la tabla de comparación de Comparación entre Azure Rights Management y AD RMS.If you are familiar with the on-premises version of Rights Management, Active Directory Rights Management Services (AD RMS), you might be interested in the comparison table from Comparing Azure Rights Management and AD RMS.

Requisitos de seguridad, normativos y regulatoriosSecurity, compliance, and regulatory requirements

Azure Rights Management admite los siguientes requisitos de seguridad, cumplimiento normativo y regulación:Azure Rights Management supports the following security, compliance, and regulatory requirements:

√ Uso de criptografía estándar del sector y admite FIPS 140-2.√ Use of industry-standard cryptography and supports FIPS 140-2. Para más información, vea la información de Controles criptográficos usados por Azure RMS: Longitudes de clave y algoritmos.For more information, see the Cryptographic controls used by Azure RMS: Algorithms and key lengths information.

√ Compatibilidad con el módulo de seguridad de hardware (HSM) de nCipher nShield para almacenar la clave de inquilino en Microsoft Azure centros de datos.√ Support for nCipher nShield hardware security module (HSM) to store your tenant key in Microsoft Azure data centers. Azure Rights Management usa espacios de seguridad independientes para los centros de datos de Estados Unidos, EMEA (Europa, Oriente Medio y África) y Asia, para que las claves solo se puedan usar en su región.Azure Rights Management uses separate security worlds for its data centers in North America, EMEA (Europe, Middle East and Africa), and Asia, so your keys can be used only in your region.

√ Certificado para lo siguiente:√ Certified for the following:

  • ISO/IEC 27001:2013 (incluye ISO/IEC 27018)ISO/IEC 27001:2013 (./includes ISO/IEC 27018)

  • Atestaciones de SOC 2 SSAE 16/ISAE 3402SOC 2 SSAE 16/ISAE 3402 attestations

  • HIPAA BAAHIPAA BAA

  • Cláusula del modelo de la UEEU Model Clause

  • FedRAMP como parte de Azure Active Directory en la certificación de Office 365, FedRAMP Agency Authority to Operate emitido por HHSFedRAMP as part of Azure Active Directory in Office 365 certification, issued FedRAMP Agency Authority to Operate by HHS

  • PCI DSS nivel 1PCI DSS Level 1

Para obtener más información sobre estas certificaciones externas, consulte el Centro de confianza de Azure.For more information about these external certifications, see the Azure Trust Center.

Pasos siguientesNext steps

Para obtener información más técnica sobre el funcionamiento del servicio Azure Rights Management, vea ¿Cómo funciona Azure RMS?For more technical information about how the Azure Rights Management service works, see How does Azure RMS work?