Guía de administración: Configuraciones personalizadas para el cliente de Azure Information Protection clásico
Use la siguiente información para configuraciones avanzadas que podría necesitar para escenarios específicos o un subconjunto de usuarios cuando administre el cliente de Azure Information Protection.
Algunas de estas opciones requieren la modificación del Registro y otras usan la configuración avanzada que debe configurar en Azure Portal y, después, publicarlas para que los clientes las descarguen.
Configuración avanzada del cliente clásico en el portal
Si aún no lo ha hecho, en una nueva ventana del explorador, inicie sesión en el Azure Portal y vaya al panel azure Information Protection.
En la opción de menúEtiquetas de clasificaciones>: seleccione Directivas.
En el panel Azure Information Protection - Directivas, seleccione el menú contextual (...) situado junto a la directiva para contener la configuración avanzada. Después, seleccione Configuración avanzada.
Puede establecer la configuración avanzada para la directiva global, así como para las directivas con ámbito.
En el panel Configuración avanzada , escriba el nombre y el valor de la configuración avanzada y, a continuación, seleccione Guardar y cerrar.
Asegúrese de que los usuarios de esta directiva reinician las aplicaciones de Office que hubieran abierto.
Si ya no necesita la configuración y desea revertir al comportamiento predeterminado: en el panel Configuración avanzada , seleccione el menú contextual (...) situado junto a la configuración que ya no necesita y, a continuación, seleccione Eliminar. Después, haga clic en Guardar y cerrar.
Configuración de cliente clásica disponible
Evitar solicitudes de inicio de sesión solo para equipos AD RMS
De forma predeterminada, el cliente de Azure Information Protection intenta conectarse automáticamente al servicio Azure Information Protection. Para equipos que solo establecen comunicación con AD RMS, esta configuración puede producir una solicitud de inicio de sesión para los usuarios que no es necesaria. Se puede evitar esta solicitud de inicio de sesión modificando el Registro.
Busque el siguiente nombre de valor y después establezca los datos del valor en 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Independientemente de esta configuración, el cliente de Azure Information Protection sigue aún el proceso de detección del servicio de RMS estándar para buscar su clúster de AD RMS.
Inicio de sesión como un usuario diferente
En un entorno de producción, los usuarios normalmente no necesitarán iniciar sesión como un usuario diferente cuando estén utilizando el cliente de Azure Information Protection. No obstante, como administrador, es posible que tenga que iniciar sesión como un usuario diferente durante la fase de pruebas.
Puede comprobar con qué cuenta ha iniciado sesión en el cuadro de diálogo Microsoft Azure Information Protection: abra una aplicación de Office y, en la pestaña Inicio del grupo Protección, haga clic en Proteger y finalmente en Ayuda y comentarios. El nombre de cuenta se muestra en la sección Estado del cliente.
Asegúrese de comprobar el nombre de dominio de la cuenta de inicio de sesión que se muestra. Puede ser fácil no darse cuenta de que inició sesión con el nombre de cuenta correcto, pero con un dominio incorrecto. Un síntoma de usar una cuenta incorrecta podría ser no poder descargar la directiva de Azure Information Protection o no verse las etiquetas de comportamiento esperadas.
Para iniciar sesión como un usuario diferente:
Vaya a %localappdata%\Microsoft\MSIP y elimine el archivo TokenCache.
Reinicie todas las aplicaciones de Office abiertas e inicie sesión con su cuenta de usuario diferente. Si no ve un mensaje en la aplicación de Office para iniciar sesión en el servicio Azure Information Protection, vuelva al cuadro de diálogo Microsoft Azure Information Protection y haga clic en Iniciar sesión desde la sección Estado del cliente actualizada.
Además:
Si tras completar estos pasos, la sesión del cliente de Azure Information Protection todavía se inicia con la cuenta antigua, elimine todas las cookies de Internet Explorer y, luego, repita los pasos 1 y 2.
Si usa el inicio de sesión único, debe cerrar la sesión en Windows e iniciarla con la otra cuenta de usuario después de eliminar el archivo de token. El cliente Azure Information Protection se autentica entonces automáticamente mediante la cuenta de usuario que tiene iniciada sesión actualmente.
Esta solución se admite para iniciar sesión como otro usuario desde el mismo inquilino. No se admite para iniciar sesión como otro usuario desde un inquilino diferente. Para probar Azure Information Protection con varios inquilinos, use equipos diferentes.
Puede usar la opción Restablecer configuración de Ayuda y comentarios para cerrar sesión y eliminar la directiva de Azure Information Protection descargada.
Exigencia del modo de solo protección cuando la organización tiene una combinación de licencias
Si su organización no tiene ninguna licencia para Azure Information Protection, pero tiene licencias para Microsoft 365 que incluyan el servicio Azure Rights Management para proteger los datos, el cliente clásico de AIP se ejecuta automáticamente en modo de solo protección.
Sin embargo, si la organización tiene una suscripción para Azure Information Protection, de forma predeterminada todos los equipos Windows pueden descargar la directiva de Azure Information Protection. El cliente de Azure Information Protection no lleva a cabo la comprobación de licencias ni el cumplimiento.
Si tiene algunos usuarios que no tienen una licencia para Azure Information Protection, pero tienen una licencia para Microsoft 365 que incluye el servicio Azure Rights Management, edite el registro en los equipos de estos usuarios para evitar que los usuarios ejecuten las características de clasificación y etiquetado sin licencia de Azure. Information Protection.
Busque el siguiente nombre de valor y establezca los datos del valor en 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Además, compruebe que estos equipos no tienen un archivo denominado Policy.msip en la carpeta %LocalAppData%\Microsoft\MSIP. Si el archivo existe, elimínelo. Este archivo contiene la directiva de Azure Information Protection y podría haberse descargado antes de que editara el Registro, o si el cliente de Azure Information Protection se instaló con la opción de demostración.
Agregar "Notificar un problema" para los usuarios
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Cuando especifique la siguiente configuración de cliente avanzada, los usuarios verán una opción Notificar un problema que se puede seleccionar desde el cuadro de diálogo del cliente Ayuda y comentarios. Especifique una cadena HTTP para el vínculo. Por ejemplo, una página web personalizada que tiene para que los usuarios notifiquen problemas o una dirección de correo electrónico que vaya a su departamento de soporte técnico.
Para establecer esta configuración avanzada, especifique las cadenas siguientes:
Clave: ReportAnIssueLink
Valor: <cadena> HTTP
Valor de ejemplo para un sitio web: https://support.contoso.com
Valor de ejemplo para una dirección de correo electrónico: mailto:helpdesk@contoso.com
Ocultación de la opción de menú Clasificar y Proteger en el Explorador de archivos de Windows
Cree el siguiente nombre de valor DWORD (con cualquier datos de valor):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Soporte técnico para equipos desconectados
De forma predeterminada, el cliente de Azure Information Protection intenta conectarse automáticamente al servicio Azure Information Protection para descargar la directiva más reciente de Azure Information Protection. Si tiene equipos que sabe que no podrán conectarse a Internet durante un período de tiempo, puede impedir que el cliente intente conectarse al servicio editando el Registro.
Tenga en cuenta que sin una conexión a Internet, el cliente no puede aplicar la protección (o quitar la protección) mediante la clave basada en la nube de su organización. En su lugar, el cliente está limitado al uso de etiquetas que aplican solo clasificación, o protección que usa HYOK.
Puede evitar una solicitud de inicio de sesión para el servicio de Azure Information Protection mediante un ajuste de cliente avanzado que debe configurar en Azure Portal. A continuación, descargue la directiva para equipos. O bien, puede evitar esta solicitud de inicio de sesión modificando el Registro.
Para configurar el ajuste de cliente avanzado:
Escriba las siguientes cadenas:
Clave: PullPolicy
Valor: False
Descargue la directiva con este ajuste e instálela en equipos mediante las instrucciones siguientes.
Como alternativa, para editar el Registro:
Busque el siguiente nombre de valor y después establezca los datos del valor en 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
El cliente debe tener un archivo de directiva válido denominado Policy.msip en la carpeta %LocalAppData%\Microsoft\MSIP.
Puede exportar la directiva global o una directiva de ámbito desde Azure Portal y copiar el archivo exportado en el equipo cliente. También puede utilizar este método para reemplazar un archivo de directiva no actualizado con la directiva más reciente. Sin embargo, la exportación de la directiva no es compatible con el escenario donde un usuario pertenece a más de una directiva de ámbito. También tenga en cuenta que si los usuarios seleccionan la opción Restablecer configuración de Ayuda y comentarios, esta acción elimina el archivo de directiva y hace que el cliente no funcione hasta que se reemplace manualmente el archivo de directiva o el cliente se conecte al servicio para descargar la directiva.
Al exportar la directiva desde Azure Portal, se descarga un archivo comprimido que contiene varias versiones de la directiva. Estas versiones de la directiva se corresponden con las distintas versiones del cliente de Azure Information Protection:
Descomprima el archivo y use la tabla siguiente para identificar qué archivo de directiva necesita.
Nombre de archivo Versión de cliente correspondiente Policy1.1.msip Versión 1.2 Policy1.2.msip Versión 1.3 - 1.7 Policy1.3.msip Versión 1.8 - 1.29 Policy1.4.msip Versión 1.32 y posteriores Cambie el nombre del archivo identificado a Policy.msip y cópielo en la carpeta %LocalAppData%\Microsoft\MSIP de los equipos que tienen instalado el cliente de Azure Information Protection.
Si el equipo desconectado ejecuta la versión de disponibilidad general actual del analizador de Azure Information Protection, debe realizar pasos de configuración adicionales. Para obtener más información, vea Restricción: el servidor del analizador no puede tener conectividad a Internet en los requisitos previos de implementación del analizador.
Mostrar u ocultar el botón No reenviar en Outlook
El método recomendado para configurar esta opción es mediante la configuración de directivaAgregar el botón No reenviar a la cinta de Outlook. Sin embargo, también puede configurar esta opción mediante una configuración de cliente avanzada que se establece en Azure Portal.
Al establecer esta configuración, se oculta o se muestra el botón No reenviar en la cinta de Outlook. Esta configuración no tiene ningún efecto en la opción No reenviar en los menús de Office.
Para establecer esta configuración avanzada, especifique las cadenas siguientes:
Clave: DisableDNF
Valor: True para ocultar el botón o False para mostrarlo.
Configuración de las opciones de permisos personalizados para que estén disponibles o no disponibles para los usuarios
El método recomendado para configurar esta opción es mediante la configuración de directivaConfiguración de la opción de permisos personalizados para que esté disponible para los usuarios. Sin embargo, también puede configurar esta opción mediante una configuración de cliente avanzada que se establece en Azure Portal.
Cuando establece esta configuración y publica la directiva para los usuarios, las opciones de permisos personalizados están visibles para que los usuarios seleccionen su propia configuración de protección o están ocultas para que los usuarios no puedan seleccionar su propia configuración de protección a menos que se les solicite.
Para establecer esta configuración avanzada, especifique las cadenas siguientes:
Clave: EnableCustomPermissions
Valor: True para hacer que la opción de permisos personalizados esté visible, o bien False para ocultar esta opción.
Para los archivos protegidos con permisos personalizados, mostrar siempre los permisos personalizados a los usuarios en el Explorador de archivos
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Al establecer la configuración de directivaHacer que la opción de permisos personalizados esté disponible para los usuarios o la configuración de cliente avanzada equivalente de la sección anterior, los usuarios no podrán ver ni cambiar los permisos personalizados que ya estén establecidos en un documento protegido.
Si crea y establece esta configuración avanzada de cliente, los usuarios podrán ver y cambiar los permisos personalizados de un documento protegido al usar el Explorador de archivos y hacer clic en el archivo con el botón derecho. La opción Permisos personalizados del botón Proteger de la cinta de Office permanece oculta.
Para establecer esta configuración avanzada, especifique las cadenas siguientes:
Clave: EnableCustomPermissionsForCustomProtectedFiles
Valor: True
Nota:
Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Ocultación de manera permanente de la barra de Azure Information Protection
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal. Úsela solo cuando la configuración de directivaMostrar la barra de Information Protection en las aplicaciones de Office está establecida en Activado.
De forma predeterminada, si un usuario desmarca la opción Mostrar barra situada en la pestaña Inicio del grupo Protección, en el botón Proteger, dejará de mostrarse la barra de Information Protection en la aplicación de Office. Sin embargo, la barra se mostrará automáticamente la próxima vez que se abra una aplicación de Office.
Para evitar esto después de haber seleccionado ocultar la barra, use esta configuración de cliente. Esta configuración no tiene ningún efecto si el usuario cierra la barra utilizando el icono Cerrar esta barra.
Aunque la barra de Azure Information Protection permanece oculta, los usuarios todavía pueden seleccionar una etiqueta de una barra mostrada de manera temporal si se ha configurado la clasificación recomendada, o bien si el documento o correo electrónico deben tener una etiqueta.
Para establecer esta configuración avanzada, especifique las cadenas siguientes:
Clave: EnableBarHiding
Valor: True
Habilitación de la compatibilidad con el orden para subetiquetas en datos adjuntos
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Use esta configuración cuando tenga subetiquetas y haya definido la siguiente configuración de directiva:
- Para los mensajes de correo electrónico con datos adjuntos, aplicar una etiqueta que coincida con la clasificación más alta de los datos adjuntos
Configure las siguientes cadenas:
Clave: CompareSubLabelsInAttachmentAction
Valor: True
Sin esta configuración, la primera etiqueta que se encuentre en la etiqueta principal con la clasificación más alta se aplica al correo electrónico.
Con esta configuración, la subetiqueta que se ordenó en el último lugar de la etiqueta principal con la clasificación más alta se aplica al correo electrónico. Si tiene que volver a ordenar las etiquetas para aplicar la etiqueta que quiere para este escenario, consulte Eliminación o cambio de orden de una etiqueta en Azure Information Protection.
Eximir Outlook mensajes del etiquetado obligatorio
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
De forma predeterminada, cuando se habilita la configuración de directivaTodos los documentos y correos electrónicos deben tener una etiqueta, todos los documentos guardados y los correos electrónicos enviados deben tener aplicada una etiqueta. Al configurar la siguiente configuración avanzada, la configuración de directiva solo se aplica a Office documentos y no a Outlook mensajes.
Para establecer esta configuración avanzada, especifique las cadenas siguientes:
Clave: DisableMandatoryInOutlook
Valor: True
Habilitación de la clasificación recomendada en Outlook
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Al configurar una etiqueta para la clasificación recomendada, se pide a los usuarios que acepten o descarten la etiqueta recomendada en Word, Excel y PowerPoint. Esta opción extiende esta recomendación de etiqueta para mostrarse también en Outlook.
Para establecer esta configuración avanzada, especifique las cadenas siguientes:
Clave: OutlookRecommendationEnabled
Valor: True
Nota:
Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Implementación de mensajes emergentes en Outlook que adviertan, justifiquen o bloqueen los correos electrónicos que se envían
Esta opción usa diversas opciones de configuración de cliente avanzadas que se deben definir en Azure Portal.
Si crea y establece las configuraciones avanzadas de cliente siguientes, los usuarios verán mensajes emergentes en Outlook que les podrán advertir antes de enviar un correo electrónico o pedirles que proporcionen una justificación del motivo del envío, o bien que impidan que se envíe un correo electrónico para los escenarios siguientes:
Su correo electrónico o los datos adjuntos del correo electrónico tienen una etiqueta específica:
- Los datos adjuntos pueden ser cualquier tipo de archivo.
Su correo electrónico o los datos adjuntos del correo electrónico no tienen una etiqueta:
- Los datos adjuntos pueden ser un documento de Office o PDF.
Cuando se cumplen estas condiciones, el usuario ve un mensaje emergente con una de las siguientes acciones:
Advertir: el usuario puede confirmar y enviar o cancelar.
Justificación: se solicita al usuario una justificación (opciones predefinidas o forma libre). Después, el usuario puede enviar o cancelar el correo electrónico. El texto de justificación se escribe en el encabezado x del correo electrónico para que otros sistemas lo puedan leer. Por ejemplo, los servicios de prevención de pérdida de datos (DLP).
Bloquear: se impide que el usuario envíe el correo electrónico mientras la condición permanece. El mensaje incluye el motivo del bloqueo del correo electrónico para que el usuario pueda solucionar el problema. Por ejemplo, quitar destinatarios específicos, o bien etiquetar el correo electrónico.
Cuando los mensajes emergentes son para una etiqueta específica, puede configurar excepciones para los destinatarios por nombre de dominio.
Las acciones resultantes de los mensajes emergentes se registran en el registro de eventos local Windows Registros > de aplicaciones y serviciosdeAzure Information Protection:
Mensajes de advertencia: Id. de información 301
Mensajes de justificación: Id. de información 302
Mensajes de bloqueo: Id. de información 303
Entrada de evento de ejemplo de un mensaje de justificación:
Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source:
User Response: Confirmed
Las secciones siguientes contienen instrucciones de configuración para cada configuración de cliente avanzada y puede verlas en acción con tutorial: Configuración de Azure Information Protection para controlar el uso compartido de información mediante Outlook.
Para implementar los mensajes emergentes de advertencia, justificación o bloqueo para etiquetas específicas:
Para implementar los mensajes emergentes para etiquetas específicas, debe conocer el identificador para esas etiquetas. El valor del identificador de etiqueta se muestra en el panel Etiqueta, al ver o configurar la directiva de Azure Information Protection en el Azure Portal. En el caso de los archivos que tienen etiquetas aplicadas, también puede ejecutar el cmdlet de PowerShell Get-AIPFileStatus para reconocer el identificador de etiqueta (MainLabelId o SubLabelId). Si una etiqueta tiene subetiquetas, especifique únicamente el identificador de una subetiqueta, no el de la etiqueta principal.
Cree una o varias de las siguientes configuraciones avanzadas de cliente con las claves siguientes. Para los valores, especifique una o más etiquetas por sus identificadores, cada una separada por comas.
Valor de ejemplo para varios identificadores de etiqueta como una cadena separada por comas: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Mensajes de advertencia:
Clave: OutlookWarnUntrustedCollaborationLabel
Valor: <identificadores de etiqueta, separados por comas>
Mensajes de justificación:
Clave: OutlookJustifyUntrustedCollaborationLabel
Valor: <identificadores de etiqueta, separados por comas>
Mensajes de bloqueo:
Clave: OutlookBlockUntrustedCollaborationLabel
Valor: <identificadores de etiqueta, separados por comas>
Para excluir nombres de dominio para los mensajes emergentes configurados para etiquetas específicas
Para las etiquetas que ha especificado con estos mensajes emergentes, puede excluir nombres de dominio específicos para que los usuarios no vean los mensajes de los destinatarios que tengan ese nombre de dominio incluido en su dirección de correo electrónico. En este caso, los correos electrónicos se envían sin interrupción. Para especificar varios dominios, agréguelos como una sola cadena, separados por comas.
Una configuración habitual es mostrar los mensajes emergentes solo para los destinatarios externos a la organización o que no sean asociados autorizados de esta. En tal caso, especifique todos los dominios de correo electrónico que usan la organización y los asociados.
Cree la siguiente configuración avanzada de cliente y, para el valor, especifique uno o varios dominios, cada uno separado por una coma.
Valor de ejemplo para varios dominios como una cadena separada por comas: contoso.com,fabrikam.com,litware.com
Mensajes de advertencia:
Clave: OutlookWarnTrustedDomains
Valor: <nombres de dominio, separados por comas>
Mensajes de justificación:
Clave: OutlookJustifyTrustedDomains
Valor: <nombres de dominio, separados por comas>
Mensajes de bloqueo:
Clave: OutlookBlockTrustedDomains
Valor: <nombres de dominio, separados por comas>
Por ejemplo, ha especificado la configuración de cliente avanzada OutlookBlockUntrustedCollaborationLabel para la etiqueta Confidencial \ Todos los empleados . Ahora especifica la configuración de cliente avanzada adicional de OutlookBlockTrustedDomains y contoso.com. Como resultado, un usuario puede enviar un correo electrónico a john@sales.contoso.com cuando se etiqueta Confidencial \ Todos los empleados , pero se bloqueará el envío de un correo electrónico con la misma etiqueta a una cuenta de Gmail.
Para implementar los mensajes emergentes de advertencia, justificación o bloqueo para correos electrónicos o datos adjuntos sin una etiqueta:
Cree la siguiente configuración de cliente avanzada con uno de los valores siguientes:
Mensajes de advertencia:
Clave: OutlookUnlabeledCollaborationAction
Valor: advertir
Mensajes de justificación:
Clave: OutlookUnlabeledCollaborationAction
Valor: Justificación
Mensajes de bloqueo:
Clave: OutlookUnlabeledCollaborationAction
Valor: Bloquear
Desactive estos mensajes:
Clave: OutlookUnlabeledCollaborationAction
Valor: Desactivado
Para definir extensiones de nombre de archivo específicas para los mensajes emergentes de advertencia, justificación o bloqueo para los datos adjuntos de correo electrónico que no tienen una etiqueta
De forma predeterminada, los mensajes emergentes de advertencia, justificación o bloqueo se aplican a todos los documentos Office y documentos PDF. Puede refinar esta lista especificando qué extensiones de nombre de archivo deben mostrar los mensajes de advertencia, justificación o bloqueo con una propiedad de cliente avanzada adicional y una lista separada por comas de extensiones de nombre de archivo.
Valor de ejemplo para varias extensiones de nombre de archivo que se definen como una cadena separada por comas: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
En este ejemplo, un documento PDF sin etiquetar no dará lugar a mensajes emergentes de advertencia, justificación o bloqueo.
Clave: OutlookOverrideUnlabeledCollaborationExtensions
Valor: <extensiones de nombre de archivo para mostrar mensajes, separados por comas>
Para especificar una acción diferente para los mensajes de correo electrónico sin datos adjuntos
De forma predeterminada, el valor que especifique para OutlookUnlabeledCollaborationAction para advertir, justificar o bloquear mensajes emergentes se aplica a los correos electrónicos o datos adjuntos que no tienen una etiqueta. Puede refinar esta configuración especificando otra configuración de cliente avanzada para los mensajes de correo electrónico que no tienen datos adjuntos.
Cree la siguiente configuración de cliente avanzada con uno de los valores siguientes:
Mensajes de advertencia:
Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Valor: advertir
Mensajes de justificación:
Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Valor: Justificación
Mensajes de bloqueo:
Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Valor: Bloquear
Desactive estos mensajes:
Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Valor: Desactivado
Si no especifica esta configuración de cliente, el valor que especifique para OutlookUnlabeledCollaborationAction se usa para mensajes de correo electrónico sin etiquetar sin datos adjuntos, así como mensajes de correo electrónico sin etiquetar con datos adjuntos.
Establecimiento de otra etiqueta predeterminada para Outlook
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Al configurar esta opción, Outlook no aplica la etiqueta predeterminada configurada en la directiva de Azure Information Protection para la opción Seleccione la etiqueta predeterminada. Por el contrario, Outlook puede aplicar otra etiqueta predeterminada o ninguna.
Para aplicar otra etiqueta, debe especificar el identificador de etiqueta. El valor del identificador de etiqueta se muestra en el panel Etiqueta, al ver o configurar la directiva de Azure Information Protection en el Azure Portal. En el caso de los archivos que tienen etiquetas aplicadas, también puede ejecutar el cmdlet de PowerShell Get-AIPFileStatus para reconocer el identificador de etiqueta (MainLabelId o SubLabelId). Si una etiqueta tiene subetiquetas, especifique únicamente el identificador de una subetiqueta, no el de la etiqueta principal.
Para que Outlook no aplique la etiqueta predeterminada, especifique Ninguna.
Para establecer esta configuración avanzada, especifique las cadenas siguientes:
Clave: OutlookDefaultLabel
Valor: id.< de > etiqueta o Ninguno
Configuración de una etiqueta para aplicar la protección de S/MIME en Outlook
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Use esta configuración únicamente cuando tenga una implementación de S/MIME en funcionamiento y desee que una etiqueta aplique automáticamente este método de protección para los correos electrónicos en lugar de la protección de Rights Management de Azure Information Protection. La protección resultante es la misma que cuando un usuario selecciona manualmente las opciones de S/MIME de Outlook.
Esta configuración requiere que especifique una configuración avanzada de cliente llamada LabelToSMIME para cada etiqueta de Azure Information Protection a la que desee aplicar la protección S/MIME. Después, para cada entrada, establezca el valor utilizando la sintaxis siguiente:
[Azure Information Protection label ID];[S/MIME action]
El valor del identificador de etiqueta se muestra en el panel Etiqueta, al ver o configurar la directiva de Azure Information Protection en el Azure Portal. Para usar S/MIME con una subetiqueta, especifique siempre el identificador de solo la subetiqueta, no de la etiqueta principal. Cuando especifique una subetiqueta, la etiqueta principal debe estar en el mismo ámbito o en la directiva global.
La acción de S/MIME puede ser:
Sign;Encrypt: para aplicar una firma digital y cifrado S/MIMEEncrypt: para aplicar solo cifrado S/MIMESign: para aplicar solo una firma digital
Valores de ejemplo para un identificador de etiqueta de dcf781ba-727f-4860-b3c1-73479e31912b:
Para aplicar una firma digital y cifrado S/MIME:
dcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encrypt
Para aplicar solo cifrado S/MIME:
dcf781ba-727f-4860-b3c1-73479e31912b;Encrypt
Para aplicar solo una firma digital:
dcf781ba-727f-4860-b3c1-73479e31912b;Sign
Como resultado de esta configuración, cuando se aplica la etiqueta para un mensaje de correo electrónico, la protección S/MIME se aplica al correo electrónico además de la clasificación de la etiqueta.
Si la etiqueta especificada está configurada para la protección de Rights Management en Azure Portal, la protección de S/MIME reemplaza la protección de Rights Management solo en Outlook. En el resto de escenarios que admiten el etiquetado, se aplicará la protección de Rights Management.
Si desea que la etiqueta sea visible solo en Outlook, configure la etiqueta para aplicar la acción única definida por el usuario de No reenviar, como se describe en el Inicio rápido: Configuración de una etiqueta para usuarios para proteger fácilmente los correos electrónicos que contienen información confidencial.
Quita "No ahora" en los documentos cuando utilice el etiquetado obligatorio.
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Cuando utilice la configuración de directiva de Todos los documentos y mensajes de correo electrónico deben tener una etiqueta , se pedirá a los usuarios que seleccionen una etiqueta cuando guarden por primera vez un documento de Office y cuando envíen un mensaje de correo electrónico. Para los documentos, los usuarios pueden seleccionar No ahora para descartar temporalmente el aviso para seleccionar una etiqueta y volver al documento. Sin embargo, no pueden cerrar el documento guardado sin etiquetarlo.
Al configurar esta opción, se quita la opción Ahora no para que los usuarios tengan que seleccionar una etiqueta cuando se guarda el documento por primera vez.
Para establecer esta configuración avanzada, especifique las cadenas siguientes:
Clave: PostponeMandatoryBeforeSave
Valor: False
Activación de la clasificación que se ejecuta continuamente en segundo plano
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Al configurar esta opción, se cambia el comportamiento predeterminado de cómo el cliente de Azure Information Protection aplica etiquetas automáticas y recomendadas a los documentos:
Para Word, Excel y PowerPoint, la clasificación automática se ejecuta continuamente en segundo plano.
El comportamiento no cambia para Outlook.
Cuando el cliente de Azure Information Protection comprueba periódicamente los documentos de las reglas de condición que especifique, este comportamiento habilita la clasificación y protección automáticas y recomendadas para los documentos almacenados en Microsoft SharePoint. Los archivos de gran tamaño también se guardan más rápidamente porque las reglas de condición ya se han ejecutado.
Las reglas de condición no se ejecutan en tiempo real mientras el usuario escribe. En su lugar, se ejecutan periódicamente como una tarea en segundo plano si se modifica el documento.
Para establecer esta configuración avanzada, especifique las cadenas siguientes:
Clave: RunPolicyInBackground
Valor: True
Nota:
Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
No proteger archivos PDF con el estándar ISO de cifrado de archivos PDF
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Cuando la versión más reciente del cliente de Azure Information Protection protege un archivo PDF, la extensión de nombre de archivo resultante sigue siendo .pdf y cumple con el estándar ISO de cifrado de archivos PDF. Para obtener más información sobre este estándar, vea la sección Cifrado 7.6 en el documento que se deriva de ISO-1 32000 que publica Adobe Systems Incorporated.
Si necesita el cliente para revertir al comportamiento de las versiones anteriores del cliente que protegía archivos PDF mediante el uso de una extensión de nombre de archivo .ppdf, use la siguiente configuración avanzada escribiendo la siguiente cadena:
Clave: EnablePDFv2Protection
Valor: False
Por ejemplo, podría necesitar esta configuración para todos los usuarios si usa un lector de PDF que no sea compatible con el estándar ISO para el cifrado de archivos PDF. También podría tener que configurarla para algunos usuarios cuando implemente gradualmente un cambio de lector PDF que admita el formato nuevo. Otra posible razón para usar esta configuración es que necesita agregar protección a documentos PDF firmados. Los documentos PDF firmados también se pueden proteger con el formato .ppdf, ya que esta protección se implementa como un contenedor para el archivo.
Para que el analizador de Azure Information Protection utilice el nuevo valor, haya que reiniciar el servicio del analizador. Además, el analizador no podrá proteger documentos PDF de forma predeterminada. Si desea que los documentos PDF estén protegidos por el analizador cuando EnablePDFv2Protection esté establecido en False, debe editar el registro.
Para más información sobre el nuevo cifrado de archivos PDF, consulte la entrada de blog New support for PDF encryption with Microsoft Information Protection (Nueva compatibilidad con el cifrado de archivos PDF con Microsoft Information Protection).
Para obtener una lista de los lectores PDF que admiten el estándar ISO para el cifrado PDF y los lectores que admiten formatos anteriores, vea Lectores PDF compatibles con Microsoft Information Protection.
Conversión de archivos .ppdf existentes en archivos .pdf protegidos
Cuando el cliente de Azure Information Protection haya descargado la directiva de cliente con la nueva configuración, puede usar comandos de PowerShell para convertir archivos .ppdf existentes en archivos .pdf protegidos que usan el estándar ISO de cifrado de archivos PDF.
Para usar las siguientes instrucciones con archivos que no ha protegido usted mismo, debe tener un derecho de uso de Rights Management para quitar la protección de los archivos, o ser un superusuario. Para habilitar la característica como superusuario y configurar su cuenta como tal, consulte Configuración de superusuarios para Azure Rights Management y los servicios de detección o la recuperación de datos.
Además, cuando use estas instrucciones con archivos que no haya protegido usted mismo, se convertirá en el emisor de RMS. En este escenario, el usuario que originalmente protegió el documento ya no puede realizar su seguimiento ni revocarlo. Si los usuarios necesitan realizar un seguimiento de sus documentos PDF protegidos y revocarlos, pídales que quiten manualmente la etiqueta y luego vuelvan a aplicarla mediante el Explorador de archivos, mediante clic con el botón derecho.
Para usar comandos de PowerShell para convertir los archivos .ppdf existentes en archivos .pdf protegidos que usan el estándar ISO de cifrado de archivos PDF, siga estos pasos:
Use Get-AIPFileStatus con el archivo .ppdf. Por ejemplo:
Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdfEn la salida, anote los siguientes valores de parámetro:
El valor (GUID) de SubLabelId, si lo hay. Si este valor está en blanco, no se ha usado una subetiqueta, así que anote en su lugar el valor de MainLabelId.
Nota: Si no hay ningún valor para MainLabelId, el archivo no está etiquetado. En este caso, puede usar los comandos Unprotect-RMSFile y Protect-RMSFile en lugar de los comandos del paso 3 y 4.
El valor de RMSTemplateId. Si este valor tiene acceso restringido, significa que un usuario ha protegido el archivo mediante permisos personalizados en lugar de usar la configuración de protección que está configurada para la etiqueta. Si continúa, la configuración de protección de la etiqueta sobrescribirá esos permisos personalizados. Decida si desea continuar o pida al usuario (valor mostrado para RMSIssuer) que quite la etiqueta y vuelva a aplicarla, junto con sus permisos personalizados originales.
Quite la etiqueta mediante Set-AIPFileLabel con el parámetro RemoveLabel. Si va a usar la configuración de directiva de Users must provide justification to set a lower classification label, remove a label, or remove protection (Los usuarios deben proporcionar justificación para establecer una etiqueta de clasificación inferior, quitar una etiqueta o quitar la protección), debe especificar también el parámetro Justification con el motivo. Por ejemplo:
Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'Vuelva a aplicar la etiqueta original mediante la especificación del valor de la etiqueta que identificó en el paso 1. Por ejemplo:
Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
El archivo conserva la extensión de nombre de archivo .pdf, pero se clasifica como antes, y se protege mediante el estándar ISO de cifrado de archivos PDF.
Compatibilidad con los archivos protegidos por Secure Islands
Si utiliza Secure Islands para proteger documentos, es posible que, como resultado de esta protección, haya protegido los archivos de imagen y texto y los archivos protegidos genéricamente. Por ejemplo, los archivos que tienen una extensión de nombre de archivo .ptxt, .pjpeg o .pfile. Cuando el registro se edita tal y como se indica a continuación, Azure Information Protection puede descifrar estos archivos:
Agregue el siguiente valor DWORD de EnableIQPFormats a la siguiente ruta de acceso del registro y establezca el valor en 1:
Para una versión de 64 bits de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Para una versión de 32 bits de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP
Como resultado de esta modificación del registro, se admiten los siguientes escenarios:
El visor de Azure Information Protection puede abrir estos archivos protegidos.
El analizador de Azure Information Protection puede examinar estos archivos en busca de información confidencial.
El Explorador de archivos, PowerShell y el analizador de Azure Information Protection pueden etiquetar estos archivos. Como resultado, puede aplicar una etiqueta de Azure Information Protection que aplica una nueva protección de Azure Information Protection, o que quita la protección existente de Secure Islands.
Puede usar la personalización de etiquetas del cliente de migración para convertir la etiqueta de Secure Islands de estos archivos protegidos en una etiqueta de Azure Information Protection.
Nota:
Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Migración de las etiquetas de Secure Islands y otras soluciones de etiquetado
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Esta configuración no es compatible actualmente con el comportamiento predeterminado que protege los archivos PDF mediante el estándar ISO de cifrado de archivos PDF. En este caso, los archivos .ppdf no se pueden abrir con el Explorador de archivos, PowerShell o el analizador. Para resolver este problema, use la opción del cliente avanzado para no usar el estándar ISO para cifrado de archivos PDF.
Para documentos de Office y documentos PDF etiquetados por Secure Islands, puede volver a etiquetar estos documentos con una etiqueta de Azure Information Protection mediante la asignación que defina. También se utiliza este método para reutilizar etiquetas de otras soluciones cuando sus etiquetas están en documentos de Office.
Nota:
Si tiene otros archivos además de documentos PDF y de Office que están protegidos por Secure Islands, puede volver a etiquetarlos después de modificar el registro tal y como se describe en la sección anterior.
Como resultado de esta opción de configuración, el cliente de Azure Information Protection aplica la nueva etiqueta de Azure Information Protection de la siguiente manera:
Para documentos Office: cuando el documento se abre en la aplicación de escritorio, la nueva etiqueta de Azure Information Protection se muestra como establecida y se aplica cuando se guarda el documento.
Para el Explorador de archivos: en el cuadro de diálogo Azure Information Protection, la nueva etiqueta de Azure Information Protection se muestra como establecida y se aplica cuando el usuario selecciona Aplicar. Si el usuario selecciona Cancelar, no se aplica la nueva etiqueta.
Para PowerShell: Set-AIPFileLabel se aplica la nueva etiqueta de Azure Information Protection. Get-AIPFileStatus no muestra la nueva etiqueta de Azure Information Protection hasta que se establece por otro método.
Para el analizador de Azure Information Protection: la detección informa cuándo se establecerá la nueva etiqueta de Azure Information Protection y esta etiqueta se puede aplicar con el modo de aplicación.
Esta configuración requiere que especifique una configuración avanzada de cliente llamada LabelbyCustomProperty para cada etiqueta de Azure Information Protection que desee asignar a la etiqueta antigua. Después, para cada entrada, establezca el valor utilizando la sintaxis siguiente:
[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
El valor del identificador de etiqueta se muestra en el panel Etiqueta, al ver o configurar la directiva de Azure Information Protection en el Azure Portal. Para especificar una subetiqueta, la etiqueta principal debe estar en el mismo ámbito o en la directiva global.
Especifique un nombre de regla de migración de su elección. Utilice un nombre descriptivo que le ayude a identificar cómo una o más etiquetas de su solución de etiquetado anterior deben asignarse a una etiqueta de Azure Information Protection. El nombre se muestra en los informes de analizador y en el Visor de eventos. Tenga en cuenta que esta configuración no quita la etiqueta original ni ningún distintivo visual del documento que pueda haber aplicado la etiqueta original. Para quitar los encabezados y los pies de página, vea la sección siguiente, Quitar encabezados y pies de página de otras soluciones de etiquetado.
Ejemplo 1: Asignación uno a uno del mismo nombre de etiqueta
Requisito: Los documentos que tienen una etiqueta Secure Islands de "Confidencial" se deben volver a etiquetar como "Confidencial" por Parte de Azure Information Protection.
En este ejemplo:
La etiqueta de Azure Information Protection que quiere usar se denomina Confidencial y tiene el identificador 1ace2cc3-14bc-4142-9125-bf946a70542c.
La etiqueta de Secure Islands se denomina Confidencial y se almacena en la propiedad personalizada denominada Clasificación.
La configuración de cliente avanzada es la siguiente:
| Nombre | Value |
|---|---|
| LabelbyCustomProperty | 1ace2cc3-14bc-4142-9125-bf946a70542c,"La etiqueta de Secure Islands es Confidential",Classification,Confidential |
Ejemplo 2: Asignación uno a uno para un nombre de etiqueta diferente
Requisito: Los documentos etiquetados como "confidenciales" de Secure Islands deben volver a etiquetarse como "Extremadamente confidencial" por Parte de Azure Information Protection.
En este ejemplo:
La etiqueta de Azure Information Protection que quiere usar se denomina Extremadamente confidencial y tiene el identificador 3e9df74d 3168 48af 8b11 037e3021813f.
La etiqueta de Secure Islands se denomina Confidencial y se almacena en la propiedad personalizada denominada Clasificación.
La configuración de cliente avanzada es la siguiente:
| Nombre | Value |
|---|---|
| LabelbyCustomProperty | 3e9df74d-3168-48af-8b11-037e3021813f,"La etiqueta de Secure Islands es Sensitive",Classification,Sensitive |
Ejemplo 3: Asignación de varios a uno de nombres de etiqueta
Requisito: tiene dos etiquetas de Secure Islands que incluyen la palabra "Interno" y desea que los documentos que tengan cualquiera de estas etiquetas de Secure Islands se vuelvan a etiquetar como "General" por Azure Information Protection.
En este ejemplo:
La etiqueta de Azure Information Protection que quiere usar se denomina General y tiene el identificador 2beb8fe7 8293 444 c 9768 7fdc6f75014d.
Las etiquetas de Secure Islands incluyen la palabra Internal y se almacenan en la propiedad personalizada denominada Classification.
La configuración de cliente avanzada es la siguiente:
| Nombre | Value |
|---|---|
| LabelbyCustomProperty | 2beb8fe7-8293-444c-9768-7fdc6f75014d,"Secure Islands label contains Internal",Classification,.*Internal.* |
Quitar encabezados y pies de página de otras soluciones de etiquetado
Esta opción usa diversas opciones de configuración de cliente avanzadas que se deben definir en Azure Portal.
La configuración le permite quitar o reemplazar los encabezados o pies de página basados en texto de los documentos cuando otra solución de etiquetado haya aplicado esos distintivos visuales. Por ejemplo, el pie de página anterior contiene el nombre de una etiqueta antigua que ahora se ha migrado a Azure Information Protection con un nuevo nombre de etiqueta y su propio pie de página.
Cuando el cliente recibe esta configuración en su directiva, los encabezados y pies de página antiguos se quitan o se reemplazan cuando el documento se abre en la aplicación de Office y se aplican al documento las etiquetas de Azure Information Protection existentes.
Esta configuración no es compatible con Outlook, y es necesario tener precaución al usarla con Word, Excel y PowerPoint, ya que puede afectar negativamente al rendimiento de estas aplicaciones para los usuarios. La configuración permite definir las opciones por aplicación, por ejemplo, buscar texto en los encabezados y los pies de página de documentos de Word, pero no en las hojas de cálculo de Excel ni en las presentaciones de PowerPoint.
Dado que la coincidencia de patrones afecta al rendimiento de los usuarios, se recomienda limitar los tipos de aplicación de Office (Word, EXcel, PowerPoint) a solo los que deben buscarse:
Clave: RemoveExternalContentMarkingInApp
Valor: <Office tipos de aplicación WXP>
Ejemplos:
Para buscar solo en documentos de Word, especifique W.
Para buscar en documentos de Word y presentaciones de PowerPoint, especifique WP.
Necesita al menos otro ajuste de cliente avanzado, ExternalContentMarkingToRemove, para especificar el contenido del encabezado o pie de página y cómo quitarlo o reemplazarlo.
Nota:
Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Cómo configurar ExternalContentMarkingToRemove
Al especificar el valor de cadena para la clave ExternalContentMarkingToRemove, existen tres opciones que usan expresiones regulares:
Una coincidencia parcial para quitar todo el contenido del encabezado o el pie de página.
Ejemplo: los encabezados o los pies de página contienen la cadena TEXT TO REMOVE. Quiere quitar por completo estos encabezados o pies de página. Debe especificar el valor
*TEXT*.Una coincidencia completa para quitar solo palabras específicas del encabezado o el pie de página.
Ejemplo: los encabezados o los pies de página contienen la cadena TEXT TO REMOVE. Solo quiere quitar la palabra TEXT, lo que deja la cadena de encabezado o pie de página como TO REMOVE. Debe especificar el valor
TEXT.Una coincidencia completa para quitar todo el contenido del encabezado o el pie de página.
Ejemplo: los encabezados o los pies de página contienen la cadena TEXT TO REMOVE. Quiere quitar los encabezados o los pies de página que contienen exactamente esta cadena. Debe especificar el valor
^TEXT TO REMOVE$.
La coincidencia de patrones para la cadena que especifique no distingue mayúsculas de minúsculas. La longitud de cadena máxima es de 255 caracteres.
Dado que algunos documentos podrían incluir caracteres invisibles o diferentes tipos de espacios o tabulaciones, la cadena que especifique para una palabra o frase podría no detectarse. Siempre que sea posible, especifique una sola palabra distintiva para el valor y no olvide probar los resultados antes de su implementación en la producción.
Clave: ExternalContentMarkingToRemove
Valor: <cadena que debe coincidir, definida como expresión regular>
Encabezados o pies de página multilínea
Si el texto de un encabezado o un pie de página tiene más de una línea, debe crear una clave y un valor para cada línea. Por ejemplo, imagine que tiene el siguiente pie de página con dos líneas:
The file is classified as Confidential
Label applied manually
Para quitar este pie de página multilínea, debe crear las dos entradas siguientes:
Clave 1: ExternalContentMarkingToRemove
Valor de clave 1: *Confidencial*
Clave 2: ExternalContentMarkingToRemove
Valor de clave 2: *Etiqueta aplicada*
Optimización para PowerPoint
Los pies de página de PowerPoint se implementan como formas. Para evitar la eliminación de las formas con el texto especificado que son encabezados ni pies de página, use un ajuste de cliente avanzado adicional denominado PowerPointShapeNameToRemove. También se recomienda usar este ajuste para evitar comprobar el texto de todas las formas, ya que es un proceso que hace un uso intensivo de recursos.
Si no especifica este ajuste de cliente avanzado adicional y PowerPoint está incluido en el valor de clave RemoveExternalContentMarkingInApp, se comprobarán todas las formas en busca del texto especificado en el valor ExternalContentMarkingToRemove.
Para buscar el nombre de la forma que se usa como encabezado o pie de página:
En PowerPoint, muestra el panel Selección: Pestaña> Formato Organizar panel selección del grupo>.
Seleccione la forma en la diapositiva que contiene el encabezado o el pie de página. El nombre de la forma seleccionada aparece resaltado en el panel de selección.
Use el nombre de la forma de especificar un valor de cadena para la clave PowerPointShapeNameToRemove.
Por ejemplo, el nombre de la forma es fc. Para quitar la forma con este nombre, especifique el valor fc.
Clave: PowerPointShapeNameToRemove
Valor: <PowerPoint nombre de forma>
Cuando haya más de una forma de PowerPoint para quitar, cree tantas claves PowerPointShapeNameToRemove como formas quiera quitar. Para cada entrada, especifique el nombre de la forma que quiere quitar.
De forma predeterminada, solo se comprueban las diapositivas patrón en busca de encabezados y pies de página. Para ampliar esta búsqueda a todas las diapositivas, lo que es proceso que hace un uso mucho más intensivo de recursos, use un ajuste de cliente avanzado adicional denominada RemoveExternalContentMarkingInAllSlides:
Clave: RemoveExternalContentMarkingInAllSlides
Valor: True
Etiquetado de un documento de Office mediante el uso de una propiedad personalizada existente
Nota:
Si usa esta configuración y la configuración para migrar etiquetas de Secure Islands y otras soluciones de etiquetado, la configuración de migración de etiquetado tiene prioridad.
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Al configurar esta opción, puede clasificar (y, opcionalmente, proteger) un documento de Office cuando tiene una propiedad personalizada existente con un valor que coincide con uno de los nombres de etiqueta. Esta propiedad personalizada se puede establecer desde otra solución de clasificación, o bien se puede establecer como una propiedad mediante SharePoint.
Como resultado de esta configuración, cuando un usuario abre y guarda en una aplicación de Office un documento sin una etiqueta de Azure Information Protection, el documento se etiqueta para que coincida con el valor de propiedad correspondiente.
Esta configuración requiere la especificación de dos ajustes avanzados que funcionan conjuntamente. El primero se denomina SyncPropertyName, y es el nombre de propiedad personalizada que se ha establecido desde la otra solución de clasificación, o una propiedad establecida mediante SharePoint. El segundo se denomina SyncPropertyState y debe establecerse en OneWay.
Para establecer esta configuración avanzada, especifique las cadenas siguientes:
Clave 1: SyncPropertyName
Clave 1 Valor: <nombre de propiedad>
Clave 2: SyncPropertyState
Valor de la clave 2: OneWay
Use estas claves y los valores correspondientes solo para una propiedad personalizada.
Por ejemplo, tiene una columna de SharePoint denominada Clasificación con los valores posibles de Público, General y Muy confidencial/Todos los empleados. Los documentos se almacenan en SharePoint y tienen establecidos los valores Público, General o Muy confidencial/Todos los empleados para la propiedad Clasificación.
Para etiquetar un documento de Office con uno de estos valores de clasificación, establezca SyncPropertyName en Clasificación y SyncPropertyState en OneWay.
Ahora, cuando un usuario abre y guarda uno de estos documentos de Office, se etiqueta como Público, General o Extremadamente confidencial \ Todos los empleados si tiene etiquetas con estos nombres en la directiva de Azure Information Protection. Si no tienen etiquetas con estos nombres, el documento permanecerá sin etiquetar.
Deshabilitación del envío de información confidencial detectada en documentos a Azure Information Protection Analytics
Nota:
El registro de auditoría y el análisis de AIP se anuncian a partir del 18 de marzo de 2022, con una fecha de retirada completa del 31 de septiembre de 2022.
Para obtener más información, consulte Servicios eliminados y retirados.
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Cuando el cliente de Azure Information Protection se usa en Office aplicaciones, busca información confidencial en documentos cuando se guardan por primera vez. Proporcionar al cliente no está configurado para no enviar información de auditoría, los tipos de información confidencial encontrados (predefinidos o personalizados) se envían a Azure Information Protection analytics.
La configuración que controla si el cliente envía información de auditoría es la configuración de directivaEnviar datos de auditoría a Azure Information Protection Log Analytics. Cuando esta configuración de directiva es Activado porque desea enviar información de auditoría que incluye acciones de etiquetado, pero no desea enviar tipos de información confidencial encontrados por el cliente, escriba las cadenas siguientes:
Clave: RunAuditInformationTypesDiscovery
Valor: False
Si establece esta configuración de cliente avanzada, la información de auditoría todavía se puede enviar desde el cliente, pero la información se limita a la actividad de etiquetado.
Por ejemplo:
Con esta configuración, puede ver que un usuario accedió Financial.docx con la etiqueta Confidencial \ Ventas.
Sin esta configuración, puede ver que Financial.docx contiene 6 números de tarjeta de crédito.
- Si también habilita análisis más profundos en los datos confidenciales, además podrá ver cuáles son esos números de tarjeta de crédito.
Deshabilitación del envío de coincidencias de tipo de información para un subconjunto de usuarios
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
Al activar la casilla azure Information Protection analytics que permite un análisis más profundo en los datos confidenciales recopila las coincidencias de contenido de los tipos de información confidencial o las condiciones personalizadas, de forma predeterminada, todos los usuarios envían esta información, que incluye cuentas de servicio que ejecutan el analizador de Azure Information Protection. Si tiene algunos usuarios que no deberían enviar estos datos, cree la configuración de cliente avanzada siguiente en una directiva con ámbito para estos usuarios:
Clave: LogMatchedContent
Valor: Deshabilitar
Limitar el número de subprocesos que usa el analizador
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
De forma predeterminada, el analizador usa todos los recursos de procesador disponibles en el equipo que ejecuta el servicio de analizador. Si necesita limitar el consumo de CPU mientras este servicio realiza los exámenes, cree la siguiente configuración avanzada.
Como valor, especifique el número de subprocesos simultáneos que el analizador puede ejecutar en paralelo. El analizador usa un subproceso independiente para cada archivo que examina, por lo que esta configuración de limitación también define el número de archivos que se pueden examinar en paralelo.
Al configurar por primera vez el valor para las pruebas, se recomienda especificar 2 por núcleo y, luego, supervisar los resultados. Por ejemplo, si ejecuta el analizador en un equipo que tiene 4 núcleos, primero establezca el valor en 8. Si es necesario, aumente o disminuya ese número, según el rendimiento resultante que necesite para el equipo del analizador y las tasas de examen.
Clave: ScannerConcurrencyLevel
Valor: <número de subprocesos simultáneos>
Deshabilitación del nivel de integridad bajo para el analizador
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
De forma predeterminada, el analizador de Azure Information Protection se ejecuta con un nivel de integridad bajo. Esta configuración proporciona un mayor aislamiento de seguridad, pero a costa del rendimiento. Un nivel de integridad bajo es adecuado si el analizador se ejecuta con una cuenta que tiene derechos con privilegios (por ejemplo, una cuenta de administrador local) debido a que esta configuración ayuda a proteger el equipo que ejecuta el analizador.
Sin embargo, cuando la cuenta de servicio que ejecuta el analizador solo tiene los derechos documentados en los requisitos previos de implementación del analizador, el nivel de integridad baja no es necesario y no se recomienda porque afecta negativamente al rendimiento.
Para obtener más información acerca de los niveles de integridad de Windows, vea What is the Windows Integrity Mechanism? (¿Qué es el mecanismo de integridad de Windows?).
Para configurar este valor avanzado de modo que el analizador se ejecute con un nivel de integridad asignado automáticamente por Windows (una cuenta de usuario estándar se ejecuta con un nivel de integridad medio), especifique las siguientes cadenas:
Clave: ProcessUsingLowIntegrity
Valor: False
Cambiar la configuración de tiempo de espera del analizador
Esta configuración usa opciones avanzadas de cliente que debe configurar en la Azure Portal.
De forma predeterminada, el analizador de Azure Information Protection tiene un período de tiempo de espera de 00:15:00 (15 minutos) para inspeccionar cada archivo de tipos de información confidencial o las expresiones regex que ha configurado para las condiciones personalizadas. Cuando se alcanza el período de tiempo de espera para este proceso de extracción de contenido, se devuelven los resultados antes de que se devuelva el tiempo de espera y se detenga la inspección adicional del archivo. En este escenario, se registra el siguiente mensaje de error en %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (comprimido si hay varios registros): Error de GetContentParts con La operación se canceló en los detalles.
Si experimenta este problema de tiempo de espera debido a archivos grandes, puede aumentar este período de tiempo de espera para la extracción de contenido completo:
Clave: ContentExtractionTimeout
Valor: <hh:min:sec>
El tipo de archivo puede influir en cuánto tiempo se tarda en examinar un archivo. Tiempos de examen de ejemplo:
Un archivo de Word típico de 100 MB: 0,5-5 minutos
Un archivo PDF típico de 100 MB: 5-20 minutos
Un archivo de Excel típico de 100 MB: 12-30 minutos
Para algunos tipos de archivo que son muy grandes, como los archivos de vídeo, considere la posibilidad de excluirlos del examen agregando la extensión de nombre de archivo a los tipos de archivo para examinar en el perfil del analizador.
Además, el analizador de Azure Information Protection tiene un período de tiempo de espera de 00:30:00 (30 minutos) para cada archivo que procesa. Este valor tiene en cuenta el tiempo que puede tardar en recuperar un archivo de un repositorio y guardarlo temporalmente para las acciones que pueden incluir descifrado, extracción de contenido para inspección, etiquetado y cifrado.
Aunque el analizador de Azure Information Protection puede examinar decenas a cientos de archivos por minuto, si tiene un repositorio de datos con un gran número de archivos muy grandes, el analizador puede superar este período de tiempo de espera predeterminado y, en el Azure Portal, parece que se detiene después de 30 minutos. En este escenario, el siguiente mensaje de error se registra en %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (comprimido si hay varios registros) y el analizador .csv archivo de registro: se canceló la operación.
Un escáner con 4 procesadores de núcleo de forma predeterminada tiene 16 subprocesos para el examen y la probabilidad de encontrar 16 archivos grandes en un período de tiempo de 30 minutos depende de la proporción de los archivos grandes. Por ejemplo, si la velocidad de análisis es de 200 archivos por minuto y el 1 % de los archivos superan el tiempo de espera de 30 minutos, hay una probabilidad de más del 85 % de que el analizador encuentre la situación de tiempo de espera de 30 minutos. Estos tiempos de espera pueden dar lugar a tiempos de examen más largos y un mayor consumo de memoria.
En esta situación, si no puede agregar más procesadores principales al equipo del escáner, considere la posibilidad de reducir el período de tiempo de espera para mejorar las velocidades de análisis y reducir el consumo de memoria, pero con la confirmación de que algunos archivos se excluirán. Como alternativa, considere la posibilidad de aumentar el período de tiempo de espera para obtener resultados de análisis más precisos, pero con la confirmación de que esta configuración probablemente dará lugar a tasas de examen más bajas y un mayor consumo de memoria.
Para cambiar el período de tiempo de espera para el procesamiento de archivos, configure la siguiente configuración de cliente avanzada:
Clave: FileProcessingTimeout
Valor: <hh:min:sec>
Cambio del nivel de registro local
Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.
De forma predeterminada, el cliente de Azure Information Protection escribe los archivos de registro del cliente en la carpeta %localappdata%\Microsoft\MSIP. Estos archivos están diseñados para solución de problemas por parte del Soporte técnico de Microsoft.
Para cambiar el nivel de registro de estos archivos, configure el siguiente parámetro de cliente avanzado:
Clave: LogLevel
Valor: <nivel> de registro
Establezca el nivel de registro en uno de los siguientes valores:
Desactivado: no hay registro local.
Error: Solo errores.
Información: Registro mínimo, que no incluye identificadores de eventos (la configuración predeterminada para el analizador).
Depuración: información completa.
Seguimiento: registro detallado (la configuración predeterminada para los clientes). Para el escáner, esta configuración tiene un impacto significativo en el rendimiento y debe habilitarse para el escáner solo si Soporte técnico de Microsoft lo solicita. Si le piden que establezca este nivel de registro para el escáner, recuerde establecer un valor diferente cuando se hayan recopilado los registros pertinentes.
Esta configuración de cliente avanzada no cambia la información que se envía a Azure Information Protection para la creación de informes centrales, ni cambia la información que se escribe en el registro de eventos local.
Integración con la clasificación de mensajes de Exchange heredada
Outlook en la Web ahora admite el etiquetado integrado para Exchange Online, que es el método recomendado para etiquetar correos electrónicos en Outlook en la Web. Sin embargo, si necesita etiquetar correos electrónicos en OWA y usa Exchange Server, que aún no admite etiquetas de confidencialidad, puede usar Exchange clasificación de mensajes para ampliar las etiquetas de Azure Information Protection a Outlook en la Web.
Outlook Mobile no admite la clasificación de mensajes de Exchange.
Para lograr esta solución:
Use el cmdlet New-MessageClassification de Exchange PowerShell para crear clasificaciones de mensajes con la propiedad Name que se asigna a los nombres de sus etiquetas en la directiva de Azure Information Protection.
Cree una regla de flujo de correo de Exchange para cada etiqueta. Aplique la regla cuando las propiedades del mensaje incluyan la clasificación que ha configurado, y modifique las propiedades del mensaje para establecer un encabezado de mensaje.
Para el encabezado del mensaje, encontrará la información que se debe especificar inspeccionando los encabezados de Internet de un correo electrónico que envió y clasificó mediante la etiqueta de Azure Information Protection. Busque el encabezado msip_labels y la cadena que sigue inmediatamente, hasta y excluyendo el punto y coma. Por ejemplo:
msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True
Luego, para el encabezado del mensaje en la regla, especifique msip_labels para el encabezado y el resto de la cadena para el valor del encabezado. Por ejemplo:
Nota: Cuando la etiqueta es una subetiqueta, también debe especificar la etiqueta principal antes de la subetiqueta en el valor de encabezado, con el mismo formato. Por ejemplo, si su subetiqueta tiene un GUID de 27efdf94-80a0-4d02-b88c-b615c12d69a9, su valor podría tener un aspecto similar al siguiente:
MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True
Antes de probar esta configuración, recuerde que, al crear o editar reglas de flujo de correo, normalmente se produce un retraso (espere una hora, por ejemplo). Con la regla en vigor, se producen ahora los eventos siguientes al utilizar los usuarios Outlook en la Web:
Los usuarios seleccionan la clasificación de mensajes de Exchange y envían el correo electrónico.
La regla de Exchange detecta la clasificación de Exchange y, en función de esta, modifica el encabezado del mensaje para agregar la clasificación de Azure Information Protection.
Cuando los destinatarios internos ven el correo electrónico en Outlook y tienen instalado el cliente de Azure Information Protection, verán asignada la etiqueta de Azure Information Protection.
Si las etiquetas de Azure Information Protection aplican protección, agregue esta protección a la configuración de la regla: seleccione la opción para modificar la seguridad del mensaje, aplique la protección de derechos y, a continuación, seleccione la plantilla de protección o la opción No reenviar.
También puede configurar reglas de flujo de correo para realizar la asignación inversa. Cuando se detecta una etiqueta de Azure Information Protection, se establece una clasificación de mensajes de Exchange correspondiente.
- Para cada etiqueta de Azure Information Protection, cree una regla de flujo de correo que se aplique cuando el encabezado msip_labels incluya el nombre de la etiqueta (por ejemplo, General) y aplique una clasificación de mensajes que se asigne a ella.
Pasos siguientes
Ahora que personalizó el cliente de Azure Information Protection, consulte en los siguientes recursos información adicional que puede necesitar para la compatibilidad con este cliente: