Hoja de ruta de implementación de AIP para la clasificación, el etiquetado y la protección
Nota:
¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?
El complemento de Azure Information Protection se retira y reemplaza por etiquetas integradas en las aplicaciones y servicios de Microsoft 365. Obtenga más información sobre el estado de soporte técnico de otros componentes de Azure Information Protection.
El nuevo cliente de Microsoft Information Protection (sin el complemento) está actualmente en versión preliminar y está programado para disponibilidad general.
Siga estos pasos como recomendaciones para ayudarle a prepararse, implementar y administrar Azure Information Protection para su organización, cuando quiera clasificar, etiquetar y proteger los datos.
Este plan de desarrollo se recomienda para cualquier cliente con una suscripción de soporte técnico. Entre las funcionalidades adicionales se incluyen detectar información confidencial y etiquetar documentos y correos electrónicos para la clasificación.
Las etiquetas también pueden aplicar protección y simplificar este paso para los usuarios.
Sugerencia
Como alternativa, puede buscar uno de los siguientes artículos:
Proceso de implementación
Siga estos pasos:
- Confirmación de la suscripción y asignación de licencias de usuario
- Preparación del inquilino para usar Azure Information Protection
- Configuración e implementación de la clasificación y el etiquetado
- Preparación para la protección de datos
- Configuración de etiquetas y opciones, aplicaciones y servicios para la protección de datos
- Uso y supervisión de las soluciones de protección de datos
- Administración del servicio de protección de la cuenta de inquilino según sea necesario
Sugerencia
¿Ya usa la funcionalidad de protección de Azure Information Protection? Puede omitir muchos de estos pasos y centrarse en los pasos 3 y 5.1.
Confirmación de la suscripción y asignación de licencias de usuario
Confirme que su organización tiene una suscripción que incluya la funcionalidad y las características previstas. Para obtener más información, consulte la guía de licencias de Microsoft 365 para la página seguridad y cumplimiento .
A continuación, asigne licencias de esta suscripción a cada usuario de su organización que clasificará, etiquetará y protegerá documentos y correos electrónicos.
Importante
No asigne manualmente licencias de usuario desde la suscripción gratuita de RMS para usuarios y no use esta licencia para administrar el servicio Azure Rights Management para su organización.
Estas licencias se muestran como Rights Management Adhoc en el Centro de administración de Microsoft 365 y RIGHTSMANAGEMENT_ADHOC al ejecutar el cmdlet de PowerShell de Azure AD, Get-MsolAccountSku.
Para más información, consulte RMS para particulares y Azure Information Protection.
Nota:
Los módulos de PowerShell de Azure AD y MSOnline están en desuso desde el 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.
Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.
Preparación del inquilino para usar Azure Information Protection
Antes de empezar a usar Azure Information Protection, asegúrese de que tiene cuentas de usuario y grupos en Microsoft 365 o Microsoft Entra ID que AIP pueda usar para autenticar y autorizar a los usuarios.
Si es necesario, cree estas cuentas y grupos o sincronícelos desde el directorio local.
Para más información, consulte Preparación de usuarios y grupos para Azure Information Protection.
Configuración e implementación de la clasificación y el etiquetado
Siga estos pasos:
Analizar los archivos (opcional, pero recomendado)
Implemente el cliente de Azure Information Protection y, a continuación, instale y ejecute el analizador para detectar la información confidencial que tiene en los almacenes de datos locales.
La información que encuentra el analizador puede ayudarle con la taxonomía de clasificación, proporcionar información valiosa sobre las etiquetas que necesita y qué archivos necesitan proteger.
El modo de detección del analizador no requiere ninguna configuración o taxonomía de etiquetas y, por tanto, es adecuado en esta fase temprana de la implementación. También puede usar esta configuración del analizador en paralelo con los pasos de implementación siguientes, hasta que configure el etiquetado automático o recomendado.
Personalización de la directiva de AIP predeterminada.
Si aún no tiene una estrategia de clasificación, use una directiva predeterminada como base para determinar qué etiquetas necesitará para los datos. Personalice estas etiquetas según sea necesario para satisfacer sus necesidades.
Por ejemplo, puede que quiera volver a configurar las etiquetas con los detalles siguientes:
- Asegúrese de que las etiquetas admiten las decisiones de clasificación.
- Configuración de directivas para el etiquetado manual por parte de los usuarios
- Escriba instrucciones de usuario para ayudar a explicar qué etiqueta se debe aplicar en cada escenario.
- Si la directiva predeterminada se creó con etiquetas que aplican protección automáticamente, es posible que quiera quitar temporalmente la configuración de protección o deshabilitar la etiqueta mientras prueba la configuración.
Las etiquetas de confidencialidad y las directivas de etiquetas para el cliente de etiquetado unificado están configuradas en el portal de cumplimiento Microsoft Purview. Para más información, consulte Información acerca de las etiquetas de confidencialidad.
Implementación del cliente para los usuarios
Una vez configurada una directiva, implemente el cliente de Azure Information Protection para los usuarios. Proporcione instrucciones específicas y de formación del usuario al seleccionar las etiquetas.
Para más información, consulte la guía del administrador de cliente de etiquetado unificado.
Introducción de configuraciones más avanzadas
Espere a que los usuarios se sientan más cómodos con las etiquetas en sus documentos y correos electrónicos. Cuando esté listo, introduzca configuraciones avanzadas, como:
- Aplicación de etiquetas predeterminadas
- Solicitud a los usuarios de justificación si eligen una etiqueta con un nivel de clasificación inferior o quitan una etiqueta
- Todos los documentos y correos electrónicos deben tener una etiqueta obligatoriamente
- Personalización de encabezados, pies de página o marcas de agua
- Etiquetado automático y recomendado
Para más información, consulte Guía de administración: configuraciones personalizadas.
Sugerencia
Si ha configurado etiquetas para el etiquetado automático, vuelva a ejecutar el analizador de Azure Information Protection en los almacenes de datos locales en modo de detección y para la coincidencia con la directiva.
La ejecución del analizador en modo de detección indica qué etiquetas se aplicarían a los archivos, lo cual ayuda a ajustar la configuración de la etiqueta y prepara para clasificar y proteger archivos de forma masiva.
Preparación para la protección de datos
Introduzca la protección de datos para sus datos más confidenciales una vez que los usuarios se sientan cómodos etiquetando documentos y correos electrónicos.
Realice los pasos siguientes para prepararse para la protección de datos:
Determine cómo desea administrar la clave de inquilino.
Decida si quiere que Microsoft administre la clave de inquilino (valor predeterminado) o bien genere y administre la clave de inquilino personalmente (un proceso conocido como BYOK o "Bring Your Own Key").
Para más información y opciones para la protección adicional en el entorno local, consulte Planeamiento e implementación de su clave de inquilino de Azure Information Protection.
Instale PowerShell para AIP.
Instale el módulo de PowerShell para AIPService en al menos un equipo que tenga acceso a internet. Puede realizar este paso ahora o posteriormente.
Para más información, consulte Instalación del módulo de PowerShell AIPService.
Solo para AD RMS: migre las claves, las plantillas y las direcciones URL a la nube.
Si actualmente usa AD RMS, realice una migración para mover las claves, las plantillas y las direcciones URL a la nube.
Para más información, consulte Migración de AD RMS a Information Protection.
Activación de la protección.
Asegúrese de que el servicio de protección está activado para que pueda empezar a proteger documentos y correos electrónicos. Si va a implementar en varias fases, configure los controles de incorporación de usuarios para restringir la capacidad de los usuarios de aplicar la protección.
Para más información, consulte Activación del servicio de protección desde Azure Information Protection.
Considere el registro de uso (opcional).
Considere la posibilidad de registrar el uso para supervisar cómo usa su organización el servicio de protección. Puede realizar este paso ahora o posteriormente.
Para más información, consulte Registro y análisis del uso de protección desde Azure Information Protection.
Configuración de etiquetas y opciones, aplicaciones y servicios para la protección de datos
Siga estos pasos:
Actualización de las etiquetas para aplicar la protección
Para más detalles, consulte Restringir el acceso al contenido mediante el uso de cifrado en las etiquetas de confidencialidad.
Importante
Los usuarios pueden aplicar etiquetas en Outlook que apliquen la protección de Rights Management incluso si Exchange no está configurado para Information Rights Management (IRM).
Sin embargo, hasta que no se configure Exchange para IRM o el Cifrado de mensajes de Microsoft 365 con nuevas funcionalidades, su organización no disfrutará de toda la funcionalidad derivada del uso de la protección de Azure Rights Management con Exchange. Esta configuración adicional se incluye en la lista siguiente (2 para Exchange Online y 5 para Exchange local).
Configuración de servicios y aplicaciones de Office
Configure aplicaciones y servicios de Office para las características de Information Rights Management (IRM) en Microsoft SharePoint o Exchange Online.
Para más información, consulte Configuración de aplicaciones para Azure Rights Management.
Configuración de la característica de superusuario para la recuperación de datos
Si tiene servicios de TI existentes que necesitan inspeccionar los archivos que Azure Information Protection protegerá, como soluciones de prevención de fugas de datos (DLP), puertas de enlace de cifrado de contenido (CEG) y productos antimalware, configure las cuentas de servicio para verificar que sean superusuarios para Azure Rights Management.
Para más información, consulte Configuración de superusuarios para Azure Information Protection y detección de servicios o recuperación de datos.
Clasificación y protección de archivos existentes de forma masiva
En el caso de los almacenes de datos locales, ejecute ahora el analizador de Azure Information Protection en modo de cumplimiento para que los archivos se etiqueten automáticamente.
En el caso de los archivos en equipos, use cmdlets de PowerShell para clasificar y proteger archivos. Para más información, consulte Uso de PowerShell con el cliente de etiquetado unificado de Azure Information Protection.
Para almacenes de datos basados en la nube, use Microsoft Defender for Cloud Apps.
Sugerencia
Aunque la clasificación y protección de archivos existentes de forma masiva no es uno de los principales casos de uso de Defender for Cloud Apps, las soluciones alternativas documentadas pueden ayudarle a clasificar y proteger los archivos.
Implementación del conector para bibliotecas protegidas por IRM en SharePoint Server y correos electrónicos protegidos por IRM para Exchange local
Si tiene SharePoint y Exchange local y quiere usar sus características de Information Rights Management (IRM), instale y configure el conector Rights Management.
Para más información, consulte Implementación del conector Microsoft Rights Management.
Uso y supervisión de las soluciones de protección de datos
Ya está listo para supervisar cómo usa la organización las etiquetas que ha configurado y confirmar que está protegiendo la información confidencial.
Para más información, consulte las siguientes páginas:
- Informes centrales para Azure Information Protection: actualmente en versión preliminar
- Registro y análisis del uso de protección desde Azure Information Protection
Administración del servicio de protección de la cuenta de inquilino según sea necesario
A medida que empiece a usar el servicio de protección, es posible que PowerShell le resulte útil para ayudar a crear scripts o automatizar los cambios administrativos. PowerShell también puede ser necesario para algunas de las configuraciones avanzadas.
Para más información, consulte Administración de la protección desde Azure Information Protection mediante PowerShell.
Pasos siguientes
A medida que implementa Azure Information Protection, es posible que le resulte útil comprobar las preguntas más frecuentes, los problemas conocidos y la página de información y soporte técnico de recursos adicionales.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de