Microsoft 365 Business: cómo configurar Azure Information Protection

El término protección de la información, o IP, se usa generalmente para abarcar los estándares de la industria y las mejores prácticas para proteger la información del acceso no autorizado. En el ecosistema de Microsoft, Azure Information Protection, es un servicio en la nube que permite a las organizaciones clasificar datos con etiquetas para controlar el acceso. Azure Information Protection puede adquirirse como una licencia independiente o integrarse en una solución como Microsoft 365 Business.

A continuación, se muestra un desglose de las características incluidas en cada una de las cuatro versiones de Azure Information Protection . La licencia AIP Premium P1 se incluye en Microsoft 365 Business.

La evolución de Azure Information Protection

Azure Information Protection ha experimentado una evolución en los últimos años y es posible que haya encontrado esta tecnología con un nombre diferente. Algunos de los nombres antiguos de la tecnología son Azure Rights Management Service (Azure RMS), Azure Active Directory Rights Management (AADRM), Windows Azure Active Directory Rights Managements, Information Rights Management (IRM) o, para algunos, simplemente “El nuevo Microsoft RMS. " Se hará un gran favor a usted y a Microsoft si se olvida de todos esos nombres antiguos y se queda con Azure Information Protection .

La última versión de esta tecnología en la nube ahora ofrece capacidades de clasificación y etiquetado que, a su vez, pueden aplicar la administración de derechos para proteger archivos. A alto nivel, Azure Information Protection protege sus datos en tres pasos clave:

Primero, los datos se clasifican y etiquetan . Por ejemplo, si un documento se clasifica como confidencial y debería estar disponible solo para los destinatarios del correo electrónico, la etiqueta podría ser Confidencial: solo destinatarios ".

A continuación, los datos se protegen mediante cifrado, control de acceso y políticas basadas en la etiqueta. Continuando con el ejemplo anterior, un documento marcado con la etiqueta Confidencial - Solo destinatarios se cifrará para que solo los destinatarios puedan leerlo.

Por último, se puede realizar un seguimiento de los documentos y, si es necesario, se puede revocar el acceso. A partir del ejemplo anterior, el remitente del correo electrónico puede decidir que uno de los destinatarios ya no tenga acceso al documento. En ese caso, el remitente puede revocar el acceso a un usuario específico.

El cifrado de mensajes de Office 365, u OME, es una de las características de Azure Information Protection. Si tiene la licencia AIP Premium P2, puede beneficiarse de funcionalidades adicionales, como la clasificación automática de datos locales y en la nube. Aquí, descubre las funciones disponibles en la licencia AIP Premium P1.

Activación de Azure Information Protection

Para comenzar a usar Azure Information Protection, lo primero que debe hacer como administrador de TI es activar el servicio en su inquilino de Microsoft 365 Business . Incluso si cree que el servicio ya está habilitado, no está de más verificarlo. Así es cómo:

Inicie sesión en el portal de administración de Microsoft con sus credenciales de administrador global.

En el panel de navegación de la izquierda, en el grupo Configuración, haga clic en Servicios y complementos.

Se muestra la página Servicios y complementos.

Navegando a la configuración de Protección de la información de Microsoft Azure.

Seleccione Protección de la información de Microsoft Azure

La ventana de Microsoft Azure Information Protection se muestra a la derecha.

En la ventana Protección de la información de Microsoft Azure, haga clic en Administrar la configuración de protección de la información de Microsoft Azure.

Confirme que la Gestión de derechos esté activada. Si no es así, haga clic en el botón Activar

En este ejemplo, el inquilino ya está activado para Azure Information Protection.

Un inquilino con la gestión de derechos activada.

Una vez que haya confirmado el estado de la configuración de Azure Information Protection, puede cerrar de forma segura la ventana del navegador o volver al Centro de administración de Microsoft 365 desde el iniciador de aplicaciones.

Familiarizarse con las etiquetas de Azure Information Protection

Azure Information Protection viene preconfigurado con políticas y etiquetas predeterminadas que se aplican a la mayoría de las organizaciones, incluidas las pequeñas empresas. Antes de empezar a pensar en la configuración de etiquetas y políticas personalizadas para su organización, tómese el tiempo para familiarizarse con la configuración predeterminada de Azure Information Protection. Puede ahorrarse mucho trabajo creando y probando políticas personalizadas.

Si su inquilino de Office 365 se aprovisionó con Azure Information Protection después de febrero de 2018, las siguientes etiquetas y las descripciones correspondientes ya están disponibles:

• Personal: datos no comerciales, solo para uso personal.
• Público: datos comerciales que se preparan y aprueban específicamente para el consumo público.
• General: datos comerciales que no están destinados al consumo público, pero que se pueden compartir con socios externos según sea necesario. Los ejemplos incluyen un directorio telefónico interno de la empresa, organigramas, estándares internos y la mayoría de las comunicaciones internas.
• Confidencial: datos comerciales confidenciales que podrían causar daños a la empresa si se comparten con personas no autorizadas. Los ejemplos incluyen contratos, informes de seguridad, resúmenes de previsiones y datos de cuentas de ventas. La etiqueta confidencial se divide a su vez en dos subetiquetas:
  • Solo destinatarios: datos confidenciales que requieren protección y que solo pueden ver los destinatarios. Esta etiqueta solo aparecerá en Outlook y aplicará la política No reenviar.
  • Todos los empleados: datos confidenciales que requieren protección que otorga permisos completos a todos los empleados. Los propietarios de datos pueden rastrear y revocar contenido.
  • Cualquiera (no protegido): Datos que no requieren protección. Utilice esta opción con cuidado y con la justificación empresarial adecuada.
• Altamente confidencial. Datos comerciales muy confidenciales que causarían daños a la empresa si se compartieran con personas no autorizadas. Los ejemplos incluyen información de empleados y clientes, contraseñas, código fuente e informes financieros anunciados previamente. La etiqueta Highly Confidential se divide en tres subetiquetas:
  • Solo destinatarios: datos altamente confidenciales que requieren protección y que solo los destinatarios pueden ver. Esta etiqueta solo aparecerá en Outlook y aplicará la política No reenviar.
  • Todos los empleados: datos altamente confidenciales que permiten a todos los empleados ver, editar y responder permisos a este contenido. Los propietarios de datos pueden rastrear y revocar contenido.
  • Cualquiera (no protegido): Datos que no requieren protección. Utilice esta opción con cuidado y con la justificación empresarial adecuada.

Si su inquilino de Office 365 se aprovisionó antes del 21 de marzo de 2017, encontrará que faltan las etiquetas General y Altamente confidencial. Su equivalente en los inquilinos más antiguos es Interno y Secreto, respectivamente.

To further explore these labels and corresponding policies, you need to navigate to the Azure portal and access the Azure Information Protection service settings. Here’s how:

Follow Steps 1-4 above to activate Azure Protection Information.

On the Rights Management page, click the Advanced Features button

A new browser window launches and the Azure Information Protection — Labels page is displayed.

Azure Information Protection — Labels page in Azure.

The Confidential and Highly Confidential labels are collapsed by default. To view their sublabels, click the arrow to the left of the label to expand the selection.

A few words about Azure Information Protection policies

On the Azure Information Protection — Labels page, note that the labels all have Global under the Policy column. By default, Azure Information Protection comes with a Global policy that is applied to all users in the tenant. You can edit this policy, but you can’t delete it. You can also create new policies and configure them to your heart’s content, but the Global policy will always be there.

To view the details of the Azure Information Protection Global policy, follow these steps:

Follow Steps 1-4 above to activate Azure Protection Information.

On the Rights Management page, click the Advanced Features button

A new browser window launches and the Azure Information Protection — Labels page is displayed.

In the left menu, under the Classifications group, click Policies.

On the right, the Configure Administrative Name and Description for Each Policy blade is displayed.The Policy: Global blade is displayed.

The Policy: Global blade in Azure Information Protection.

Be careful about changing the default settings in the Global policy because it is applicable to everyone in your organization. You might want to create another policy first and test it out. If you decide to change the Global policy, make sure to save your changes. (If you forget and simply close the blade, the system will prompt you to save your changes.)

Putting Azure Information Protection Into Action

Implementing Azure Information Protection is not something you would do without thoughtful planning and the involvement of keys stakeholders in your organization. You need to make sure that the rollout is communicated to end users, training is delivered, and support is planned.

As an IT admin implementing Microsoft 365 Business, you should perform some testing and become familiar with the process before you implement Azure Information Protection for the entire organization. After you’ve explored the Azure Information Protection service in Microsoft Azure, the next step is to put what you know into action. In this phase, you need your end users to participate.

Installing the Azure Information Protection client

You can have the greatest policies and labels for Azure Information Protection in Azure, but they’ll be no good if your end users can’t see and apply them. The AIP client, a program that is run on the end users’ devices, solves this problem.

Before you install the AIP client, make sure Office ProPlus is already installed but not running on the device. When you’re ready to install the AIP client, do the following:

Navigate to the Azure Information Protection client download page.

The Microsoft Download Center appears.

Click the Download button.

The Choose the Download You Want window is displayed.

Select AzInfoProtection.exe by selecting the box and then click Next.

Downloading the Azure Information Protection client.

From the notification that pops up at the bottom of your screen, click (or double-click) Run.

The system performs a security check on the download. When the check is complete, the Microsoft Azure Information Protection window pops up.

Installation window for Azure Information Protection.

Click the I Agree button.

You can opt to install a demo policy (not recommended because it will clutter your user interface) or send usage statistics to Microsoft or both.

In the User Account Control window that displays, click Yes to start the installation.

You see the progress of the installation.

When the Microsoft Azure Information Protection window displays Completed Successfully, click the Close button.

The installation window disappears, and you’re now ready to check that the Azure Information Protection client was successfully installed.To verify the installation, open a blank document in Word. You see the labels below the ribbon.

Azure Information Protection labels displayed in Word.

Applying a label to a document

Now that the Azure Information Protection client is installed, and the labels are displayed in the Office applications, it’s time to put it to the test.

Create a Word document and pretend that it’s highly confidential.

On the Sensitivity bar, click Highly Confidential and select All Employees.

Applying the Highly Confidential/All Employees label.

The label is applied, and the other labels will disappear.

Run Outlook, start a new email, and attach the Word document.

Tenga en cuenta que Outlook muestra la barra de sensibilidad con las mismas etiquetas que vio en Word.

Ingrese la dirección de correo electrónico de un usuario en su organización.

Ingrese una dirección de correo electrónico fuera de su organización y luego haga clic en Enviar.

Outlook envía el correo electrónico a los destinatarios con la etiqueta Altamente confidencial / Todos los empleados. En este ejercicio, el correo electrónico se enviará tanto al usuario interno como al externo. El usuario interno podrá abrir y leer el documento de la invitación para compartir. Sin embargo, el usuario externo no podrá abrir el documento y se le presentará el mensaje que se muestra aquí.

Un usuario externo bloqueado de un documento confidencial.

Revocación del acceso a la información

Azure Information Protection protege la información de su empresa para que no caiga en las manos equivocadas, incluso después de que haya caído en las manos equivocadas.

Por ejemplo, suponga que se da cuenta de que envió accidentalmente un documento a las personas equivocadas y desea remediar la situación revocando todo acceso al documento. Esto es lo que puede hacer, a partir del ejemplo anterior:

Abra el documento de Word protegido del ejercicio anterior.

Aparece una barra amarilla que indica la sensibilidad del documento y que contiene un botón para ver los permisos del documento.

En la cinta, haga clic en Inicio y luego en el botón Proteger.

Aparece un submenú debajo del botón Proteger.

Accediendo al sitio de seguimiento de documentos.

En el submenú, haga clic en Seguimiento y revocación para iniciar el sitio de seguimiento de documentos.

Su navegador se inicia para llevarlo al sitio de seguimiento de documentos.

Si es la primera vez que visita el sitio, inicie sesión con sus credenciales de Microsoft 365 Business.

Después de iniciar sesión correctamente, el sitio de seguimiento de documentos muestra un resumen de las vistas de su documento. Explore las pestañas para ver las características sólidas de Azure Information Protection.

El sitio de seguimiento de documentos.

En la parte inferior del sitio de seguimiento de documentos, haga clic en el botón Revocar acceso.

Se muestra la página Revocar acceso.

Haga clic en el botón Confirmar en la parte inferior de la página.

Se muestra la ventana Revocar completo.

Haga clic en Continuar para volver a la página de seguimiento de documentos.

En la vista Resumen, el documento muestra el sello Revocado.

Una de las características más sorprendentes de esta solución es que, en la pestaña Mapa, puede ver en qué parte del mundo los usuarios intentaron acceder a su documento. Entonces, si alguna vez descubre que alguien de, digamos, Rusia o Tombuctú intentó abrir su documento a pesar de que todos sus usuarios están en los Estados Unidos, sabrá que el acceso al documento debe ser revocado.