Preparación de los usuarios y grupos para Azure Information Protection
Nota:
¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?
El complemento de Azure Information Protection se retira y reemplaza por etiquetas integradas en las aplicaciones y servicios de Microsoft 365. Obtenga más información sobre el estado de soporte técnico de otros componentes de Azure Information Protection.
El cliente de Microsoft Purview Information Protection (sin el complemento) está disponible con carácter general.
Antes de implementar Azure Information Protection en una organización, asegúrese de que tiene cuentas para los usuarios y los grupos en Microsoft Entra ID para el inquilino de la misma.
Hay diferentes maneras de crear estas cuentas para los usuarios y los grupos, como son:
Cree los usuarios en el centro de administración de Microsoft 365 y los grupos en el centro de administración de Exchange Online.
Puede crear los usuarios y los grupos en Azure Portal.
Puede crear los usuarios y los grupos mediante cmdlets de Exchange Online y PowerShell de Azure AD.
Puede crear los usuarios y los grupos en Active Directory local y sincronizarlos con Microsoft Entra ID.
Puede crear los usuarios y los grupos en otro directorio y sincronizarlos con Microsoft Entra ID.
Cuando crea usuarios y grupos utilizando los tres primeros métodos de esta lista, con una excepción, se crean automáticamente en Microsoft Entra ID, y Azure Information Protection puede utilizar estas cuentas directamente. Sin embargo, muchas redes de empresa utilizan un directorio local para crear y administrar los usuarios y los grupos. Azure Information Protection no puede usar estas cuentas directamente, debe sincronizarlas con Microsoft Entra ID.
La excepción a la que se hace referencia en el párrafo anterior es listas de distribución dinámicas que puede crear para Exchange Online. A diferencia de las listas de distribución estáticas, estos grupos no se replican en Microsoft Entra ID, por lo que Azure Information Protection no puede usarlo.
Cómo usa Azure Information Protection los usuarios y los grupos
Hay tres escenarios para usar usuarios y grupos con Azure Information Protection:
Para asignar etiquetas a los usuarios al configurar la directiva de Azure Information Protection para que las etiquetas se puedan aplicar a los documentos y correos electrónicos. Solo los administradores pueden seleccionar estos usuarios y grupos:
- La directiva de Azure Information Protection predeterminada se asigna automáticamente a todos los usuarios de Microsoft Entra ID del inquilino. Sin embargo, también puede asignar etiquetas adicionales a usuarios o grupos específicos mediante directivas con ámbito.
Para asignar derechos de uso y controles de acceso cuando se usa el servicio Azure Rights Management para proteger los documentos y los mensajes de correo electrónico. Los administradores y los usuarios pueden seleccionar estos usuarios y grupos:
Los derechos de uso determinan si un usuario puede abrir un documento o correo electrónico, y cómo puede utilizarlo. Por ejemplo, si solo puede leerlo, leerlo e imprimirlo, o leerlo y editarlo.
Los controles de acceso incluyen una fecha de expiración y si se requiere una conexión a Internet para el acceso.
Para configurar el servicio Azure Rights Management para admitir escenarios concretos y, por lo tanto, solo los administradores seleccionan estos grupos. Como ejemplo, se podría configurar lo siguiente:
Súper usuarios, para que los servicios o personas designados puedan abrir el contenido cifrado si es necesario para la recuperación de datos o eDiscovery.
Administración delegada del servicio Azure Rights Management.
Controles de incorporación para admitir una implementación por fases.
Requisitos de Azure Information Protection para cuentas de usuario
Para asignar etiquetas:
- Todas las cuentas de usuario en Microsoft Entra ID pueden utilizarse para configurar directivas con ámbito que asignan etiquetas adicionales a los usuarios.
Para asignar derechos de uso y controles de acceso, y configurar el servicio Azure Rights Management:
Para autorizar a los usuarios, se utilizan dos atributos en Microsoft Entra ID: proxyAddresses y userPrincipalName.
El atributo proxyAddresses de Microsoft Entra almacena todas las direcciones de correo electrónico para una cuenta y se puede rellenar de maneras diferentes. Por ejemplo, un usuario de Microsoft 365 que tiene un buzón de Exchange Online tiene automáticamente una dirección de correo electrónico que está almacenada en este atributo. Si asigna una dirección de correo electrónico alternativa a un usuario de Microsoft 365, también se guarda en este atributo. También se puede rellenar con las direcciones de correo electrónico que se sincronizan desde cuentas locales.
Azure Information Protection puede utilizar cualquier valor de este atributo proxyAddresses de Microsoft Entra, siempre que el dominio se haya agregado a su inquilino (un "dominio verificado"). Para más información acerca de la verificación de los dominios:
Para Microsoft Entra ID: Agregue el nombre de dominio personalizado a Microsoft Entra ID
Para Office 365: Agregar un dominio a Office 365
El atributo userPrincipalName de Microsoft Entra solo se usa cuando una cuenta en el inquilino no tiene valores en el atributo proxyAddresses de Microsoft Entra. Por ejemplo, puede crear un usuario en Azure Portal o un usuario para Microsoft 365 que no tenga un buzón.
Asignación de derechos de uso y controles de acceso a usuarios externos
Además de utilizar los atributos proxyAddresses y userPrincipalName de Microsoft Entra para los usuarios de un inquilino, Azure Information Protection también utiliza estos atributos de la misma manera a fin de autorizar a los usuarios de otro inquilino.
Otros métodos de autorización:
En el caso de las direcciones de correo electrónico que no están en Microsoft Entra ID, Azure Information Protection puede autorizarlas cuando se autentican con una cuenta Microsoft. Sin embargo, no todas las aplicaciones pueden abrir contenido protegido cuando se usa una cuenta Microsoft para la autenticación. Más información
Cuando se envía un correo electrónico mediante cifrado de mensajes de Office 365 con nuevas funcionalidades para un usuario que no tiene una cuenta de Microsoft Entra ID, primero se autentica el usuario usando la federación con un proveedor de identidades sociales o mediante un código de acceso de un solo uso. A continuación, se usa la dirección de correo electrónico especificada en el correo electrónico protegido para autorizar al usuario.
Requisitos de Azure Information Protection para cuentas de grupo
Para asignar etiquetas:
Para configurar directivas con ámbito que asignen etiquetas adicionales a los miembros de un grupo, puede usar cualquier tipo de grupo en Microsoft Entra ID con una dirección de correo electrónico que contenga un dominio verificado para el inquilino del usuario. Un grupo con una dirección de correo electrónico a menudo se conoce como un grupo habilitado para correo.
Por ejemplo, puede utilizar un grupo de seguridad habilitado para correo, un grupo de distribución estático y un grupo de Microsoft 365. No puede usar un grupo de seguridad (dinámico ni estático) debido a que este tipo de grupo carece de dirección de correo electrónico. Tampoco puede usar una lista de distribución dinámica de Exchange Online porque este grupo no se replica en Microsoft Entra ID.
Para asignar derechos de uso y controles de acceso:
- Puede utilizar cualquier tipo de grupo en Microsoft Entra ID que tenga una dirección de correo electrónico que contenga un dominio verificado para el arrendatario del usuario. Un grupo con una dirección de correo electrónico a menudo se conoce como un grupo habilitado para correo.
Para configurar el servicio Azure Rights Management:
Puede usar cualquier tipo de grupo en Microsoft Entra ID que tenga una dirección de correo electrónico de un dominio verificado en el inquilino, con una excepción. Esta excepción se origina al configurar los controles de incorporación para usar un grupo, que debe ser un grupo de seguridad de Microsoft Entra ID para el inquilino.
Puede usar cualquier grupo en Microsoft Entra ID (con o sin una dirección de correo electrónico) de un dominio verificado en el inquilino para la administración delegada del servicio Azure Rights Management.
Asignación de derechos de uso y controles de acceso a los grupos externos
Además de utilizar el atributo proxyAddresses de Microsoft Entra para los grupos de un inquilino, Azure Information Protection también utiliza este atributo de la misma manera para autorizar a los grupos de otro inquilino.
Uso de cuentas de Active Directory local para Azure Information Protection
Si dispone de cuentas que son administradas de forma local y desea usarlas con Azure Information Protection, debe sincronizarlas con Microsoft Entra ID. Para facilitar la implementación, se recomienda que use Microsoft Entra Connect. Sin embargo, puede utilizar cualquier método de sincronización de directorios que obtenga el mismo resultado.
Al sincronizar las cuentas, no es necesario sincronizar todos los atributos. Para obtener una lista de los atributos que deben sincronizarse, consulte la sección Azure RMS de la documentación de Microsoft Entra.
En la lista de atributos para Azure Rights Management verá que, para los usuarios, los atributos de Active Directory local de mail, proxyAddresses y userPrincipalName son necesarios para la sincronización. Los valores de mail y proxyAddresses se sincronizan con el atributo proxyAddresses de Microsoft Entra. Para más información, consulte Cómo se rellena el atributo proxyAddresses en Microsoft Entra ID
Confirmación de que los usuarios y los grupos están preparados para Azure Information Protection
Puede usar PowerShell de Azure AD para confirmar que los usuarios y los grupos pueden utilizarse con Azure Information Protection. También puede usar PowerShell para confirmar los valores que pueden usarse para autorizarlos.
Nota:
Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.
Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.
Por ejemplo, con el módulo V1 PowerShell para Microsoft Entra ID, MSOnline, en una sesión de PowerShell, primero conéctese al servicio y proporcione las credenciales de administrador global:
Connect-MsolService
Nota: Si este comando no funciona, puede ejecutar Install-Module MSOnline
para instalar el módulo MSOnline.
A continuación, configure la sesión de PowerShell para que no se trunquen los valores:
$Formatenumerationlimit =-1
Confirmación de que las cuentas de usuario están preparadas para Azure Information Protection
Para confirmar las cuentas de usuario, ejecute el siguiente comando:
Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses
La primera comprobación es asegurarse de que se muestran los usuarios que desea usar con Azure Information Protection.
A continuación, compruebe si la columna ProxyAddresses está rellena. Si es así, los valores de correo electrónico en esta columna se pueden utilizar para autorizar al usuario para Azure Information Protection.
Si la columna ProxyAddresses no está rellena, se usa el valor de UserPrincipalName para autorizar al usuario para el servicio Azure Rights Management.
Por ejemplo:
Nombre | UserPrincipalName | ProxyAddresses |
---|---|---|
Jagannath Reddy | jagannathreddy@contoso.com | {} |
Ankur Roy | ankurroy@contoso.com | {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com} |
En este ejemplo:
La cuenta de usuario de Jagannath Reddy será autorizada por jagannathreddy@contoso.com.
La cuenta de usuario de Ankur Roy se puede autorizar con ankur.roy@contoso.com y ankur.roy@onmicrosoft.contoso.com, pero no con ankurroy@contoso.com.
En la mayoría de los casos, el valor del atributo UserPrincipalName coincide con uno de los valores del campo ProxyAddresses. Se trata de la configuración recomendada pero, si no se puede cambiar el UPN para que coincida con la dirección de correo electrónico, debe realizar los pasos siguientes:
Si el nombre de dominio en el valor de UPN es un dominio verificado para su inquilino de Microsoft Entra, agregue el valor de UPN como otra dirección de correo electrónico en Microsoft Entra ID de modo que el valor de UPN pueda usarse ahora para autorizar la cuenta de usuario de Azure Information Protection.
Si el nombre de dominio en el valor de UPN no es un dominio verificado para su inquilino, no se puede usar con Azure Information Protection. Sin embargo, todavía se puede autorizar el usuario como miembro de un grupo cuando la dirección de correo electrónico del grupo usa un nombre de dominio verificado.
Si el valor de UPN no es enrutable (por ejemplo, ankurroy@contoso.local), configure el identificador de inicio de sesión alternativo para los usuarios e indíqueles cómo iniciar sesión en Office con este inicio de sesión alternativo. También debe establecer una clave del registro para Office.
Con los cambios de UPN para los usuarios, habrá una pérdida de continuidad empresarial durante al menos 24 horas o hasta que los cambios de UPN se reflejen correctamente en el sistema.
Para más información, consulte Configurar un identificador de inicio de sesión alternativo y Las aplicaciones de Office piden periódicamente las credenciales para Lync Online, SharePoint y OneDrive.
Sugerencia
Puede usar el cmdlet Export-Csv para exportar los resultados a una hoja de cálculo para facilitar la administración, como la búsqueda y la edición masiva para la importación.
Por ejemplo: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv
Nota:
Con los cambios de UPN para los usuarios, habrá una pérdida de continuidad empresarial durante al menos 24 horas o hasta que los cambios de UPN se reflejen correctamente en el sistema.
Confirmación de que las cuentas de grupo están preparadas para Azure Information Protection
Para confirmar las cuentas de grupo, utilice el siguiente comando:
Get-MsolGroup | select DisplayName, ProxyAddresses
Asegúrese de que se muestran los grupos que desea usar con Azure Information Protection. Con los grupos que se muestran, las direcciones de correo electrónico en la columna ProxyAddresses se pueden utilizar para autorizar a los miembros del grupo para el servicio Azure Rights Management.
A continuación, compruebe que los grupos contienen los usuarios (u otros grupos) que desea usar para Azure Information Protection. Puede usar PowerShell para ello (por ejemplo, Get-MsolGroupMember), o usar el portal de administración.
En los dos escenarios de configuración del servicio Azure Rights Management que usan grupos de seguridad, puede emplear el siguiente comando de PowerShell para buscar el identificador de objeto y el nombre para mostrar que pueden usarse para identificar estos grupos. También puede utilizar Azure Portal para buscar estos grupos y copiar los valores del identificador de objeto y del nombre para mostrar:
Get-MsolGroup | where {$_.GroupType -eq "Security"}
Consideraciones para Azure Information Protection, si las direcciones de correo electrónico cambian
Si cambia la dirección de correo electrónico de un usuario o de un grupo, se recomienda que agregue la dirección de correo electrónico anterior como una segunda dirección (también conocida como dirección de proxy, alias o dirección de correo electrónico alternativa) para el usuario o grupo. De esta forma, la dirección de correo electrónico anterior se agrega al atributo proxyAddresses de Microsoft Entra. Esta administración de cuentas garantiza la continuidad del negocio para los derechos de uso u otras configuraciones guardadas cuando se usaba la dirección de correo electrónico anterior.
Si no puede hacer esto, el usuario o el grupo con la nueva dirección de correo electrónico se arriesga a que se le deniegue el acceso a los documentos y mensajes de correo electrónico que anteriormente estuvieran protegidos con la dirección de correo electrónico antigua. En este caso, debe repetir la configuración de la protección para guardar la nueva dirección de correo electrónico. Por ejemplo, si al usuario o al grupo se le conceden derechos de uso en plantillas o etiquetas, edítelas y especifique la dirección de correo electrónico nueva con los mismos derechos de uso que concediera a la anterior.
Tenga en cuenta que es raro que un grupo cambie su dirección de correo electrónico y, si asigna derechos de uso a un grupo en lugar de a usuarios individuales, no importa si la dirección de correo electrónico del usuario cambia. En este escenario, los derechos de uso se asignan a la dirección de correo electrónico del grupo y no a las de usuarios individuales. Este es el método más probable (y recomendado) para que un administrador configure los derechos de uso que protegen los documentos y el correo electrónico. Sin embargo, los usuarios por lo general pueden asignar permisos personalizados para usuarios individuales. Puesto que no siempre se puede saber si una cuenta de usuario o grupo se ha utilizado para conceder acceso, resulta más seguro agregar siempre la dirección de correo electrónico anterior como una segunda dirección.
Almacenamiento en caché de la pertenencia a grupos de Azure Information Protection
Por motivos de rendimiento, Azure Information Protection almacena en caché la pertenencia a grupos. Esto significa que los cambios realizados en la pertenencia a grupos en Microsoft Entra ID pueden tardar hasta tres horas en surtir efecto cuando se utilizan estos grupos con Azure Information Protection y este período está sujeto a cambios.
No olvide incluir este retraso en los cambios o pruebas que realice cuando use grupos para conceder derechos de uso o para configurar el servicio Azure Rights Management, o bien cuando configure directivas con ámbito.
Pasos siguientes
Cuando haya confirmado que sus usuarios y grupos pueden utilizarse con Azure Information Protection y esté listo para empezar a proteger documentos y correos electrónicos, compruebe si necesita activar el servicio Azure Rights Management. Este servicio debe activarse para poder proteger los documentos y correos electrónicos de su organización:
A partir de febrero de 2018: si la suscripción que incluye Azure Rights Management o Azure Information Protection se obtuvo durante o después de este mes, el servicio se activará automáticamente para usted.
Si la suscripción se obtuvo antes de febrero de 2018: debe activar el servicio usted mismo.
Para más información, que incluye comprobar el estado de activación, consulte Activación del servicio de protección desde Azure Information Protection.