¿Qué es el AIP?

Azure Information Protection (AIP) se anunció por primera vez en junio, y al mes siguiente se presentó un avance. El 4 de octubre, el servicio ha alcanzado la disponibilidad general estado. AIP proporciona un medio más fácil y orientado al usuario para etiquetar y clasificar sus documentos, disponible gracias a la reciente adquisición de Islas seguras. Al igual que la protección ofrecida por RMS, la clasificación viaja con su documento. Combinado con las capacidades de protección y supervisión que ya tenemos como parte de Azure RMS, AIP proporciona una solución integral que abarca todo el ciclo de vida de sus documentos sensibles.

Adquisición de Azure Information Protection

Para obtener acceso al servicio Azure Information Protection, es necesario tener una suscripción que cumpla los requisitos. Estas incluyen:

  • Azure Information Protection Premium P1disponible por $2.00 por usuario al mes. Piensa en esto como la opción de reemplazo de la SKU Azure RMS Premium.
  • AIP Premium P2disponible por $9,00 por usuario y mes. Esta es la SKU premium, que ofrece soporte para la clasificación, el etiquetado y la protección automatizados, así como soporte para los escenarios HYOK.
  • Movilidad y seguridad empresarial E3, el sustituto de la suite EMS, disponible por $8,70 por usuario y mes. Por este precio, obtienes AIP (P1), Azure AD Premium (P1), Intune y Microsoft Advanced Threat Analytics.
  • EM+S E5con un precio de $14,80 por usuario y mes. Incluye AIP (P2), Azure AD Premium (P2), Intune, ATA y Cloud App Security.
  • Empresa productiva y segura - E3con un precio de $34 por usuario y mes. Esto incluye todas las características disponibles con Office 365 - E3, EM+S E3 y Windows 10 Enterprise E3.
  • Empresa productiva y segura - E5con un precio de $61,10 por usuario y mes. Esto incluye todas las características disponibles con Office 365 - E5, EM+S E5 y Windows 10 Enterprise E5.

Para dar sentido a este lío de licencias y seleccionar la SKU que mejor se adapte a sus necesidades, puede consultar la tabla comparativa entre las SKU de EM+S aquí y la comparación de características entre las dos SKU de AIP aquí.

Los precios anteriores son de lista, y son para clientes comerciales. Forsyte es un Microsoft Cloud Solutions Partner - Tier 1, y podemos ofrecer precios competitivos para clientes comerciales, educativos y gubernamentales. Póngase en contacto con nosotros para obtener más información.

Habilitación de la protección de la información de Azure

Una vez que tenga una SKU que reúna los requisitos, tendrá que habilitar la hoja de gestión de AIP en su portal de Azure RM. Para ello, navegue hasta https://portal.azure.com/ e inicie sesión con sus credenciales de administrador global. Pulse el botón Nuevo y luego escriba Protección de la información en Azure en el cuadro de búsqueda. En el Resultados seleccione Protección de la información en Azure y a continuación pulse la tecla Crear en la hoja AIP. Aparecerá otra hoja a la derecha. Pulse el botón Crear y seleccione el botón Anclar al tablero de mandos casilla de verificación.

Ahora debería poder acceder al Protección de la información en Azure hoja. Es el lugar donde se pueden realizar cambios en la política AIP por defecto, como crear o editar Etiquetas de Clasificación, sus acciones correspondientes o la configuración general. A política por defecto para que pueda empezar a utilizar AIP nada más sacarlo de la caja.

También tendrá que configurar los dispositivos de sus usuarios para que sean compatibles con AIP. La clasificación de los documentos está disponible mediante la aplicación Azure Information Protection, que en su forma actual es un complemento de Office. El complemento se conecta al servicio AIP y obtiene las etiquetas de clasificación configuradas para su organización, proporcionando al usuario la opción de ver o establecer la sensibilidad del documento a través de la barra de Information Protection:


Si está interesado no sólo en clasificar, sino también en proteger su contenido a través de Azure RMS, tendrá que habilitar el servicio RMS para su inquilino y configurar los clientes en consecuencia. Esto va más allá del alcance de este artículo.

Configuración de la política de Azure Information Protection

Ahora que tenemos una referencia de cómo es la configuración de la clasificación AIP en el cliente, podemos continuar con la administración de la política. Esto se hace a través de la hoja correspondiente en el portal de Azure RM, que se muestra a continuación, con algunas modificaciones realizadas en la configuración predeterminada para ilustrar mejor los diferentes elementos de la política:


La pieza central son, por supuesto, las etiquetas de clasificación. En la política se proporciona un conjunto de 5 etiquetas por defecto y, en consecuencia, el cliente AIP tiene el espacio suficiente para colocar 5 de ellas en la barra de protección de la información. Cada etiqueta presenta un Nombre, Información sobre la herramienta/Descripcióne indicadores para Marcas visuales y Protección estado, además de un Color asignado. Además, puede alternar los indicadores de Condiciones y el Activado estado pulsando la tecla Columnas en la parte superior. Puede reordenar las etiquetas o crear subniveles, que luego se mostrarán como desplegables en el cliente (con un solo subnivel admitido). Cubriremos la creación/edición de etiquetas en la siguiente sección.

La política Título define el texto que se muestra en la parte izquierda de la barra de protección de la información en la aplicación, por lo que se recomienda utilizar algo significativo como el valor predeterminado de "Sensibilidad". Información sobre herramientas define el texto que se muestra al pasar el ratón por encima del Título, como se muestra en la captura de pantalla de la sección anterior. De nuevo, asegúrese de introducir aquí un texto significativo y descriptivo.

El "Este documento debe tener una etiqueta" alternar (aplicado automáticamente o por los usuarios) le permite imponer una clasificación obligatoria si es necesario, como se muestra en la siguiente captura de pantalla. También puede configurar una etiqueta por defecto a través de la opción Seleccione la etiqueta por defecto desplegable. Por último, puede exigir a los usuarios que den una explicación al pasar a

una etiqueta menos restrictiva (por ejemplo, tratar de poner una etiqueta Pública a un documento que ha sido clasificado como Interno). Esto se controla a través de la opción "Los usuarios deben justificar el establecimiento de una etiqueta de clasificación inferior, la eliminación de una etiqueta o la supresión de la protección" de la mano.

Trabajar con las etiquetas Azure Information Protection

En caso de que el conjunto de etiquetas de clasificación por defecto no se adapte a sus necesidades, puede Añadir una nueva etiqueta haciendo clic en el enlace correspondiente. A continuación, especifique si la nueva etiqueta es Activado, y dotarla de un sentido Nombre de la etiqueta y Información sobre herramientas. Este último se mostrará al pasar el ratón por encima de la etiqueta en el cliente AIP, al igual que el Color.

El siguiente conjunto de opciones que puede configurar está relacionado con la protección del contenido con el cifrado RMS. Puede elegir Seleccione la plantilla RMS de ya sea Azure RMS o desde una instancia de AD RMS on-prem. También tendrá que Seleccione la plantilla RMS de la lista de los disponibles o elija Eliminar la protección para cualquier archivo clasificado con esta etiqueta.

Además de proteger el documento con RMS, también puede seleccionar la inserción de algunas marcas visuales. Entre ellas se encuentran una cabecera, un pie de página y una marca de agua. Tanto el Cabecera y Pie de página le permiten configurar el Texto, Tamaño de la fuente y Colorasí como el Alineación. En la opción Marca de agua, que se muestra en la captura de pantalla de la derecha, también puede elegir entre un tamaño de fuente fijo o automático y entre una colocación horizontal o diagonal. Sin embargo, no puedes insertar una imagen de la marca de la empresa en la cabecera o el pie de página, ni controlar la familia de fuentes, etc. Para ser justos, hay más cosas que puedes hacer con las marcas que las descritas aquí, como utilizar una variable para rellenar automáticamente al propietario del documento, así que asegúrate de revisar la documentación.

El último conjunto de opciones que puede configurar para una etiqueta son las condiciones para aplicarla automáticamente a los documentos que coincidan. Para iniciar el proceso, pulse la tecla Añadir un nuevo enlace de condición. A continuación, tendrá que elegir entre utilizar uno de los Construido en condiciones o crear un Personalizado uno. Para el primero, el proceso es similar a la configuración de las políticas de DLP para Exchange Online: se selecciona de una lista de filtros predefinidos, como Número de tarjeta de crédito o IBAN, se configura el número mínimo de ocurrencias y definir si se cuentan las coincidencias duplicadas o no a través de la opción "Contar las ocurrencias sólo con valores únicos" de la mano.

Si decide crear una condición personalizada, primero tendrá que Nombre (los incorporados se denominan en función del filtro seleccionado). A continuación, debe especificar la frase exacta que debe coincidir, ya sea coincidir con una expresión regular y si necesita un coincidir con la sensibilidad a las mayúsculas y minúsculas que se tiene en cuenta. Por último, configure el número mínimo de ocurrencias y si Contar sólo las ocurrencias con valores únicos (la opción sólo está disponible cuando se utiliza la coincidencia regex).

Además de configurar las condiciones, es necesario Seleccione cómo se aplica esta etiqueta: automáticamente o recomendada al usuario. La clasificación automática funciona estampando la etiqueta de clasificación al guardar el documento, aplicando automáticamente la etiqueta junto con cualquier acción de marcado o protección. Por otro lado, la clasificación recomendada funciona presentando al usuario un consejo de política, aconsejándole que seleccione una etiqueta determinada en lugar de aplicar automáticamente la clasificación. En ambos casos, puede especificar el texto del consejo de política en la sección "Añadir un consejo de política que describa a los usuarios la razón de aplicar esta etiqueta" caja.

La siguiente captura de pantalla muestra un ejemplo de una etiqueta configurada con una condición personalizada y otra incorporada:


Por último, también puede añadir algunas notas que sólo serán visibles para los administradores en el apartado "Introducir notas para el mantenimiento interno" campo.

La introducción de cambios en la política de clasificación debe ir seguida de la Publicar y la interfaz de usuario de AIP lo indicará mediante una notificación de color naranja brillante. En el lado del cliente, las políticas se guardan como archivos legibles para el ser humano bajo la etiqueta %localappdata%\Nde Microsoft junto con los registros del cliente y la telemetría. La política se actualiza cada vez que se inicia una aplicación de Office (a menos que ya se esté ejecutando otra instancia de la misma aplicación), y en un horario regular de 24 horas.

Ya hemos mostrado cómo el usuario final puede ver o establecer la política de clasificación a través del complemento AIP Office, pero vamos a ampliar un poco más la experiencia. El título de la política y la información sobre herramientas, así como el conjunto de 5 etiquetas junto con su correspondiente color e información sobre herramientas, aparecen en la barra de Protección de la Información. Una vez que se ha establecido una etiqueta en el documento, la barra se actualizará con el nombre y el color de la etiqueta, y el control del selector de etiquetas se ocultará. En este momento, si quiere cambiar la etiqueta, puede pulsar el botón de edición que acaba de aparecer. Al hacerlo, volverá a aparecer el selector de etiquetas junto con un nuevo botón para Eliminar la etiqueta actual.

Al guardar el documento, entra en juego el resto de la configuración de la política. Si se ha configurado el etiquetado obligatorio, se pedirá al usuario que seleccione una etiqueta. Si hay etiquetas con condiciones automáticas en la política, el documento será escaneado, y al encontrar una coincidencia, la etiqueta se establecerá y se aplicarán las acciones configuradas. Por ejemplo, la etiqueta que hemos creado anteriormente detectará una única instancia del número CC en el documento y aplicará la marca de agua:


Si por alguna razón se ha aplicado una etiqueta incorrecta, puede cambiarla, respetando los ajustes de justificación configurados en el portal de Azure. Después de cambiar manualmente la etiqueta, ya no se aplicará la clasificación automática, aunque añada coincidencias de texto adicionales (o incluso una condición diferente).

Antes de terminar esta sección, vamos a mencionar también algunos problemas de la implementación actual. Como ya se ha señalado, el cliente AIP se entrega actualmente como un complemento de Office y no puede utilizarse para clasificar archivos fuera de las aplicaciones de Office (por ejemplo, haciendo clic con el botón derecho en un documento en el Explorador de archivos). Esta funcionalidad llegará pronto, y también podemos esperar que AIP se fusione con la aplicación de compartición RMS. Los clientes para dispositivos móviles aún no están disponibles, pero deberían llegar pronto también.

En el lado administrativo de las cosas, una limitación importante es la falta de soporte para la autenticación basada en formularios. Esto significa que si se utiliza AD FS, se debe configurar y utilizar la autenticación integrada de Windows en su lugar. Mientras que esto es genial para las máquinas unidas al dominio, será un problema para cualquier cliente "externo", incluyendo los dispositivos móviles. Otro problema es el control del acceso a la AIP. La política de clasificación se aplica a todos los usuarios y, a diferencia de RMS, no tenemos plantillas "departamentales". En cambio, el control de acceso es posible limitando el acceso al cliente. Falta la integración con ExO, SPO y el resto de servicios de Office 365, pero está en camino, así como las mejoras en la clasificación automática.

Para más información sobre Azure Information Protection u otros servicios ofrecidos por Forsyte, no dude en enviarnos un correo electrónico a info@fit-prod-web01.azurewebsites.net.

Dejar una respuesta

Debes estar conectado para publicar un comentario.

es_CRSpanish