Extender el etiquetado de confidencialidad en Windows

El cliente de Microsoft Purview Information Protection amplía las etiquetas de confidencialidad más allá de las etiquetas integradas en aplicaciones y servicios de Microsoft 365, y admite una gama más amplia de tipos de archivo.

Este cliente solo se ejecuta en Windows y reemplaza al cliente de etiquetado unificado de Azure Information Protection (AIP). Tiene los siguientes componentes:

Componente Descripción
Analizador de protección de la información Se usa para detectar, etiquetar y cifrar archivos en almacenes de datos, como recursos compartidos de red y bibliotecas de SharePoint Server.
Etiquetador de archivos de protección de la información Se usa para aplicar etiquetas de confidencialidad y cifrado mediante el Explorador de archivos.
Visor de protección de la información Se usa para ver los archivos cifrados.
Módulo de PowerShell de Microsoft Purview Information Protection Se usa para ajustar las etiquetas de confidencialidad en los archivos e instalar y configurar el escáner de Microsoft Purview Information Protection.

No hay ningún complemento de Office con el cliente de Microsoft Purview Information Protection porque esta funcionalidad se reemplaza por etiquetas de confidencialidad integradas en Office.

Para obtener la información de versión más reciente y las escalas de tiempo de soporte técnico para cada versión de cliente, consulte Cliente de Microsoft Purview Information Protection: administración y compatibilidad de versiones.

Requisitos para implementar el cliente de protección de la información

Para usar el cliente de Microsoft Purview Information Protection, instale este cliente en equipos Windows en los que quiera usar los componentes de cliente.

También debe cumplir los siguientes requisitos:

Los siguientes sistemas operativos admiten el cliente de Microsoft Purview Information Protection:

  • Windows 11
  • Windows 10 (x64) (escritura a mano no se admite en la compilación de Windows 10 RS4 y versiones posteriores).
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2 y Windows Server 2012

ARM64 no se admite.

Instalación o actualización del cliente de information protection

Si instala el cliente de información de Microsoft Purview de forma interactiva y se detecta el cliente de etiquetado unificado de Azure Information Protection (AIP), puede actualizar el cliente anterior después de confirmar que se quitará el complemento de AIP para Office.

Nota:

Las actualizaciones mediante el catálogo de Microsoft Update o cualquier otra instalación no interactiva requieren una configuración de clave del Registro si hay versiones de cliente de Azure Information Protection presentes en el equipo local.

Hay dos opciones para instalar el cliente de protección de la información:

  • Instalación del cliente de information protection mediante el instalador de.exe
  • Instalación del cliente de information protection mediante el instalador de.msi

Si va a actualizar el analizador de protección de la información, ya sea desde el cliente de etiquetado unificado de Azure Information Protection (AIP) o desde una versión anterior del cliente de information protection, consulte Actualización del analizador de Microsoft Purview Information Protection antes de usar estas instrucciones de instalación del cliente.

Para instalar el cliente de information protection con el archivo .exe:

  1. Descargue la versión ejecutable del cliente de Microsoft Purview Information Protection desde el Centro de descarga de Microsoft. Por ejemplo, PurviewInfoProtection.exe.

    Importante

    Si hay una versión preliminar disponible, use esa versión solo para las pruebas. No está pensado para usuarios finales en un entorno de producción.

  2. Para una instalación predeterminada, simplemente ejecute el archivo ejecutable. Para ver todas las opciones de instalación, ejecute primero el archivo ejecutable con /help. Por ejemplo:
    PurviewInfoProtection.exe **/help**

    1. Para instalar el cliente de forma silenciosa, ejecute:
      PurviewInfoProtection.exe /quiet
    2. Para instalar de forma silenciosa solo los cmdlets de PowerShell, ejecute:
      PurviewInfoProtection.exe PowerShellOnly=true /quiet

    Nota:

    De forma predeterminada, la opción para enviar estadísticas de uso a Microsoft está habilitada. Para deshabilitar esta opción, asegúrese de realizar uno de los pasos siguientes:

    • Durante la instalación, especifique AllowTelemetry=0
    • Después de la instalación, actualice la clave del Registro de la siguiente manera: EnableTelemetry=0.
  3. Para completar la instalación, reinicie todas las instancias del Explorador de archivos.

  4. Confirme que la instalación se realizó correctamente comprobando el archivo de registro de instalación, que se crea en la carpeta %temp% de forma predeterminada.

    El archivo de registro de instalación tiene el siguiente formato de nomenclatura: Microsoft_Azure_Information_Protection_<number>_<number>_MSIP.Setup.Main.msi.log

    Por ejemplo: Microsoft_Azure_Information_Protection_20161201093652_000_MSIP.Setup.Main.msi.log

    En el archivo de registro, busque la siguiente cadena: Producto: Microsoft Purview Information Protection: la instalación se completó correctamente. Si se produjo un error en la instalación, este archivo de registro contiene detalles que le ayudarán a identificar y resolver cualquier problema.

    Sugerencia

    Puede cambiar la ubicación del archivo de registro de instalación con el parámetro de instalación /log .

Ubicación de los archivos de registro

Los archivos de registro del cliente y del analizador se encuentran en las siguientes ubicaciones del equipo Windows:

  • \ProgramFiles (x86)\Microsoft Purview Information Protection (solo sistemas operativos de 64 bits)
  • \Archivos de programa\Microsoft Purview Information Protection (solo sistemas operativos de 32 bits)
  • %localappdata%\Microsoft\MSIP

Idiomas admitidos

El cliente de protección de la información admite los mismos idiomas que Office 365. Para obtener una lista de estos idiomas, consulte la página Disponibilidad internacional de Office.

Para estos idiomas, las opciones de menú, los cuadros de diálogo y los mensajes del cliente de Microsoft Purview Information Protection se muestran en el idioma del usuario. Hay un único instalador que detecta el idioma, por lo que no se requiere ninguna configuración adicional para instalar el cliente de protección de la información para diferentes idiomas.

Sin embargo, los nombres de etiqueta y las descripciones que especifique no se traducen automáticamente al configurar etiquetas en el portal de administración. Para que los usuarios vean las etiquetas en su idioma preferido, proporcione sus propias traducciones y configúrelas para las etiquetas mediante PowerShell y el parámetro LocaleSettings para Set-Label. Para obtener más información, consulte Configuración de ejemplo para configurar una etiqueta de confidencialidad para diferentes idiomas.

Tipos de archivo compatibles

En esta sección se enumeran los tipos de archivo admitidos por el cliente de Microsoft Purview Information Protection. Para los tipos de archivo enumerados, no se admiten las ubicaciones de WebDav.

Sugerencia

Al cifrar los tipos de archivo que no tienen compatibilidad integrada con el cifrado y, por lo tanto, se usa el cifrado genérico, se recomienda asignar el permiso de copropietario a estos archivos.

Los siguientes tipos de archivo se pueden etiquetar sin cifrado.

  • Formato de documento portátil de Adobe: .pdf

  • Microsoft Project: .mpp, .mpt

  • Microsoft Publisher: .pub

  • Microsoft XPS: .xps .oxps

  • Imágenes: .jpg, .jpe, .jpeg, .jif, .jfif, .jfi. png, .tif, .tiff

  • Autodesk Design Review 2013: .dwfx

  • Adobe Photoshop: .psd

  • Negativo digital: .dng

  • Microsoft Office: Los siguientes tipos de archivo, incluidos los formatos de archivo 97-2003 y los formatos Office Open XML para Word, Excel y PowerPoint.

    Word Excel PowerPoint Visio
    .doc .xls .potm .vdw
    .docm .xlsb .potx .vsd
    .docx .xlst .pps .vsdm
    .dot .xlsm .ppsm .vsdx
    .doctm .xlsx .ppsx .vss
    .dotx .xltm .vssm
    .xltx .vst
    .vstm
    .vssx
    .vstx

Carpetas y tipos de archivo excluidos

Para evitar que los usuarios cambien los archivos que son críticos para las operaciones del equipo, algunos tipos de archivos y carpetas se excluyen automáticamente de la clasificación y el etiquetado. Si los usuarios intentan etiquetar estos archivos mediante el cliente de protección de la información, ven un mensaje que indica que esos archivos están excluidos.

El cliente de protección de la información excluye las carpetas siguientes de la clasificación y el etiquetado:

  • Windows
  • Archivos de programa (\Archivos de programa y \Archivos de programa (x86))
  • \ProgramData
  • \AppData (para todos los usuarios)

Tipos de archivo que no se pueden cifrar de forma predeterminada

El cliente no puede cifrar de forma nativa cualquier archivo protegido con contraseña, a menos que el archivo esté abierto actualmente en la aplicación que aplica el cifrado. A menudo, los archivos PDF que están protegidos con contraseña, pero otras aplicaciones, como las aplicaciones de Office, también ofrecen esta funcionalidad.

Tipos de archivo admitidos para la inspección

El cliente de protección de la información usa Windows IFilter para inspeccionar el contenido de los documentos. Windows Search usa IFilter de Windows para la indexación. Como resultado, se pueden inspeccionar los siguientes tipos de archivo cuando se usa el comando Set-FileLabel -Autolabel de PowerShell.

Tipo de aplicación Tipo de archivo
Word .doc, .docx, .docm, .dot, .dotx
Excel .xls, .xlt, .xlsx, .xlsm, .xlsb
PowerPoint .ppt, .pps, .pot, .pptx
PDF .pdf
Texto .txt, .xml, .csv

Examen de archivos .ZIP

Puede usar el analizador de protección de la información o el comando Set-FileLabel de PowerShell para inspeccionar .zip archivos.

Nota:

Cuando el analizador de protección de la información está instalado en un equipo con Windows Server, también debe instalar el iFilter de Microsoft Office para examinar .zip archivos en busca de tipos de información confidencial. Para obtener más información, consulte el sitio de descarga de Microsoft.

Después de buscar información confidencial, si el archivo .zip debe etiquetarse y cifrarse con una etiqueta, en las instrucciones de implementación del analizador, especifique la extensión de nombre de archivo .zip con la configuración avanzada PFileSupportedExtensions de PowerShell.

Escenario de ejemplo:

Un archivo denominado accounts.zip contiene hojas de cálculo de Excel con números de tarjeta de crédito. Tiene una etiqueta de confidencialidad denominada Confidencial \ Finanzas, que está configurada para detectar números de tarjeta de crédito y aplicar automáticamente la etiqueta con cifrado que restringe el acceso al grupo Finanzas.

Después de inspeccionar el archivo, el cliente de la sesión de PowerShell etiqueta este archivo como Confidencial \ Finanzas. A continuación, el cliente aplica cifrado genérico al archivo para que solo los miembros de los grupos finance puedan descomprimirlo y cambie el nombre del archivo accounts.zip.pfile.

Compatibilidad con equipos desconectados

De forma predeterminada, el cliente de protección de la información intenta conectarse automáticamente a Internet para descargar las etiquetas de confidencialidad y la configuración de la directiva de etiquetas de confidencialidad de Microsoft Purview.

Si tiene equipos que no se pueden conectar a Internet durante un período de tiempo, puede exportar y copiar archivos que administren manualmente la directiva para el cliente de protección de la información.

Para admitir equipos desconectados del cliente de protección de la información:

  1. Elija o cree una cuenta de usuario en Microsoft Entra ID que usará para descargar las etiquetas y la configuración de directiva que desea usar en el equipo desconectado.

  2. Como una configuración de directiva de etiqueta adicional para esta cuenta, desactive el envío de datos de auditoría a Microsoft Purview mediante la configuración avanzada de PowerShell EnableAudit con Set-LabelPolicy de Security & Compliance PowerShell.

    Se recomienda este paso porque si el equipo desconectado tiene conectividad periódica a Internet, enviará información de registro a Microsoft Purview que incluye el nombre de usuario del paso 1. Esa cuenta de usuario puede ser diferente de la cuenta local que usa en el equipo desconectado.

  3. Desde un equipo con conectividad a Internet que tenga instalado el cliente de protección de la información e iniciado sesión con la cuenta de usuario del paso 1, descargue las etiquetas y la configuración de directiva.

  4. Desde este equipo, exporte los archivos de registro.

    Por ejemplo, ejecute el cmdlet Export-DebugLogs o use la opción Exportar registros del cuadro de diálogo Ayuda y comentarios del cliente desde el etiquetador de archivos.

    Los archivos de registro se exportan como un único archivo comprimido.

  5. Abra el archivo comprimido y, desde la carpeta MSIP, copie los archivos que tengan una extensión de nombre de archivo .xml.

  6. Pegue estos archivos en la carpeta %localappdata%\Microsoft\MSIP del equipo desconectado.

  7. Si la cuenta de usuario elegida es aquella que normalmente se conecta a Internet, habilite de nuevo el envío de datos de auditoría estableciendo el valor EnableAudit en True.

Tenga en cuenta que si un usuario de este equipo selecciona la opción Restablecer configuración de ayuda y comentarios en el etiquetador de archivos, esta acción elimina los archivos de directiva y deja al cliente inoperable hasta que reemplace manualmente los archivos o el cliente se conecte a Internet para que pueda descargar los archivos que necesita.

Si el equipo desconectado ejecuta el analizador de protección de la información, debe realizar pasos de configuración adicionales. Para obtener más información, consulte Restricción: El servidor del analizador no puede tener conectividad a Internet desde las instrucciones de implementación del analizador.

Personalizaciones admitidas

El cliente de protección de la información admite la configuración avanzada de PowerShell y algunas opciones de configuración del Registro que podrían ser necesarias para escenarios o usuarios específicos.

Para conocer la configuración avanzada de PowerShell que se admite con New-Label o Set-Label, y New-LabelPolicy o Set-LabelPolicy de Security & Compliance PowerShell, consulte Configuración avanzada para el cliente de Microsoft Purview Information Protection.

Use las secciones siguientes para ayudarle a configurar el registro para las personalizaciones admitidas.

Habilitación de la actualización no interactiva desde el cliente de Azure Information Protection

Si instala el cliente de Microsoft Purview Information Protection y se detecta el cliente de etiquetado unificado de Azure Information Protection, una instalación interactiva del cliente requiere que confirme que se quitará el complemento AIP para Office del cliente anterior.

Para usar una instalación no interactiva para el cliente, como el catálogo de Microsoft Update, la directiva de grupo o el scripting, primero debe desinstalar el cliente de Azure Information Protection o crear y configurar la siguiente clave del Registro para el equipo local:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\AllowMajorVersionUpgrade (DWORD)

Establezca el valor en 1 para permitir silenciosamente la actualización y desinstalar el complemento de Office de AIP; 0 bloquea la actualización si está instalado el cliente de Azure Information Protection.

Cambio del nivel de registro local

De forma predeterminada, el cliente de Purview Information Protection escribe archivos de registro de cliente en la carpeta %localappdata%\Microsoft\MSIP . Estos archivos están diseñados para la solución de problemas por parte del soporte técnico de Microsoft.

Para cambiar el nivel de registro de estos archivos, busque el siguiente nombre de valor en el Registro y establezca los datos de valor en el nivel de registro necesario:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

Establezca el nivel de registro en uno de los valores siguientes:

  • Desactivado: no hay registro local.

  • Error: solo errores.

  • Advertir: Errores y advertencias.

  • Información: Registro mínimo, que no incluye ningún identificador de evento (la configuración predeterminada para el analizador).

  • Depuración: información completa.

  • Seguimiento: registro detallado (la configuración predeterminada para los clientes).

Esta configuración del Registro no cambia la información que se envía a la auditoría de Microsoft Purview.

Habilitación de la configuración de límites de datos

Siguiendo el compromiso de Microsoft con los límites de datos de la UE, los clientes de la UE que usan el cliente de Microsoft Purview Information Protection pueden enviar sus datos a la UE para almacenarlos y procesarlos.

Active esta característica en el cliente de protección de la información cambiando la siguiente clave del Registro que especifica la ubicación para enviar eventos:

  • Clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
  • Valores:
    • Default = 0
    • North_America = 1
    • European_Union = 2

Habilitación del explorador predeterminado del sistema para la autenticación

Use el explorador predeterminado del sistema para la autenticación en el cliente de Microsoft Purview Information Protection. De forma predeterminada, el cliente de protección de la información abre Microsoft Edge para la autenticación.

Active esta característica en el cliente de protección de la información habilitando la siguiente clave del Registro:

  • Clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
  • Valores:
    • Disabled = 0
    • Enabled = 1

Ocultar la opción de menú "Aplicar etiqueta de confidencialidad con Microsoft Purview" en el Explorador de archivos

Para ocultar la opción de menú Aplicar etiqueta de confidencialidad con Microsoft Purview en el Explorador de archivos, cree la siguiente clave del Registro DWORD que tenga el nombre de valor LegacyDisable y cualquier dato de valor:

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick

Aplicación de etiquetas de confidencialidad mediante el cliente de protección de la información

Una vez instalado el cliente de Microsoft Purview Information Protection, puede aplicar las etiquetas de confidencialidad que ha creado y publicado mediante:

Para ver documentos cifrados, consulte Visualización de archivos protegidos con el visor de Microsoft Purview Information Protection.