- Inicie sesión en Azure portal con un usuario definido como superusuario en la cuenta organizativa de Azure.
- En el panel de navegación izquierdo, seleccione el servicio Azure Active Directory y, a continuación, registros nuevosen registro de aplicaciones.
- En la página registrar una aplicación , introduzca la información de registro de su aplicación:
- Nombre : Introduzca un nombre de aplicación significativo que se muestre a los usuarios de la aplicación.
- Tipos de cuenta admitidos : seleccione cuentas solo en este directorio de organización.
Redirect URl (optional) : Puede dejar este campo en blanco.
- Seleccione Registrarse. Azure AD asigna un ID de aplicación (cliente) exclusivo a su aplicación y se le redirige a la página Descripción general de la aplicación.
- Copie los valores de dos campos: ID de aplicación (cliente) y ID de directorio (inquilino). Los necesitará más tarde para crear la configuración del servidor de Azure en los servidores de ePO registrados.
- Haga clic en permisos de API en administrary, a continuación, en Agregar un permiso. Aparece la página solicitar permisos de API.
- Agregue las API y los permisos de MIP que la aplicación necesita en tiempo de ejecución:
- En la página Seleccione una API , haga clic en Azure Rights Management Services.
- En la página API de Azure Rights Management Services , haga clic en permisos de aplicación.
- En la sección seleccione permisos , expanda el nodo contenido y seleccione contenido. DelegatedReader, Content. DelegatedWritery permisos de contenido .SuperUser. Esta opción permite a la aplicación crear y acceder al contenido protegido de todos los usuarios de su cuenta organizativa en Azure.
- Haga clic en Agregar permisos para guardar.
- Repita el paso 7 anterior y busque la API desde la página Seleccione una API .
- En la página seleccione una API , haga clic en API que utilice mi organización. En el campo de búsqueda, escriba Microsoft servicio de sincronización de protección de información y selecciónela.
- En la página API del servicio de sincronización de información de Microsoft , haga clic en permisos de aplicación.
- Amplíe el nodo UnifiedPolicy y verifique UnifiedPolicy. tenant. Read.
- Haga clic en Agregar permisos para guardar.
- En la página permisos de API , haga clic en conceder consentimiento de administrador para (nombre de inquilino)y, a continuación, haga clic en sí. Esta selección otorga consentimiento previo a la aplicación mediante este registro, para acceder a las API en los permisos especificados. Si inicia sesión como administrador global, el consentimiento se registra para todos los usuarios del inquilino que ejecuten la aplicación. De lo contrario, solo se aplica a su cuenta de usuario.
- Haga clic
Certificates & secrets en administrar y, después, en nuevo secreto de cliente:- Agregue una descripción para el secreto de cliente, seleccione una duración y haga clic en Agregar.
- Copie y guarde el valor de secreto de cliente creado.
Configuración de Azure MIP en Data Loss Prevention
Artículos técnicos ID:
KB91833
Última modificación: 03/10/2022
Última modificación: 03/10/2022
Entorno
DLP Endpoint 11.6.x , 11.5.x
Resumen
En este artículo se proporciona información sobre la compatibilidad de Azure Microsoft Information Protection (MIP) en DLP Discover 11.4.x y DLP Endpoint 11.6.x , 11.5.x. además de proporcionar el proceso de configuración necesario para utilizarlo.
Nota: Al registrar varios servidores de Azure en ePolicy Orchestrator (ePO), puede provocar una lentitud en el rendimiento. Le recomendamos que agregue solo los servidores de Azure que necesite.
Realice las siguientes tareas:
Nota: Al registrar varios servidores de Azure en ePolicy Orchestrator (ePO), puede provocar una lentitud en el rendimiento. Le recomendamos que agregue solo los servidores de Azure que necesite.
Realice las siguientes tareas:
- Registrar una aplicación cliente con Azure Active Directory (AD):
Para utilizar la función MIP de Azure en el servidor de DLP Discover, la aplicación cliente debe estar registrada con Azure AD. Para registrar la aplicación cliente, siga estos pasos:
Para usar las funciones de Azure con DLP Endpoint, la aplicación cliente se debe registrar con Azure AD. Para registrar la aplicación cliente, siga estos pasos:
Nota: Actualmente, DLP solo admite entornos corporativos que utilicen Azure AD híbridos (servicios de Federación, sincronización de hash de contraseña).
- Inicie sesión en Azure portal con un usuario definido como superusuario en la cuenta organizativa de Azure.
- En el panel de navegación izquierdo, seleccione el servicio Azure Active Directory y, a continuación, registros nuevosen registro de aplicaciones.
- En la página registrar una aplicación, introduzca la información de registro de su aplicación:
- Nombre: Introduzca un nombre de aplicación significativo que se muestre a los usuarios de la aplicación.
- Tipos de cuenta admitidos: Seleccione cuentas solo en este directorio de organización.
Redirect URl (optional) : Este campo se puede dejar en blanco.
- Seleccione Registrarse. Azure AD asigna un ID de aplicación (cliente) exclusivo a su aplicación y se le redirige a la página Descripción general de la aplicación.
- Copie los valores de dos campos: ID de aplicación (cliente) y ID de directorio (inquilino). Los necesitará más tarde para crear la configuración del servidor de Azure en los servidores de ePO registrados.
- En la lista de páginas de la aplicación, seleccione manifiestoy realice lo siguiente:
- Establezca la propiedad allowPublicClient en true en el editor de manifiestos.
- Haga clic en Guardar en la barra sobre el editor de manifiestos.
- Verifique que signInAudience esté establecido en AzureADandPersonalMicrosoftAccount.
- Verifique que accessTokenAcceptedVersion esté establecido en 2.
- Haga clic en permisos de API en administrary, a continuación, en Agregar un permiso. Aparece la página solicitar permisos de API .
- Agregue las API y los permisos de MIP que la aplicación necesita en tiempo de ejecución:
- En la página Seleccione una API , haga clic en Azure Rights Management Services.
- En la página API de Azure Rights Management Services , haga clic en permisos de aplicación.
- En la sección seleccione permisos , expanda el nodo contenido y seleccione contenido. DelegatedReader, Content. DelegatedWriter, Content. Writer y Content. superusuario. Esta opción permite a la aplicación crear y acceder al contenido protegido de todos los usuarios de su cuenta organizativa en Azure.
- Cambie el tipo de permisos a permisos delegadosy seleccione user_impersonation permiso.
- Haga clic en Agregar permisos para guardar.
- Repita el paso 7 y busque la API desde la página Seleccione una API :
- En la página seleccione una API , haga clic en API que utilice mi organización. En el campo de búsqueda, escriba Microsoft servicio de sincronización de protección de información y selecciónela.
- En la página API del servicio de sincronización de información de Microsoft , haga clic en permisos de aplicación.
- Expanda el nodo UnifiedPolicy y seleccione UnifiedPolicy. tenant. Read.
- Cambie a permisos delegadosy seleccione UnifiedPolicy. User. Read.
- Haga clic en Agregar permisos para guardar.
- Repita el paso 7 y busque la API desde la página Seleccione una API :
- En la página seleccione una API , haga clic en Microsoft gráfico.
- En la página Microsoft gráfico , haga clic en permisos de aplicación.
- En la sección seleccione permisos , seleccione
User. Read. All, Directiva. read .All member. Read. oculto, InformationProtectionPolicy. Read. All, Group. Read. All, dominio.ReadWrite. All, Device.ReadWrite. All, Application. ReadWrite. OwnedByy Application. ReadWrite. todos los permisos. - Cambie el tipo de permisos a permisos delegadosy seleccione
User. Read, User. Read. All, User. ReadBasic. Ally Group. Read. todos los permisos. - Haga clic en Agregar permisos para guardar.
- En la página permisos de API , haga clic en conceder consentimiento de administrador para (nombre de inquilino) y sí. Esta selección otorga consentimiento previo a la aplicación mediante este registro para acceder a las API con los permisos especificados. Si inicia sesión como administrador global, el consentimiento se registra para todos los usuarios del inquilino que ejecuten la aplicación. De lo contrario, solo se aplica a su cuenta de usuario.
- Haga clic
Certificates & secrets en administrary, a continuación, en nuevo secreto de cliente:- Agregue una descripción para el secreto de cliente, seleccione la duración y haga clic en Agregar.
- Copie y guarde el valor de secreto de cliente creado.
- Consulte protección de la información y realice lo siguiente cuando configure las etiquetas:
- Si la etiqueta está configurada como cifrado, asegúrese de que los usuarios que utilicen la etiqueta tengan al menos derechos de copropietario en la etiqueta.
- Verifique que la etiqueta esté establecida en la Directiva utilizada:
- Vaya a directivas de etiquetas y compruebe si la etiqueta está visible en la sección etiquetas publicadas .
- Asigne la etiqueta mediante la opción Editar Directiva por si no es visible.
Para obtener más información sobre cómo crear y publicar etiquetas, consulte esta Microsoft documentación.
- Registre un servidor de Azure en los servidores de ePO registrados.
Una vez creada la aplicación cliente en el portal de Azure, debe definir un servidor de Azure en la configuración de ePO.
Nota: Asegúrese de que el propietario de administración de derechos sea el propietario de la aplicación en la aplicación que esté usando. Puede verlo en la pestaña propietarios , bajo la configuración de la aplicación.
Además, las etiquetas utilizadas en Azure se deben agregar manualmente a la definición del servidor.
Estas etiquetas se pueden seleccione a continuación al definir una reacción de directiva de RM para el servidor de Azure. Para obtener más detalles sobre esta tarea, consulte la Guía de instalación de Data Loss Prevention para su versión de producto.
- Registre un servidor de Azure para Microsoft protección de la información.
Nota: Este tema se aplica a DLP Endpoint para su uso con MVISION ePO. DLP Endpoint para su uso con MVISION ePO se puede integrar con Azure Microsoft Information Protection (MIP).
Registre un servidor de Azure y las etiquetas de protección de forma que pueda seleccionarla para la protección en las reacciones de la regla.
- En MVISION ePO, seleccione menú, administrador de directivas de DLP y definiciones.
- En el panel de la izquierda, en la categoría Servidores de gestión de derechos, seleccione Protección de la información de Microsoft. Haga clic en acciones, nuevo elemento.
- Introduzca un nombre para la configuración del servidor y una descripción opcional.
- Introduzca el ID de aplicación (cliente) y el ID de directorio (inquilino) tal y como se define en los detalles de registro de la aplicación Azure.
- Introduzca cada Nombre de etiqueta de AIP y el ID de etiqueta de AIP tal y como se muestra en su cuenta de Azure.
- Haga clic en Guardar cuando haya completado la configuración.
Se ha guardado su servidor de Azure y las etiquetas de protección de información.
Puede crear una clasificación mediante las etiquetas de protección de información de Azure y agregarla a una regla de protección de datos.
Para obtener los documentos del producto, vaya al portal de documentación del producto.
Información relacionada
Solución de problemas de adquisición de tokens de Azure
Localice el siguiente contenido de registro del extractor de texto de DLP:
"... AcquireADALToken] Failed to acquire token, status:" <Status#>
Ejemplo: "AcquireADALToken] no se ha podido adquirir token, estado: CAA20003"
traducción de códigos de estado:
CAA2000C : la solicitud requiere la interacción del usuario.
Significa que la adquisición silenciosa token falla.
Compruebe lo siguiente:
Este error indica un nombre de usuario/contraseña incorrectos para la autenticación AD contraseña. Asegúrese de que el nombre de usuario y la contraseña sean correctos.
CAA82EE7 : no se puede resolver el nombre del servidor.
Para obtener más información, consulte esta documentación.
CAA90018 : no se puede descubrir un ámbito de usuario.
Para obtener más información, consulte esta documentación Microsoft.
Error al conectar con un Endpoint de dominio Kerberos de usuario y realizar el descubrimiento de territorios. (Solo Windows 10 versión 1809 y posteriores).
Localice el siguiente contenido de registro del extractor de texto de DLP:
Ejemplo: "AcquireADALToken] no se ha podido adquirir token, estado: CAA20003"
traducción de códigos de estado:
CAA2000C : la solicitud requiere la interacción del usuario.
Significa que la adquisición silenciosa token falla.
Compruebe lo siguiente:
- Azure AD el inicio de sesión único (SSO) se selecciona como método de autenticación.
- La autenticación con varios factores (MFA) está desactivada para la aplicación.
- En la sección permisos, se debe conceder el consentimiento del administrador.
Este error indica un nombre de usuario/contraseña incorrectos para la autenticación AD contraseña. Asegúrese de que el nombre de usuario y la contraseña sean correctos.
CAA82EE7 : no se puede resolver el nombre del servidor.
Para obtener más información, consulte esta documentación.
CAA90018 : no se puede descubrir un ámbito de usuario.
Para obtener más información, consulte esta documentación Microsoft.
Error al conectar con un Endpoint de dominio Kerberos de usuario y realizar el descubrimiento de territorios. (Solo Windows 10 versión 1809 y posteriores).
- El dispositivo debe tener acceso a Microsoft en el contexto del sistema. Este acceso permite al dispositivo realizar el descubrimiento de territorios para el dominio verificado. También necesita determinar el tipo de dominio (gestionado o federado).
- Si el entorno local necesita un proxy saliente, debe asegurarse de que el contexto del sistema del dispositivo pueda descubrir y autenticarse silenciosamente en el proxy saliente.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: