Configuración de derechos de uso para Azure Information Protection

Se aplica a: Azure Information Protection y Office 365

Pertinente para: cliente de etiquetado unificado de AIP y cliente clásico de AIP

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestro último blog sobre desuso.

Para más detalles, en este artículo se incluyen valores del Portal de Azure clásico, que dejó de estar disponible el 8 de enero de 2018.

En este artículo se describen los derechos de uso que puede configurar para que se apliquen automáticamente cuando usuarios, administradores o servicios configurados seleccionan una etiqueta o plantilla.

Los derechos de uso se seleccionan al configurar etiquetas de confidencialidad o plantillas de protección para el cifrado. Por ejemplo, puede seleccionar roles que configuren una agrupación lógica de derechos de uso o configurar los derechos individuales por separado. Como alternativa, los usuarios pueden seleccionar y aplicar los derechos de uso por sí mismos.

Importante

Use este artículo para comprender cómo las aplicaciones diseñan los derechos de uso.

Las aplicaciones pueden variar en la forma en que implementan los derechos de uso y se recomienda consultar la documentación de la aplicación y realizar sus propias pruebas para comprobar el comportamiento de la aplicación antes de la implementación en producción.

Derechos de uso y descripciones

En la tabla siguiente se enumeran y se describen los derechos de uso que admite Rights Management y cómo se usan y se interpretan. Se enumeran por su nombre común, que es normalmente cómo se muestra o se referencia el derecho de uso, como una versión más descriptiva del valor de una sola palabra que se usa en el código (el valor Codificación en la directiva).

En esta tabla:

  • La constante o valor de API es el nombre del SDK de una llamada API msipc, que se usa al escribir una aplicación que comprueba si hay un derecho de uso o agrega un derecho de uso a una directiva.

  • El centro de administración de etiquetado es el Centro de cumplimiento de Microsoft 365, donde se configuran las etiquetas de confidencialidad.

    Si tiene el cliente clásico, configure las etiquetas y las directivas de etiquetas en el Azure Portal.

Derecho de uso Descripción Implementación
Nombre común: Editar contenido, Editar

Codificación en la directiva: DOCEDIT
Permite al usuario modificar, reorganizar, formatear u ordenar el contenido dentro de la aplicación. No concede el derecho a guardar la copia modificada.

En Word, a menos que tenga Office 365 ProPlus con una versión mínima de 1807, este derecho no basta para activar o desactivar el Control de cambios ni para usar todas las características de seguimiento de cambios como revisor. En su lugar, para utilizar todas las opciones de seguimiento de cambios, se requiere el siguiente derecho: Control total.
Derechos personalizados de Office: como parte de las opciones Cambiar y Control total.

Nombre en el Portal de Azure clásico: Editar contenido

Nombre en las Centro de cumplimiento de Microsoft 365 y Azure Portal: Editar contenido, Editar (DOCEDIT)

Nombre en las plantillas de AD RMS: Editar

Constante o valor de API: no aplicable.
Nombre común: Guardar

Codificación en la directiva: EDIT
Permite al usuario guardar el documento en la ubicación actual.

En las aplicaciones de Office, este derecho también permite al usuario modificar el documento y guardarlo en una nueva ubicación con un nuevo nombre si el formato de archivo seleccionado admite la protección de Rights Management de forma nativa. La restricción de formato de archivo garantiza que la protección original no se puede quitar del archivo.
Derechos personalizados de Office: como parte de las opciones Cambiar y Control total.

Nombre en el Portal de Azure clásico: Guardar archivo

Nombre en el Centro de cumplimiento de Microsoft 365 y Azure Portal: Guardar (EDIT)

Nombre en las plantillas de AD RMS: Guardar

Constante o valor de API: IPC_GENERIC_WRITE L"EDIT"
Nombre común: Comentario

Codificación en la directiva: COMMENT
Habilita la opción para agregar anotaciones o comentarios al contenido.

Este derecho está disponible en el SDK como directiva ad hoc en el módulo de Azure Information Protection y RMS Protection para Windows PowerShell y se ha implementado en algunas aplicaciones de proveedores de software. Sin embargo, no se usa ampliamente y no es compatible con las aplicaciones de Office.
Derechos personalizados de Office: no implementados.

Nombre en el Portal de Azure clásico: no implementado.

Nombre en el Centro de cumplimiento de Microsoft 365 y Azure Portal: No implementado.

Nombre en las plantillas de AD RMS: no implementado.

Constante o valor de API: IPC_GENERIC_COMMENT L"COMMENT
Nombre común: Guardar como, Exportar

Codificación en la directiva: EXPORT
Habilita la opción para guardar el contenido con un nombre de archivo diferente (Guardar como).

Para el cliente de Azure Information Protection, el archivo se puede guardar sin protección, y también se puede volver a proteger con nuevos permisos y otra configuración. Estas acciones permitidas significan que un usuario que tenga este derecho puede cambiar o quitar una etiqueta de Azure Information Protection de un documento o correo electrónico protegido.

Este derecho también permite al usuario realizar otras opciones de exportación en las aplicaciones, como Enviar a OneNote.
Derechos personalizados de Office: como parte de la opción Control total.

Nombre en el Portal de Azure clásico: Exportar contenido (Guardar como)

Nombre en el Centro de cumplimiento de Microsoft 365 y Azure Portal: Guardar como, Exportar (EXPORT)

Nombre en las plantillas de AD RMS: Exportar (Guardar como)

Constante o valor de API: IPC_GENERIC_EXPORT L"EXPORT"
Nombre común: Reenviar

Codificación en la directiva: FORWARD
Habilita la opción para reenviar un mensaje de correo electrónico y agregar destinatarios a las líneas Para y CO. Este derecho no se aplica a documentos, solo a mensajes de correo electrónico.

No permite que el reenviador conceda derechos a otros usuarios como parte de la acción de reenvío.

Cuando conceda este derecho, conceda también el derecho Editar contenido, Editar (nombre común) y, adicionalmente, el derecho Guardar (nombre común) para asegurarse de que el mensaje de correo electrónico original no se entrega como un archivo adjunto. Especifique también estos derechos cuando envíe un correo a otra organización que usa el cliente de Outlook u Outlook Web App. O bien, para los usuarios de su organización que están exentos de usar Rights Management protección porque ha implementado controles de incorporación.
Derechos personalizados de Office: denegados al usar la directiva estándar No reenviar.

Nombre en el Portal de Azure clásico: Reenviar

Nombre en la Centro de cumplimiento de Microsoft 365 y Azure Portal: Reenviar (FORWARD)

Nombre en las plantillas de AD RMS: Reenviar

Constante o valor de API: IPC_EMAIL_FORWARD L"FORWARD"
Nombre común: Control total

Codificación en la directiva: OWNER
Concede todos los derechos para el documento; se pueden realizar todas las acciones disponibles.

Incluye la capacidad de quitar la protección de un documento y de volver a protegerlo.

Tenga en cuenta que este derecho de uso no es el mismo que el propietario de Rights Management.
Derechos personalizados de Office: como la opción personalizada Control total.

Nombre en el Portal de Azure clásico: Control total

Nombre en la Centro de cumplimiento de Microsoft 365 y Azure Portal: Control total (OWNER)

Nombre en las plantillas de AD RMS: Control total

Constante o valor de API: IPC_GENERIC_ALL L"OWNER"
Nombre común: Imprimir

Codificación en la directiva: PRINT
Habilita las opciones para imprimir el contenido. Derechos personalizados de Office: como la opción Imprimir contenido de los permisos personalizados. No se trata de un valor por destinatario.

Nombre en el Portal de Azure clásico: Imprimir

Nombre en las Centro de cumplimiento de Microsoft 365 y Azure Portal: Imprimir (PRINT)

Nombre en las plantillas de AD RMS: Imprimir

Constante o valor de API: IPC_GENERIC_PRINT L"PRINT"
Nombre común: Responder

Codificación en la directiva: REPLY
Habilita la opción Responder en un cliente de correo electrónico, sin permitir que se realicen cambios en las líneas Para o CC.

Cuando conceda este derecho, conceda también el derecho Editar contenido, Editar (nombre común) y, adicionalmente, el derecho Guardar (nombre común) para asegurarse de que el mensaje de correo electrónico original no se entrega como un archivo adjunto. Especifique también estos derechos cuando envíe un correo a otra organización que usa el cliente de Outlook u Outlook Web App. O bien, para los usuarios de su organización que están exentos de usar Rights Management protección porque ha implementado controles de incorporación.
Derechos personalizados de Office: no aplicables.

Nombre en el Portal de Azure clásico: Responder

Nombre en Azure Portal: Responder (REPLY)

Nombre en las plantillas de AD RMS: Responder

Constante o valor de API: IPC_EMAIL_REPLY
Nombre común: Responder a todos

Codificación en la directiva: REPLYALL
Habilita la opción Responder a todos en un cliente de correo electrónico, pero no permite al usuario agregar a destinatarios a las líneas Para o CO.

Cuando conceda este derecho, conceda también el derecho Editar contenido, Editar (nombre común) y, adicionalmente, el derecho Guardar (nombre común) para asegurarse de que el mensaje de correo electrónico original no se entrega como un archivo adjunto. Especifique también estos derechos cuando envíe un correo a otra organización que usa el cliente de Outlook u Outlook Web App. O bien, para los usuarios de su organización que están exentos de usar Rights Management protección porque ha implementado controles de incorporación.
Derechos personalizados de Office: no aplicables.

Nombre en el Portal de Azure clásico: Responder a todos

Nombre en la Centro de cumplimiento de Microsoft 365 y Azure Portal: Responder a todos (RESPONDER A TODOS)

Nombre en las plantillas de AD RMS: Responder a todos

Constante o valor de API: IPC_EMAIL_REPLYALL L"REPLYALL"
Nombre común: Ver, Abrir, Leer

Codificación en la directiva: VIEW
Permite al usuario abrir el documento y ver el contenido.

En Excel, este derecho no basta para ordenar los datos, lo que requiere el derecho siguiente: Editar contenido, Editar. Para filtrar datos en Excel, necesita estos dos derechos: Editar contenido, Editar y Copiar.
Derechos personalizados de Office: como la opción Ver de la directiva personalizada Leer.

Nombre en el Portal de Azure clásico: Ver

Nombre en la Centro de cumplimiento de Microsoft 365 y Azure Portal: Ver, Abrir, Leer (VER)

Nombre en las plantillas de AD RMS: Leer

Constante o valor de API: IPC_GENERIC_READ L"VIEW"
Nombre común: Copiar

Codificación en la directiva: EXTRACT
Habilita las opciones para copiar los datos (incluidas las capturas de pantalla) del documento en el mismo o en otro documento.

En algunas aplicaciones, también permite que todo el documento se guarde en formato desprotegido.

En Skype Empresarial y en aplicaciones de uso compartido de pantalla similares, el moderador debe tener este derecho para moderar correctamente un documento protegido. Si el moderador no tiene este de derecho, los asistentes no pueden ver el documento y se muestra como oscurecido para ellos.
Derechos personalizados de Office: como la opción de directiva personalizada Permitir que los usuarios con acceso de lectura copien el contenido.

Nombre en el Portal de Azure clásico: Copiar y extraer contenido

Nombre en el Centro de cumplimiento de Microsoft 365 y Azure Portal: Copiar (EXTRACT)

Nombre en las plantillas de AD RMS: Extraer

Constante o valor de API: IPC_GENERIC_EXTRACT L"EXTRACT"
Nombre común: Derechos de visualización

Codificación en la directiva: VIEWRIGHTSDATA
Permite al usuario ver la directiva que se aplica al documento.

No es compatible con aplicaciones de Office ni Azure Information Protection cliente.
Derechos personalizados de Office: no implementados.

Nombre en el Portal de Azure clásico: Ver permisos asignados

Nombre en el Centro de cumplimiento de Microsoft 365 y Azure Portal: Derechos de vista (VIEWRIGHTSDATA).

Nombre en las plantillas de AD RMS: Derechos de visualización

Constante o valor de API: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
Nombre común: Cambiar permisos

Codificación en la directiva: EDITRIGHTSDATA
Permite al usuario cambiar la directiva que se aplica al documento. Incluye la eliminación de la protección.

No es compatible con aplicaciones de Office ni Azure Information Protection cliente.
Derechos personalizados de Office: no implementados.

Nombre en el Portal de Azure clásico: Cambiar permisos

Nombre en el Centro de cumplimiento de Microsoft 365 y Azure Portal: Editar derechos (EDITRIGHTSDATA).

Nombre en las plantillas de AD RMS: Editar derechos

Constante o valor de API: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
Nombre común: Permitir macros

Codificación en la directiva: OBJMODEL
Habilita la opción para ejecutar macros u obtener acceso remoto o mediante programación al contenido de un documento. Derechos personalizados de Office: como la opción de directiva personalizada Permitir el acceso mediante programación. No se trata de un valor por destinatario.

Nombre en el Portal de Azure clásico: Permitir macros

Nombre en el Centro de cumplimiento de Microsoft 365 y Azure Portal: Permitir macros (OBJMODEL)

Nombre en las plantillas de AD RMS: Permitir macros

Constante o valor de API: no implementado.

Derechos incluidos en los niveles de permisos

Algunas aplicaciones agrupan derechos de uso en niveles de permisos para facilitar la selección de derechos de uso que suelen utilizarse de forma conjunta. Estos niveles de permisos ayudan a resumir un nivel de complejidad de los usuarios para que puedan elegir opciones basadas en roles. Por ejemplo, Revisor y Coautor. Aunque estas opciones suelen mostrar a los usuarios un resumen de los derechos, puede que no incluyan todos los derechos enumerados en la tabla anterior.

Use la tabla siguiente para ver una lista de estos niveles de permisos y una lista completa de los derechos que contienen. Los derechos de uso se enumeran por su nombre común.

Nivel de permisos APLICACIONES Derechos de uso incluidos
Visor Portal de Azure clásico

Azure portal

Cliente de Azure Information Protection para Windows
Ver, Abrir, Leer; Derechos de visualización; Responder [1]; Responder a todos [1]; Permitir macros [2]

Nota: Para los mensajes de correo, use Revisor en lugar de este nivel de permiso para asegurarse de que se recibe una respuesta de correo electrónico como un mensaje de correo en lugar de un archivo adjunto. Revisor también es necesario cuando se envía un correo electrónico a otra organización que usa Outlook Web App o el cliente de Outlook. También es necesario para los usuarios de su organización que no necesitan usar el servicio Azure Rights Management porque se han implementado controles de incorporación.
Revisor Portal de Azure clásico

Azure portal

Cliente de Azure Information Protection para Windows
Ver, Abrir, Leer; Guardar; Editar contenido, Editar; Derechos de visualización; Responder: Responder a todos [3]; Reenviar [3]; Permitir macros [2]
Coautor Portal de Azure clásico

Azure portal

Cliente de Azure Information Protection para Windows
Ver, Abrir, Leer; Guardar; Editar contenido, Editar; Copiar; Derechos de visualización; Permitir macros; Guardar como, Exportar [4]; Imprimir; Responder [3]; Responder a todos [3]; Reenviar [3]
Copropietario Portal de Azure clásico

Azure portal

Cliente de Azure Information Protection para Windows
Ver, Abrir, Leer; Guardar; Editar contenido, Editar; Copiar; Derechos de visualización; Cambiar derechos; Permitir macros; Guardar como, Exportar; Imprimir; Responder [3]; Responder a todos [3]; Reenviar [3]; Control total
Nota al pie 1

No se incluye en la Centro de cumplimiento de Microsoft 365 o Azure Portal.

Nota al pie 2

Para el Azure Information Protection cliente para Windows, este derecho es necesario para la barra de Information Protection aplicaciones de Office.

Nota al pie 3

No se aplica al cliente de Azure Information Protection para Windows.

Nota al pie 4

No se incluye en el Centro de cumplimiento de Microsoft 365, el Azure Portal o el cliente Azure Information Protection para Windows.

Opción No reenviar para correos electrónicos

Los clientes y servicios de Exchange (por ejemplo, el cliente de Outlook, Outlook en la web, las reglas de flujo de correo de Exchange y las acciones de DLP para Exchange) tienen una opción adicional de protección de derechos de información para correos electrónicos: No reenviar.

Aunque esta opción aparece para los usuarios (y los administradores de Exchange) como si fuera una plantilla predeterminada de Rights Management que se puede seleccionar, No reenviar no es una plantilla. Esto explica por qué no se ve en Azure Portal al visualizar y administrar las plantillas de protección. En realidad, la opción No reenviar es un conjunto de derechos de uso que los usuarios aplican dinámicamente a los destinatarios de correo electrónico.

Cuando se aplica la opción No reenviar a un correo electrónico, el correo electrónico se cifra y se deben autenticar los destinatarios. Por eso, los destinatarios no pueden reenviarlo, imprimirlo ni copiarlo. Por ejemplo, en el cliente de Outlook, el botón Reenviar no está disponible, como tampoco lo están las opciones de menú Guardar como e Imprimir y no se pueden agregar ni cambiar los destinatarios de los cuadros Para, CC o CCO.

Los documentos de Office sin protección que se adjuntan automáticamente al correo electrónico heredan las mismas restricciones. Los derechos de uso que se aplican a estos documentos son los siguientes: Editar contenido, Editar; Guardar; Ver, Abrir, Leer; y Permitir macros. Si quiere que cada archivo adjunto tenga derechos de uso diferentes, o en el caso de que el archivo adjunto sea un documento de Office incompatible con esta protección heredada, proteja el archivo antes de adjuntarlo al correo electrónico. Luego, puede asignar los derechos de uso específicos que necesite para el archivo.

Diferencia entre la opción No reenviar y no conceder el derecho de uso Reenviar

Hay una diferencia importante entre aplicar la opción No reenviar y aplicar una plantilla que no concede el derecho de uso Reenviar a un correo electrónico: la opción No reenviar usa una lista dinámica de usuarios autorizados basada en los destinatarios del mensaje original que elige el usuario, mientras que los derechos de la plantilla tienen una lista estática de usuarios autorizados que el administrador ha especificado anteriormente. ¿Cuál es la diferencia? Veamos un ejemplo:

Un usuario quiere enviar información por correo electrónico a personas concretas del departamento de marketing que no debe compartirse con nadie más. ¿Debe proteger el correo electrónico con una plantilla que restringe los derechos (ver, responder y guardar) al departamento de marketing? ¿O debe elegir la opción No reenviar? Ambas opciones harían que los destinatarios no pudieran reenviar el correo electrónico.

  • Si aplica la plantilla, los destinatarios pueden seguir compartiendo la información con otros usuarios del departamento de marketing. Por ejemplo, un destinatario puede usar el explorador para arrastrar y colocar el correo electrónico en una ubicación compartida o en una unidad USB. De este modo, cualquier persona del departamento de marketing (y el propietario del correo electrónico) que tenga acceso a esta ubicación podrá ver la información del correo electrónico.

  • Si aplica la opción No reenviar, los destinatarios no podrán compartir la información con ninguna persona del departamento de marketing si mueven el correo electrónico a otra ubicación. En este caso, solo los destinatarios originales (y el propietario del correo electrónico) podrán ver la información del correo electrónico.

Nota

Use No reenviar cuando sea importante que solo los destinatarios que elige el remitente puedan ver la información del correo electrónico. Use una plantilla para correos electrónicos para restringir los derechos a un grupo de personas especificadas de antemano por el administrador, independientemente de los destinatarios que elija el remitente.

Opción de solo cifrado para correos electrónicos

Cuando Exchange Online usa las nuevas funcionalidades para el cifrado de mensajes de Office 365, está disponible una nueva opción Cifrar correo electrónico para cifrar los datos sin restricciones adicionales.

Esta opción está disponible para los inquilinos que usan Exchange Online y se puede seleccionar de la siguiente manera:

  • En Outlook en la web con la opción Cifrar o una etiqueta de confidencialidad configurada para Permitir a los usuarios asignar permisos y la opción Cifrar solo
  • Como otra opción de protección de derechos para una regla de flujo de correo
  • Como una acción DLP de Office 365
  • Desde la aplicación Outlook para escritorios y dispositivos móviles:
    • Con una etiqueta de confidencialidad configurada para Permitir a los usuarios asignar permisos y la opción Solo cifrar, para Windows, macOS, iOS y Android cuando se usa el etiquetado integrado con las versiones mínimas enumeradas en la tabla para las funcionalidades de etiqueta de confidencialidad en Outlook.
    • Con la opción Cifrar en Windows y macOS, para las versiones enumeradas en la tabla de versiones admitidas para Microsoft 365 Appspor canal de actualización , cuando tenga aplicaciones de Microsoft 365 compatibles con Azure Rights Management.

Para obtener más información sobre la opción de solo cifrado, vea la siguiente entrada de blog cuando se anunció por primera vez desde el equipo de Office: Cifrar solo la aplicación en cifrado de mensajes de Office 365.

Cuando se selecciona esta opción, se cifra el correo electrónico y los destinatarios deben autenticarse. Así, los destinatarios tienen todos los derechos de uso salvo Guardar como, Exportar y Control total. Esta combinación de derechos de uso implica que los destinatarios no tienen restricciones, excepto que no pueden eliminar la protección. Por ejemplo, un destinatario puede copiar del correo electrónico, imprimirlo y reenviarlo.

Del mismo modo, de manera predeterminada, los documentos de Office sin protección que se adjuntan al correo electrónico heredan los mismos permisos. Estos documentos se protegen de manera automática y cuando los destinatarios los descargan, pueden guardarlos, editarlos, copiarlos e imprimirlos desde las aplicaciones de Office. Cuando un destinatario guarda el documento, se puede guardar con un nombre nuevo e incluso con un formato distinto, pero solo están disponibles los formatos de archivo compatibles con la protección para que el documento no se pueda guardar sin la protección original. Si quiere que cada archivo adjunto tenga derechos de uso diferentes, o en el caso de que el archivo adjunto sea un documento de Office incompatible con esta protección heredada, proteja el archivo antes de adjuntarlo al correo electrónico. Luego, puede asignar los derechos de uso específicos que necesite para el archivo.

Como alternativa, puede cambiar esta herencia de protección de documentos si especifica Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true con Exchange Online PowerShell. Use esta configuración cuando no sea necesario conservar la protección original del documento una vez que se autentica el usuario. Si los destinatarios abren el mensaje de correo, el documento no está protegido.

Si es necesario que el documento adjunto conserve la protección original, consulte Protección de la colaboración con documentos mediante Azure Information Protection.

Nota

Si ve referencias a DecryptAttachmentFromPortal, sepa que este parámetro está en desuso para Set-IRMConfiguration. A menos que haya establecido previamente este parámetro, no estará disponible.

Cifrado automático de documentos PDF con Exchange Online

Cuando Exchange Online usa las nuevas funcionalidades para el cifrado de mensajes de Office 365, puede cifrar automáticamente documentos PDF sin protección cuando se adjuntan a un correo electrónico cifrado. El documento hereda los mismos permisos que los del mensaje de correo electrónico. Para habilitar esta configuración, establezca EnablePdfEncryption $True set-IRMConfiguration.

Los destinatarios que aún no tienen instalado un lector que admita el estándar ISO para el cifrado de PDF pueden instalar uno de los lectores enumerados en lectores PDF que admiten Microsoft Information Protection. Como alternativa, los destinatarios pueden leer el documento PDF protegido en el portal de OME.

Emisor de Rights Management y propietario de Rights Management

Cuando un documento o mensaje de correo está protegido mediante el servicio Azure Rights Management, la cuenta que protege el contenido se convierte automáticamente en el emisor de Rights Management para ese contenido. Esta cuenta se ha registrado como el campo emisor en los registros de uso.

Al emisor de Rights Management siempre se le concede el derecho de uso Control total para el documento o mensaje de correo, y además:

  • Si la configuración de protección incluye una fecha de expiración, el emisor de Rights Management todavía puede abrir y editar el documento o mensaje de correo después de esa fecha.

  • El emisor de Rights Management siempre puede acceder al documento o mensaje de correo electrónico sin conexión.

  • El emisor de Rights Management todavía puede abrir un documento después de que se revoque.

De forma predeterminada, esta cuenta es también el propietario de Rights Management de ese contenido, como sucede cuando el usuario que ha creado el documento o mensaje de correo inicia la protección. Pero hay algunos escenarios donde un administrador o un servicio puede proteger el contenido en nombre de los usuarios. Por ejemplo:

  • Un administrador protege de forma masiva los archivos en un recurso compartido: la cuenta de administrador en Azure AD protege los documentos de los usuarios.

  • El conector Rights Management protege los documentos de Office en una carpeta de Windows Server: la cuenta de la entidad de servicio en Azure AD que se ha creado para el conector RMS protege los documentos de los usuarios.

En estos escenarios, el emisor de Rights Management puede asignar al propietario de Rights Management a otra cuenta mediante los SDK de Azure Information Protection o PowerShell. Por ejemplo, cuando se usa el cmdlet de PowerShell Protect-RMSFile con el cliente de Azure Information Protection, se puede especificar el parámetro OwnerEmail para asignar el propietario de Rights Management a otra cuenta.

Cuando el emisor de Rights Management protege en nombre de los usuarios, la asignación del propietario de Rights Management garantiza que el propietario del documento o mensaje de correo original tiene el mismo nivel de control del contenido protegido que si hubiera iniciado la protección él mismo.

Por ejemplo, el usuario que ha creado el documento puede imprimirlo, aunque ahora está protegido con una plantilla que no incluye el derecho de uso Imprimir. El mismo usuario siempre puede tener acceso a sus documentos, independientemente de la configuración de acceso sin conexión o la fecha de expiración que se hayan configurado en esa plantilla. Además, dado que el propietario de Rights Management tiene el derecho de uso Control total, este usuario también puede volver a proteger el documento para conceder acceso a usuarios adicionales (momento en que el usuario se convierte entonces en el emisor de Rights Management, así como en el propietario de Rights Management) y este usuario puede incluso quitar la protección. Pero solo el emisor de Rights Management puede realizar un seguimiento y revocar un documento.

El propietario de Rights Management de un documento o mensaje de correo se ha registrado como el campo owner-email en los registros de uso.

Nota

El Rights Management propietario es independiente del propietario del sistema de archivos de Windows. A menudo son los mismos, pero pueden ser diferentes, incluso si no se usan los SDK o PowerShell.

Licencia de uso de Rights Management

Cuando un usuario abre un documento o correo electrónico que se ha protegido con Azure Rights Management, se concede al usuario una licencia de uso de Rights Management para ese contenido. Esta licencia de uso es un certificado que contiene los derechos de uso del usuario para el documento o mensaje de correo electrónico y la clave de cifrado que se ha usado para cifrar el contenido. La licencia de uso, además, contiene una fecha de expiración, si se ha establecido, y el período de validez de la licencia de uso.

Un usuario debe tener una licencia de uso válida para abrir el contenido además de su certificado de cuenta de derechos (RAC), que es un certificado que se otorga cuando se inicializa el entorno de usuario y se renueva cada 31 días.

Mientras la licencia de uso esté en vigor, no es necesario autenticar ni volver a autorizar al usuario para el contenido. Esto permite al usuario seguir abierto el documento o correo electrónico protegido sin conexión a Internet. Una vez que el período de validez de la licencia de uso haya expirado, la siguiente vez que el usuario acceda al documento o correo electrónico protegido, deberá volver a autenticarse y autorizarse.

Si los documentos y mensajes de correo electrónico se protegen mediante una etiqueta o una plantilla que define la configuración de protección, puede cambiar esta configuración en la plantilla o etiqueta sin tener que volver a proteger el contenido. Si el usuario ya ha accedido al contenido, los cambios se aplican una vez que la licencia de uso haya expirado. Sin embargo, si los usuarios aplican permisos personalizados (también conocidos como directiva de permisos "ad-hoc") y estos permisos deben cambiarse después de haber protegido el documento o correo electrónico, ese contenido se debe volver a proteger con los nuevos permisos. Los permisos personalizados para un mensaje de correo electrónico se implementan con la opción No reenviar.

El período de validez de licencia de uso predeterminado para un inquilino es de 30 días y puede configurar este valor mediante el cmdlet de PowerShell Set-AipServiceMaxUseLicenseValidityTime. Puede establecer una configuración más restrictiva para el momento en el que se aplique la protección mediante una etiqueta o plantilla:

  • Al configurar una etiqueta o una plantilla en Azure Portal, el período de validez de la licencia de uso toma su valor de la opción Permitir el acceso sin conexión.

    Para obtener más información y orientaciones para configurar este valor en Azure Portal, vea la tabla Información sobre la configuración de protección a fin de conocer cómo configurar una etiqueta para la protección de Rights Management.

  • Al configurar una plantilla mediante PowerShell, el período de validez de la licencia de uso toma su valor del parámetro LicenseValidityDuration de los cmdlets Set-AipServiceTemplateProperty y Add-AipServiceTemplate.

    Para obtener más información e instrucciones para configurar este valor mediante PowerShell, consulte la ayuda de cada cmdlet.

Derechos incluidos en las plantillas predeterminadas

Relevante para: solo cliente clásico de AIP

En la tabla siguiente se enumeran los derechos de uso incluidos al crear las plantillas predeterminadas. Los derechos de uso se enumeran por su nombre común.

Estas plantillas predeterminadas se crean cuando se compró la suscripción y los nombres y derechos de uso se pueden cambiar en el Azure Portal y con PowerShell.

Nombre para mostrar de la plantilla Derechos de uso desde el 6 de octubre de 2017 hasta la fecha actual Derechos de uso antes del 6 de octubre de 2017
<organization name> - Solo vista confidencial

o

Extremadamente confidencial \ Todos los empleados
Ver, Abrir, Leer; Copiar; Derechos de visualización; Permitir macros; Imprimir, Reenviar; Responder; Responder a todos; Guardar; Editar contenido, Editar Ver, Abrir, Leer
<organization name>- Confidencial

o

Confidencial \ Todos los empleados
Ver, Abrir, Leer; Guardar; Guardar como, Exportar; Copiar; Derechos de visualización; Permitir macros; Imprimir; Reenviar; Responde; Responder a todos; Guardar; Editar contenido, Editar; Control total Ver, Abrir, Leer; Guardar como, Exportar; Editar contenido, Editar; Derechos de visualización; Permitir macros; Reenviar; Responder; Responder a todos

Consulte también