Cómo las aplicaciones y los servicios de Office admiten Azure Rights Management

Se aplica a: Azure Information Protection y Office 365

Pertinente para: Cliente de etiquetado unificado de AIP y cliente clásico de AIP.

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestro último blog sobre desuso.

Las aplicaciones de Office de usuario final y los servicios de Office pueden usar el servicio Azure Rights Management desde Azure Information Protection con el objetivo de proteger los datos de la organización. Estas aplicaciones de Office son Word, Excel, PowerPoint y Outlook. Los servicios de Office son Exchange y Microsoft SharePoint. Las configuraciones de Office que admiten el servicio Azure Rights Management suelen usar el término Information Rights Management (IRM).

Aplicaciones de Office: Word, Excel, PowerPoint, Outlook

Estas aplicaciones admiten Azure Rights Management integrado y permiten a los usuarios aplicar protección a un documento guardado o a un mensaje de correo electrónico que se va a enviar. Los usuarios pueden usar plantillas para aplicar la protección. En el caso de Word, Excel y PowerPoint, los usuarios pueden elegir configuraciones personalizadas para restricciones de uso, derechos y acceso.

Por ejemplo, los usuarios pueden configurar un documento de Word para que solamente tengan acceso a él las personas de la organización, o controlar si se puede editar una hoja de cálculo de Excel, si se restringe a solo lectura o si se impide que se pueda imprimir. En el caso de los archivos sujetos a limitación temporal, se puede configurar una fecha de expiración en la que ya no se podrá tener acceso al archivo. Los usuarios pueden aplicar directamente esta configuración, o bien se puede aplicar mediante una plantilla. Para Outlook, los usuarios también pueden elegir la opción No reenviar para tratar de evitar la pérdida de datos.

Si está listo para configurar aplicaciones de Office, consulte Aplicaciones de Office: Configuración para clientes.

Para ver los problemas conocidos pertinentes, consulte Problemas conocidos de AIP en aplicaciones de Office.

Exchange Online y Exchange Server

Cuando se usa Exchange Online o Exchange Server, se pueden configurar opciones para Azure Information Protection. Esta configuración permite a Exchange proporcionar las siguientes soluciones de protección:

  • Exchange ActiveSync IRM para que los dispositivos móviles puedan proteger y consumir mensajes de correo electrónico protegidos.

  • Compatibilidad con protección de correo electrónico para Outlook en la Web, que se implementa de forma similar en el cliente de Outlook. Esta configuración permite a los usuarios proteger los mensajes de correo electrónico mediante plantillas u opciones de protección. Los usuarios podrán leer y usar los mensajes de correo electrónico protegidos que se les envíen.

  • Reglas de protección para clientes de Outlook que un administrador configura para aplicar automáticamente plantillas de protección y opciones a los mensajes de correo electrónico para destinatarios concretos. Por ejemplo, cuando se envían correos electrónicos internos a tu departamento legal, solo los miembros del departamento legal pueden leerlos y no se pueden reenviar. Los usuarios consultan la protección que se aplicará al mensaje de correo electrónico antes de enviarlo y, de forma predeterminada, pueden quitarla si deciden que no es necesaria. Los correos electrónicos se cifran antes de enviarlos. Para obtener más información, consulte Reglas de protección de Outlook y Crear una regla de protección de Outlook en la biblioteca de Exchange.

  • Reglas de flujo de correo que un administrador configura para aplicar automáticamente plantillas u opciones de protección a los mensajes de correo electrónico. Estas reglas se basan en propiedades como el remitente, el destinatario, el asunto del mensaje y el contenido. Conceptualmente estas reglas son similares a las reglas de protección pero no permiten a los usuarios quitar la protección, ya que está establecida por el servicio de Exchange y no por el cliente. Como el servicio establece la protección, es irrelevante el dispositivo o el sistema operativo que tengan los usuarios. Para obtener más información, vea Reglas de flujo de correo (reglas de transporte) en Exchange Online y Crear una regla de protección de transporte para Exchange local.

  • Directivas de prevención de pérdida de datos (DLP) que contienen conjuntos de condiciones para filtrar mensajes de correo electrónico y tomar medidas para tratar de evitar la pérdida de contenido confidencial. Una de las acciones que puede especificar es aplicar el cifrado como protección, mediante la especificación de una de las opciones o plantillas de protección. Las sugerencias de las directivas se pueden usar cuando se detecta información confidencial, para alertar a los usuarios de que es posible que sea necesario aplicar protección. Para obtener más información, vea Prevención de pérdida de datos en la documentación de Exchange Online.

  • Cifrado de mensajes que admite el envío de un mensaje de correo electrónico protegido y documentos protegidos de Office como datos adjuntos a cualquier dirección de correo electrónico en cualquier dispositivo. Las cuentas de usuario que no usan Azure AD pueden usar la experiencia web, compatible con el uso de proveedores de identidades sociales o de un código de acceso de un solo uso. Para obtener más información, consulte Configuración de nuevas funcionalidades Microsoft 365 cifrado de mensajes creadas sobre Azure Information Protection la documentación Microsoft 365 mensajes. Para ayudarle a encontrar información adicional relacionada con esta configuración, vea Microsoft 365 Message Encryption.

Si usa Exchange local, puede usar las características de IRM con el servicio Azure Rights Management implementando microsoft Rights Management connector. Este conector actúa como un punto de retransmisión entre los servidores locales y el servicio Azure Rights Management.

Para obtener más información sobre las opciones de correo electrónico que puede usar para proteger los correos electrónicos, vea No reenviar opción para correos electrónicos y opción de solo cifrado para correos electrónicos.

Si ya está listo para configurar Exchange para proteger el correo electrónico:

Para más información, consulte:

SharePoint en Microsoft 365 y SharePoint Server

Cuando se usa SharePoint en Microsoft 365 o SharePoint Server, puede proteger documentos mediante la característica de Administración de derechos de información (IRM) de SharePoint. Esta característica permite a los administradores proteger listas o bibliotecas de modo que cuando un usuario consulte un documento, el archivo descargado esté protegido para que solo personas autorizadas puedan verlo y usarlo según las directivas de protección de la información que se hayan especificado. Por ejemplo, el archivo podría ser de solo lectura, deshabilitar el copiado del texto, evitar que se guarde una copia local e impedir que se pueda imprimir.

Los documentos de Word, PowerPoint, Excel y PDF admiten esta protección IRM de SharePoint. De manera predeterminada, la protección está restringida a la persona que descarga el documento. Puede cambiar este ajuste predeterminado por una opción de configuración denominada Permitir la protección de grupos, que amplía la protección a un grupo que se debe especificar. Por ejemplo, podría especificar un grupo que tenga permiso para editar documentos en la biblioteca para que el mismo grupo de usuarios pueda editar el documento fuera de SharePoint, independientemente de que el usuario descargue el documento. También podría especificar un grupo al que no se le hayan concedido permisos en SharePoint, pero los usuarios de este grupo deben acceder al documento fuera de SharePoint. Para listas y bibliotecas de SharePoint, esta protección siempre la configura un administrador, nunca un usuario final. Los permisos se establecen en el nivel de sitio, y estos permisos, de forma predeterminada, se heredan por cualquier lista o biblioteca de ese sitio. Si usa SharePoint en Microsoft 365, los usuarios también pueden configurar su biblioteca de Microsoft OneDrive para la protección de IRM.

Para un control más específico, puede configurar una lista o biblioteca en el sitio para que deje de heredar permisos de su elemento primario. Después, puede configurar los permisos de IRM en ese nivel (lista o biblioteca) y luego se denominarán "permisos exclusivos". Pero los permisos siempre se establecen en el nivel de contenedor, no se pueden establecer permisos en archivos individuales.

En primer lugar, el servicio IRM se debe habilitar para SharePoint. Después, especifique los permisos IRM para una biblioteca. Para SharePoint y OneDrive, los usuarios también pueden especificar permisos de IRM para su biblioteca de OneDrive. SharePoint no usa plantillas de directiva de derechos, aunque hay valores de configuración de SharePoint que se pueden seleccionar que coinciden con la configuración que se puede especificar en las plantillas.

Si usa SharePoint Server, puede usar esta protección de IRM mediante la implementación del conector Rights Management Microsoft. Este conector actúa como un relé entre los servidores locales y el servicio en la nube de Rights Management. Para obtener más información, vea Implementación del conector Rights Management Microsoft.

Nota

Existen algunas limitaciones al usar IRM de SharePoint:

  • No pueden utilizar las plantillas de protección predeterminadas o personalizadas que se administran en Azure Portal.

  • No se admiten los archivos que tienen una extensión de nombre de archivo .ppdf para archivos PDF protegidos. Para más información sobre la visualización de documentos PDF protegidos, consulte Lectores PDF protegidos para Microsoft Information Protection.

  • Cuando más de un usuario edita un documento al mismo tiempo, la co-autoría no se admite. Para editar un documento en una biblioteca protegida mediante IRM, debe activar primero el documento y descargarlo y, a continuación, modificarlo en la aplicación de Office. Por lo tanto, solo una persona puede editar el documento a la vez.

En el caso de las bibliotecas que no están protegidas con IRM, si aplica solo protección a un archivo que después carga en SharePoint o OneDrive, lo siguiente no funciona con este archivo: coautoría, Office para la web, búsqueda, vista previa de documentos, miniaturas, eDiscovery y prevención de pérdida de datos (DLP).

Importante

SharePoint IRM se puede usar en combinación con etiquetas de confidencialidad que aplican protección. Cuando se usan ambas características juntas, el comportamiento cambia para los archivos protegidos. Para obtener más información, vea Habilitar etiquetas de confidencialidad para archivos de Office en SharePoint y OneDrive.

Al usar la protección IRM de SharePoint, el servicio Azure Rights Management aplica restricciones de uso y cifrado de datos a los documentos. Concretamente, se aplican al descargar los documentos de SharePoint y no al crearlos allí ni al cargarlos en la biblioteca. Para obtener información sobre cómo se protegen los documentos antes de que se descarguen, vea Cifrado de datos en OneDrive y SharePoint desde la documentación de SharePoint.

Para ver los cambios que se van a realizar, vea Actualizaciones de seguridad, administración y migración de SharePoint.

Si está listo para configurar SharePoint para IRM:

Pasos siguientes

Si tiene Microsoft 365, es posible que le interese revisar Soluciones de protección de archivos en Microsoft 365, que proporciona funcionalidades recomendadas para proteger archivos en Microsoft 365.

Para conocer otras aplicaciones y servicios compatibles con el servicio Azure Rights Management de Azure Information Protection, vea Compatibilidad de aplicaciones con el servicio Azure Rights Management.

Si está listo para iniciar la implementación, lo que incluye la configuración de estas aplicaciones y servicios, consulte el mapa de ruta de implementación de AIP para la clasificación, el etiquetado y la protección.