Reglas de protección de OutlookOutlook protection rules

Se aplica a: Exchange Server 2013Applies to: Exchange Server 2013

Todos los días, los trabajadores de la información intercambian información confidencial por correo electrónico, incluso informes y datos financieros, información del cliente y del empleado e información y especificaciones confidenciales del producto.Every day, information workers exchange sensitive information by email, including financial reports and data, customer and employee information, and confidential product information and specifications. En Microsoft Exchange Server 2013, Microsoft Outlook y Microsoft Office Outlook Web App, los usuarios pueden aplicar la protección de Information Rights Management (IRM) a los mensajes mediante la aplicación de una plantilla de directiva de derechos de Active Directory Rights Management Services (AD RMS).In Microsoft Exchange Server 2013, Microsoft Outlook, and Microsoft Office Outlook Web App, users can apply Information Rights Management (IRM) protection to messages by applying an Active Directory Rights Management Services (AD RMS) rights policy template. Esto requiere implementar AD RMS en la organización.This requires an AD RMS deployment in the organization. Para obtener más información acerca de AD RMS, consulte Rights Management Services de Active Directory.For more information about AD RMS, see Active Directory Rights Management Services.

Sin embargo, cuando se deja a criterio de los usuarios, es posible que los mensajes se envíen en texto no cifrado y sin la protección de IRM. En organizaciones que utilizan el correo electrónico como servicio hospedado, existe el riesgo de filtración de información cuando el mensaje sale del cliente y se enruta y almacena fuera de los límites de la organización. Aunque las empresas de hospedaje de correo electrónico pueden disponer de comprobaciones y procedimientos bien definidos para contribuir a mitigar el riesgo de filtración de información, una vez que un mensaje abandona los límites de una organización, ésta pierde el control sobre la información. Las reglas de protección de Outlook pueden ayudar a proteger contra este tipo de filtraciones de información.However, when left to the discretion of users, messages may be sent in clear text without IRM protection. In organizations that use email as a hosted service, there's a risk of information leakage as a message leaves the client and is routed and stored outside the boundaries of an organization. Although email hosting companies may have well-defined procedures and checks to help mitigate the risk of information leakage, after a message leaves the boundary of an organization, the organization loses control of the information. Outlook protection rules can help protect against this type of information leakage.

Para tareas de administración relacionadas con la administración de IRM, consulte procedimientos de Information Rights Management.For management tasks related to managing IRM, see Information Rights Management procedures.

Protección automática de IRM en OutlookAutomatic IRM protection in Outlook

En Exchange 2013, las reglas de protección de Outlook ayudan a su organización a protegerse ante el riesgo de filtraciones de información mediante la aplicación automática de la protección de IRM a los mensajes de Exchange 2013. Los mensajes se protegen con IRM antes de abandonar al cliente de Outlook. Esta protección también se aplica a los datos adjuntos que usan formatos de archivo compatibles.In Exchange 2013, Outlook protection rules help your organization protect against the risk of information leakage by automatically applying IRM-protection to messages in Exchange 2013. Messages are IRM-protected before they leave the Outlook client. This protection is also applied to any attachments using supported file formats.

Al crear reglas de protección de Outlook en un servidor de Exchange 2013, las reglas se distribuyen automáticamente a Outlook 2010 por medio de los servicios Web Exchange.When you create Outlook protection rules on an Exchange 2013 server, the rules are automatically distributed to Outlook 2010 by using Exchange Web Services. Para que Outlook 2010 aplique la regla, la plantilla de directivas de derechos de AD RMS especificada debe estar disponible en los equipos de los usuarios.For Outlook 2010 to apply the rule, the AD RMS rights policy template you specify must be available on users' computers.

Importante

Si se quita una plantilla de directiva de derechos del   servidor de AD RMS, debe modificar las reglas de protección de Outlook que usen la plantilla eliminada.If a rights policy template is removed from the AD RMS server, you must modify any Outlook protection rules that use the removed template. Si una regla de protección de Outlook sigue utilizando una plantilla de directivas de derechos que se ha eliminado y la organización tiene habilitado el descifrado de transporte, el agente de descifrado no podrá descifrar el mensaje protegido con una plantilla que ya no está disponible.If an Outlook protection rule continues to use a rights policy template that's been removed, and transport decryption is enabled in the organization, the Decryption agent will fail to decrypt the message protected with a template that's no longer available. Si el descifrado de transporte está configurado como obligatorio, el servicio de transporte rechazará el mensaje y enviará un informe de no entrega (NDR) al remitente.If transport decryption is configured as mandatory, the Transport service will reject the message and send a non-delivery report (NDR) to the sender. Para obtener más información acerca del descifrado de transporte, consulte Descifrado de transporte.For more details about transport decryption, see Transport decryption. Para obtener más información sobre   las plantillas de directiva de derechos de AD RMS, consulte consideraciones de plantillas de directiva de AD RMS.For more details about AD RMS rights policy templates, see AD RMS Policy Template Considerations.
En Windows Server 2008 y versiones posteriores, las plantillas de directiva de derechos se pueden archivar en lugar de eliminarlas.In Windows Server 2008 and later, rights policy templates can be archived instead of deleted. Las plantillas archivadas todavía se pueden utilizar para emitir licencias de contenido pero, al crear o modificar una regla de protección de Outlook, las plantillas archivadas no se incluyen en la lista de plantillas.Archived templates can still be used to license content, but when you create or modify an Outlook protection rule, archived templates aren't included in the list of templates.

Las reglas de protección de Outlook son similares a las reglas de protección de transporte.Outlook protection rules are similar to transport protection rules. Ambos tipos se aplican según las condiciones de los mensajes y ambos protegen los mensajes mediante la aplicación de una plantilla de protección de derechos de AD RMS.Both are applied based on message conditions, and both protect messages by applying an AD RMS rights protection template. Sin embargo, las reglas de protección de transporte se aplican en el servicio de transporte en el servidor Buzón de correo por parte del agente de reglas de transporte.However, transport protection rules are applied in the Transport service on the Mailbox server by the Transport Rules agent. Las reglas de protección de Outlook se aplican en Outlook 2010, antes de que el mensaje salga del equipo del usuario.Outlook protection rules are applied in Outlook 2010, before the message leaves the user's computer. Los mensajes protegidos por una regla de protección de Outlook entran en la canalización de transporte con la protección de IRM ya aplicada.Messages protected by an Outlook protection rule enter the transport pipeline with IRM protection already applied. Asimismo, los mensajes protegidos con una regla de protección de Outlook también quedan almacenados en formato cifrado en la carpeta Elementos enviados del buzón de correo del remitente.Additionally, messages protected with an Outlook protection rule are also saved in an encrypted format in the Sent Items folder of the sender's mailbox.

Nota

Si el descifrado de transporte está habilitado en la organización de Exchange, el agente de descifrado del servicio de transporte puede descifrar los mensajes protegidos con IRM por una regla de protección de Outlook que use el   servidor AD RMS de su organización.If transport decryption is enabled in your Exchange organization, messages that are IRM-protected by an Outlook protection rule using the AD RMS server in your organization can be decrypted by the Decryption agent on Transport service. El agente de reglas de transporte u otros agentes de transporte instalados en el servidor de transporte pueden examinar el contenido de los mensajes.Message content can be inspected by the Transport Rules agent and other transport agents installed on the Transport service. Para obtener más información acerca del descifrado de transporte, consulte Descifrado de transporte.For more details about transport decryption, see Transport decryption.

Cuando se utilizan reglas de protección de transporte, los usuarios ignoran si un mensaje se protegerá automáticamente en el servidor de transporte. Cuando se aplica una regla de protección de Outlook a un mensaje de Outlook 2010, los usuarios saben si el mensaje estará protegido por IRM. Si es necesario, los usuarios también pueden seleccionar otra plantilla de directivas de derechos.When you use transport protection rules, users have no indication of whether a message is going to be automatically protected on the Transport service. When an Outlook protection rule is applied to a message in Outlook 2010, users know if a message will be IRM-protected. If required, users can also select a different rights policy template.

Creación de reglas de protección de OutlookCreating Outlook protection rules

Para crear reglas de protección de Outlook, es necesario utilizar el cmdlet New-OutlookProtectionRule en el Shell de administración de Exchange. Para obtener instrucciones detalladas, consulte Crear una regla de protección de Outlook.To create Outlook protection rules, you must use the New-OutlookProtectionRule cmdlet in the Exchange Management Shell. For detailed instructions, see Create an Outlook Protection Rule.

Al crear una regla se puede especificar si el usuario podrá invalidarla, ya sea eliminando la protección de IRM o aplicando otra plantilla de directivas de derechos de AD RMS a la especificada en la regla.When creating a rule, you can specify whether the user can override it, either by removing IRM-protection or by applying a different AD RMS rights policy template than the one specified in the rule. Si un usuario invalida la protección IRM aplicada por una regla de protección de Outlook, Outlook 2010 inserta el X-MS-Outlook-Client-Rule-Overridden encabezado en el mensaje, lo que le permite determinar que el usuario ha reemplazado la regla.If a user overrides the IRM protection applied by an Outlook protection rule, Outlook 2010 inserts the X-MS-Outlook-Client-Rule-Overridden header in the message, which allows you to determine that the rule was overridden by the user.

Predicados en las reglas de protección de OutlookPredicates in Outlook protection rules

Las reglas de protección de Outlook permiten utilizar tres predicados para aplicar automáticamente la protección de IRM en Outlook 2010:Outlook protection rules allow you to use three predicates to automatically apply IRM protection in Outlook 2010:

  • FromDepartment: el predicado FromDepartment busca el atributo de Departamento del remitente en Active Directory y automáticamente protege IRM el mensaje si el Departamento del remitente coincide con el Departamento especificado en la regla.FromDepartment: The FromDepartment predicate looks up the sender's department attribute in Active Directory and automatically IRM-protects the message if the sender's department matches the department specified in the rule. Por ejemplo, se puede crear una regla de protección de Outlook para proteger automáticamente todos los mensajes enviados por el departamento de investigación.For example, you can create an Outlook protection rule to automatically protect all messages sent by the Research department.

  • Sentto: es posible que su organización deba proteger los mensajes enviados a determinados destinatarios confidenciales, como los grupos de distribución todos los de la compañía o finanzas.SentTo: Your organization may need to protect messages sent to certain sensitive recipients, such as the All Company or Finance distribution groups. Mediante el predicado sentto , puede crear una regla de protección de Outlook para proteger automáticamente los mensajes enviados a los destinatarios especificados.Using the SentTo predicate, you can create an Outlook protection rule to automatically IRM-protect messages sent to specified recipients.

  • SentToScope: el predicado SentToScope permite crear una regla de protección de Outlook para proteger automáticamente con IRM los mensajes enviados dentro o fuera de la organización.SentToScope: The SentToScope predicate allows you to create an Outlook protection rule to automatically IRM-protect messages sent inside or outside the organization. Por ejemplo, puede usar el predicado SentToScope con el predicado FromDepartment para proteger con IRM los mensajes enviados por un departamento determinado a los usuarios internos.For example, you can use the SentToScope predicate with the FromDepartment predicate to IRM-protect messages sent by a particular department to internal users.