Reglas de protección de transporteTransport protection rules

Se aplica a: Exchange Server 2013Applies to: Exchange Server 2013

Los mensajes y los datos adjuntos de correo electrónico contienen cada vez más información crítica para la empresa como especificaciones de productos, documentos de estrategia empresarial y datos financieros, o información de identificación personal (PII) como detalles de contactos, números de seguridad social, números de tarjetas de crédito y registros de empleados. Existen varias reglamentaciones locales y específicas de la industria en muchas partes del mundo que rigen la recopilación, el almacenamiento y la divulgación de la información de identificación personal.Email messages and attachments increasingly contain business critical information such as product specifications, business strategy documents, and financial data, or personally identifiable information (PII) such as contact details, social security numbers, credit card numbers, and employee records. There are a number of industry-specific and local regulations in many parts of the world that govern the collection, storage, and disclosure of PII.

Para ayudar a proteger la información confidencial, las organizaciones crean directivas de mensajería que brindan pautas acerca de cómo administrar este tipo de información.To help protect sensitive information, organizations create messaging policies that provide guidelines about how to handle this information. En Microsoft Exchange Server 2013, puede usar reglas de protección de transporte para implementar estas directivas de mensajería mediante la inspección del contenido del mensaje, el cifrado del contenido de correo electrónico confidencial y el uso de Rights Management para controlar el acceso al contenido.In Microsoft Exchange Server 2013, you can use transport protection rules to implement these messaging policies by inspecting message content, encrypting sensitive email content, and using rights management to control access to the content.

Para tareas de administración relacionadas con la administración de IRM, consulte procedimientos de Information Rights Management.For management tasks related to managing IRM, see Information Rights Management procedures.

Reglas de protección de transporte y AD RMSTransport protection rules and AD RMS

Las reglas de protección de transporte le permiten usar reglas de transporte para mensajes protegidos con IRM mediante la aplicación de una plantilla de directiva de derechos de Active Directory Rights Management Services (AD RMS).Transport protection rules allow you to use transport rules to IRM-protect messages by applying an Active Directory Rights Management Services (AD RMS) rights policy template.

Nota

AD RMS es una tecnología de protección de la información que funciona con aplicaciones y clientes habilitados para Rights Management Service (RMS) con el fin de proteger información confidencial en línea y sin conexión.AD RMS is an information protection technology that works with Rights Management Service (RMS)-enabled applications and clients to protect sensitive information online and offline. Para usar la protección de IRM en una implementación local de Exchange, Exchange 2013 requiere una implementación local de AD RMS que se ejecute en Windows Server 2008 o posterior.To use IRM protection in an on-premise Exchange deployment, Exchange 2013 requires an on-premises deployment of AD RMS running on Windows Server 2008 or later.

AD RMS usa plantillas de directivas basadas en XML para permitir que las aplicaciones habilitadas con IRM compatibles apliquen directivas de protección uniformes.AD RMS uses XML-based policy templates to allow compatible IRM-enabled applications to apply consistent protection policies. En Windows Server 2008 y posterior, el servidor de AD RMS presenta un servicio web que puede usarse para enumerar y adquirir plantillas.In Windows Server 2008 and later, the AD RMS server exposes a Web service that can be used to enumerate and acquire templates. Exchange 2013 incluye la plantilla No reenviar.Exchange 2013 ships with the Do Not Forward template.

Cuando se aplica la plantilla No reenviar a un mensaje, solo los destinatarios del mensaje pueden descifrarlo. Los destinatarios no pueden reenviar el mensaje a ninguna otra persona, copiar el contenido del mensaje ni imprimirlo.When the Do Not Forward template is applied to a message, only the recipients addressed in the message can decrypt the message. The recipients can't forward the message to anyone else, copy content from the message, or print the message.

Se pueden crear plantillas de RMS adicionales en la implementación local de AD RMS para cumplir con los requisitos de protección de derechos de la organización.Additional RMS templates can be created in the on-premises AD RMS deployment to meet rights protection requirements in your organization.

Importante

Si se quita una plantilla de directiva de derechos del servidor de AD RMS, debe modificar las reglas de protección de transporte que usen la plantilla eliminada.If a rights policy template is removed from the AD RMS server, you must modify any transport protection rules that use the removed template. Si una regla de protección de transporte sigue usando una plantilla de directiva de derechos que se ha quitado, el servidor de AD RMS no recibirá la licencia del contenido a ninguno de los destinatarios y se entregará un informe de no entrega (NDR) al remitente.If a transport protection rule continues to use a rights policy template that's been removed, the AD RMS server will fail to license the content to any of the recipients, and a non-delivery report (NDR) will be delivered to the sender.
En Windows Server 2008 y versiones posteriores, las plantillas de directiva de derechos se pueden archivar en lugar de eliminarlas.In Windows Server 2008 and later, rights policy templates can be archived instead of deleted. Las plantillas archivadas se pueden seguir usando para autorizar contenido, pero cuando cree o modifique una regla de protección de transporte, las plantillas archivadas no se incluirán en la lista de plantillas.Archived templates can still be used to license content, but when you create or modify a transport protection rule, archived templates aren't included in the list of templates.

Para obtener más información acerca de la creación de plantillas de AD RMS, consulte Guía paso a paso para la implementación de plantillas de directivas de derechos de AD RMS.For more information about creating AD RMS templates, see AD RMS Rights Policy Templates Deployment Step-by-Step Guide.

Protección automática mediante reglas de protección de transporteAutomatic protection using transport protection rules

Los mensajes que contienen información crítica para la empresa o PII se pueden identificar mediante una combinación de condiciones de reglas de transporte, incluidas expresiones regulares que identifican patrones de texto tales como números de seguridad social. Las organizaciones requieren diferentes niveles de protección de la información confidencial. Algunos tipos de información pueden restringirse a empleados, contratistas o asociados; mientras que otros tipos pueden restringirse solamente a empleados a tiempo completo. El nivel deseado de protección se puede aplicar a los mensajes mediante la aplicación de una plantilla de directivas de derechos adecuada. Por ejemplo, los usuarios pueden marcar los mensajes o datos adjuntos de correo electrónico como información confidencial de la empresa. Como se ilustra en la figura siguiente, pude crear una regla de protección de transporte para inspeccionar el contenido de mensajes en busca de las palabras "Información confidencial de la empresa" y proteger el mensaje con IRM de manera automática.Messages containing business critical information or PII can be identified by using a combination of transport rule conditions, including regular expressions to identify text patterns such as social security numbers. Organizations require different levels of protection for sensitive information. Some information may be restricted to employees, contractors, or partners; while other information may be restricted only to full-time employees. The desired level of protection can be applied to messages by applying an appropriate rights policy template. For example, users may mark messages or email attachments as Company Confidential. As illustrated in the following figure, you can create a transport protection rule to inspect message content for the words "Company Confidential", and automatically IRM-protect the message.

Para obtener más información acerca de la creación de reglas de transporte para aplicar la protección de derechos, consulte Crear una regla de protección de transporte.For more information about creating transport rules to enforce rights protection, see Create a Transport Protection Rule.

Protección persistente de adjuntos de correo electrónicoPersistent protection of email attachments

Los usuarios envían información crítica para la empresa y PII en datos adjuntos de correo electrónico con formatos de archivo comunes de Microsoft Office, como Microsoft Office Word, Excel y PowerPoint.Users send business critical information and PII in email attachments using common Microsoft Office file formats such as Microsoft Office Word, Excel, and PowerPoint. Todos estos formatos de archivos admiten la protección permanente a través de IRM y, de esta forma, puede asegurarse de que la información crítica para la empresa y PII contenida en estos documentos esté protegida adecuadamente.All of these file formats support persistent protection via IRM, and you can make sure that the business critical information and PII in these documents are properly protected. Las reglas de protección de transporte aplican la misma protección a los mensajes y los datos adjuntos de correo electrónico en formatos de archivos admitidos.Transport protection rules apply the same protection to email messages and attachments in supported file formats.

Agente de reglas de transporte y agente de cifradoTransport rules agent and encryption agent

Cuando usa reglas de protección de transporte para mensajes protegidos con IRM en función de condiciones de reglas, el agente de reglas de transporte en el servidor de transporte de concentradores inspecciona los mensajes. Si el mensaje cumple con todas las condiciones y ninguna de las excepciones, lo etiqueta para ser protegido con IRM. El agente de cifrado, un agente de transporte integrado que se activa con el evento OnRoutedMessage, aplica realmente la protección IRM al mensaje. El agente de cifrado actúa en mensajes solo si IRM está habilitado para mensajes internos. Para obtener más información acerca de cómo habilitar IRM, consulte Habilitar o deshabilitar IRM para mensajes internos.When you use transport protection rules to IRM-protect messages based on rule conditions, the Transport Rules agent on the Transport service inspects messages. If they meet all the conditions and none of the exceptions, it flags the message to be IRM-protected. The Encryption agent, a built-in transport agent that fires on the OnRoutedMessage event, actually applies IRM protection to the message. The Encryption agent acts on messages only if IRM is enabled for internal messages. For more information about enabling IRM, see Enable or Disable IRM for Internal Messages.

Cuando se reinicia el servicio de transporte y procesa el primer mensaje que requiere el cifrado de IRM, el agente de cifrado debe ser capaz de conectarse con un servidor de AD RMS de la organización.When the transport service is restarted, and it processes the first message that requires IRM encryption, the Encryption agent must be able to reach an AD RMS server in the organization. Para los mensajes posteriores, el agente no necesita establecer contacto con el servidor de AD RMS.For subsequent messages, the agent doesn't need to contact the AD RMS server. Si se produce un error en el cifrado de un mensaje debido a condiciones transitorias, Exchange vuelve a intentar cifrar el mensaje tres veces en intervalos de 10 minutos.Upon failure to encrypt a message due to transient conditions, Exchange retries the message three times at 10-minute intervals. Después de los tres intentos, si no se puede cifrar el mensaje, este no se entrega a los destinatarios.After three retries, if the message can't be encrypted, it isn't delivered to recipients. Se envía un NDR al remitente.An NDR is sent to the sender. Se recomienda planear la implementación de AD RMS para alta disponibilidad para asegurarse de que el flujo de mensajes no se vea afectado.We recommend that you plan your AD RMS deployment for high availability to make sure message flow isn't impacted.

Cuando planee usar reglas de protección de transporte, debe considerar el tipo de información que desea proteger y planear la creación de reglas de manera consecuente. En Exchange 2013, las reglas de transporte tienen una gran cantidad de predicados que le permiten inspeccionar el contenido de los mensajes, incluidos los datos adjuntos admitidos, los encabezados de mensaje, las direcciones del remitente y del destinatario, los atributos de Active Directory tales como departamento, pertenencia a grupos de distribución y relaciones de administración del remitente con los destinatarios. Para obtener información detallada acerca de los predicados de reglas de transporte disponibles en Exchange 2013, consulte Condiciones de las reglas de transporte (predicados).When planning to use transport protection rules, you must consider the type of information you want to protect and plan on creating rules accordingly. In Exchange 2013, transport rules have a large number of predicates that allow you to inspect message content, including supported attachments, message headers, sender and recipient addresses, their Active Directory attributes such as department, distribution group membership, and management relationships of the sender with recipients. For more details about transport rule predicates available in Exchange 2013, see Transport rule conditions (predicates).

Asimismo, debe tener en cuenta el tráfico de mensajería de la organización y la cantidad de mensajes que se protegerán mediante las reglas de protección de transporte. La aplicación de la protección de IRM a una gran cantidad de mensajes requiere más recursos en el servidor Buzón de correo. Además, la protección de una gran cantidad de mensajes o de todos los mensajes también afecta la experiencia del cliente, en especial, para los usuarios de Microsoft Outlook.You must also consider the messaging traffic in your organization, and the number of messages that will be protected using transport protection rules. Applying IRM protection to a large number of messages requires more resources on the Mailbox server. Additionally, protecting a large number of messages or all messages also impacts the client experience, particularly for Microsoft Outlook users.