Configurar IRM para usar un servidor de AD RMS local

  • Artículo

Para su uso con implementaciones locales, Information Rights Management (IRM) en Exchange Online usa Active Directory Rights Management Services (AD RMS), una tecnología de protección de la información en Windows Server 2008 y versiones posteriores. La protección de IRM se implanta en el correo electrónico mediante la aplicación de una plantilla de directiva de permisos de AD RMS a un mensaje de correo electrónico. Los derechos se adjuntan al propio mensaje para que la protección se produzca en línea y sin conexión, dentro y fuera del firewall de la organización.

En este tema se muestra cómo configurar IRM para usar un servidor de AD RMS. Para obtener información sobre el uso de Cifrado de mensajes de Microsoft Purview con Microsoft Entra id. y Azure Rights Management, consulte las preguntas más frecuentes sobre el cifrado de mensajes.

Para obtener más información sobre IRM en Exchange Online, consulte Information Rights Management en Exchange Online.

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

¿Qué necesita saber antes de empezar?

Sugerencia

¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server,Exchange Online, o Exchange Online Protection.

¿Cómo realiza esto?

Paso 1: Use la consola AD RMS para exportar un dominio de publicación de confianza (TPD) desde un servidor AD RMS

El primer paso es exportar un dominio de publicación de confianza (TPD) del servidor local AD RMS a un archivo XML. El dominio de publicación de confianza contiene las siguientes opciones de configuración que se necesitan para usar características RMS:

  • El certificado emisor de licencias de servidor (SLC) utilizado para firmar y cifrar certificados y licencias

  • Las direcciones URL utilizadas para emitir licencias y publicar

  • Las plantillas de directiva de permisos de AD RMS que se crearon con el certificado emisor de licencias de servidor específico para ese dominio de publicación de confianza

Al importar el dominio de publicación de confianza, se almacena y se protege en Exchange Online.

  1. Abra la consola de Active Directory Rights Management Services y, a continuación, expanda el clúster AD RMS.

  2. En el árbol de consola, expanda Directivas de confianza y, a continuación, haga clic en Dominios de publicación de confianza.

  3. En el panel de resultados, seleccione el certificado para el dominio que desea exportar.

  4. En el panel Acciones, haga clic en Exportar dominio de publicación de confianza.

  5. En el cuadro Archivo de dominio de publicación, haga clic en Guardar como para guardar el archivo en una ubicación concreta del equipo local. Escriba un nombre de archivo, asegúrese de especificar la .xml extensión de nombre de archivo y, a continuación, haga clic en Guardar.

  6. En los cuadros Contraseña y Confirmar contraseña, escriba una contraseña segura que se va a usar para cifrar el archivo de dominio de publicación de confianza. Tendrá que especificar esta contraseña al importar el dominio de publicación de confianza a su organización de correo electrónico basada en nube.

Paso 2: use el Shell de administración de Exchange para importar el dominio de publicación de confianza a Exchange Online

Una vez exportado el dominio de publicación de confianza a un archivo XML, tiene que importarlo a Exchange Online. Cuando se importa el dominio de publicación de confianza, también se importan las plantillas AD RMS. Cuando se importa el primer dominio de publicación de confianza, se convierte en el dominio de publicación de confianza predeterminado para su organización basada en nube. Si importa otro TPD, puede utilizar el parámetro Predeterminado para convertirlo en el TPD predeterminado disponible para los usuarios.

Para importar el TPD, ejecute el siguiente comando en Exchange Online PowerShell:

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<path to exported TPD file>')) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

Puede obtener los valores de los parámetros ExtranetLicensingUrl e IntranetLicensingUrl en la consola de Active Directory Rights Management Services. Seleccione el clúster AD RMS en el árbol de consola. Las direcciones URL de emisión de licencias aparecen en el panel de resultados. Los clientes de correo electrónico utilizan estas direcciones URL cuando el contenido tiene que ser descifrado y cuando Exchange Online necesita determinar qué dominio de publicación de confianza utilizar.

Al ejecutar este comando, se solicita una contraseña. Escriba la contraseña que especificó cuando exportó el TPD desde su servidor AD RMS.

Por ejemplo, el siguiente comando importa el dominio de publicación de confianza, denominado Exported TPD, utilizando el archivo XML que exportó desde su servidor AD RMS y guardó en el escritorio de la cuenta de Administrador. El parámetro Name se utiliza para especificar un nombre para el dominio de publicación de confianza.

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('C:\Users\Administrator\Desktop\ExportTPD.xml')) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Import-RMSTrustedPublishingDomain.

¿Cómo sabe que importó correctamente el TPD?

Para comprobar que el dominio de publicación de confianza se haya importado correctamente, ejecute el cmdlet Get-RMSTrustedPublishingDomain para recuperar los dominios de publicación de confianza de su organización de Exchange Online. Para obtener detalles, consulte los ejemplos en Get-RMSTrustedPublishingDomain.

Paso 3: use el Shell de administración de Exchange para distribuir una plantilla de directiva de permisos AD RMS

Después de importar el dominio de publicación de confianza, debe asegurarse de que la plantilla de directiva de permisos AD RMS esté distribuida. Una plantilla distribuida es visible para Outlook en la Web usuarios (anteriormente conocidos como Outlook Web App), que pueden aplicar las plantillas a un mensaje de correo electrónico.

Para obtener una lista de todas las plantillas que incluye el TPD predeterminado, ejecute el comando siguiente:

Get-RMSTemplate -Type All | fl

Si el valor del parámetro Type es Archived, la plantilla no es visible para los usuarios. Solo las plantillas distribuidas del TPD predeterminado están disponibles en Outlook en la Web.

Para distribuir una plantilla, ejecute el comando siguiente:

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

Por ejemplo, el siguiente comando importa la plantilla Company Confidential.

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

Para obtener más información acerca de la sintaxis y los parámetros, consulte Get-RMSTemplate y Set-RMSTemplate.

Plantilla No reenviar

Cuando importa el dominio de publicación de confianza predeterminado desde la organización local en Exchange Online, se importa una plantilla de directiva de permisos AD RMS denominada No reenviar. De manera predeterminada, esta plantilla se distribuye al importar el dominio de publicación de confianza predeterminado. No puede usar el cmdlet Set-RMSTemplate para modificar la plantilla No reenviar.

Cuando se aplica la plantilla No reenviar a un mensaje, solo los destinatarios del mensaje pueden leerlo. Además, los destinatarios no pueden hacer lo siguiente:

  • Reenviar el mensaje a otra persona.
  • Copiar el contenido del mensaje.
  • Imprimir el mensaje.

Importante

La plantilla No reenviar no puede evitar que la información de un mensaje se copie con programas de captura de pantalla de otros fabricantes, con cámaras o que los usuarios transcriban la información manualmente.

Puede crear plantillas de directiva de permisos AD RMS adicionales en el servidor de AD RMS de la organización local a fin de cumplir con los requisitos de protección de IRM. Si crea plantillas de directiva de permisos AD RMS adicionales, tiene que exportar de nuevo el dominio de publicación de confianza desde el servidor local AD RMS y actualizarlo en la organización de correo electrónico basada en nube.

¿Cómo sabe que ha distribuido correctamente la plantilla de directiva de derechos de AD RMS?

Para comprobar que una plantilla de directiva de permisos AD RMS se distribuyó correctamente, ejecute el cmdlet Get-RMSTemplate para comprobar las propiedades de la plantilla. Para obtener detalles, consulte los ejemplos en Get-RMSTemplate.

Paso 4: use el Shell de administración de Exchange para habilitar IRM

Después de importar el dominio de publicación de confianza y distribuir una plantilla de directiva de permisos AD RMS, ejecute el siguiente comando para habilitar IRM para la organización de correo electrónico basada en nube.

Set-IRMConfiguration -InternalLicensingEnabled $true

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-IRMConfiguration.

¿Cómo sabe que ha habilitado IRM correctamente?

Para comprobar que IRM se haya habilitado correctamente, ejecute el cmdlet Get-IRMConfiguration para comprobar la configuración de IRM en la organización de Exchange Online.

¿Cómo sabe si esta tarea funcionó?

Para comprobar si ha importado el TPD y ha habilitado IRM correctamente, haga lo siguiente:

  • Use el cmdlet Test-IRMConfiguration para probar si IRM funciona. Para obtener más información, vea "Ejemplo 1" en Test-IRMConfiguration.

  • Cree un nuevo mensaje en Outlook en la Web y protéjalo con IRM; para ello, seleccione la opción Establecer permisos en el menú extendido (icono Más opciones).