Descifrado en eDiscovery (versión preliminar)
El cifrado es una parte importante de la estrategia de protección de archivos y protección de la información. Las organizaciones de todos los tipos usan tecnología de cifrado para proteger el contenido confidencial dentro de su organización y garantizar que solo las personas adecuadas tengan acceso a ese contenido.
Para ejecutar tareas comunes de eDiscovery (versión preliminar) en contenido cifrado, los administradores de eDiscovery deben descifrar el contenido del mensaje de correo electrónico cuando se exportan desde casos de eDiscovery. El contenido cifrado con tecnologías de cifrado de Microsoft no estaba disponible para su revisión hasta después de la exportación.
Para facilitar la administración de contenido cifrado en el flujo de trabajo de eDiscovery, las herramientas de eDiscovery ahora incorporan el descifrado de archivos cifrados adjuntos a mensajes de correo electrónico y enviados en Exchange Online.1 Además, los documentos cifrados almacenados en SharePoint y OneDrive se descifran cuando las características de exhibición de documentos electrónicos premium están habilitadas2.
Antes de esta funcionalidad, solo se descifraba el contenido de un mensaje de correo electrónico protegido por la administración de derechos (y no los archivos adjuntos). Los documentos cifrados en SharePoint y OneDrive no se pudieron descifrar durante el flujo de trabajo de eDiscovery. Ahora, los archivos cifrados con una tecnología de cifrado de Microsoft se encuentran en una cuenta de SharePoint o OneDrive se pueden buscar y descifrar cuando los resultados de búsqueda se preparan para la versión preliminar, se agregan a un conjunto de revisión y se exportan. Además, se pueden buscar documentos cifrados en SharePoint y OneDrive adjuntos a un mensaje de correo electrónico (como copia). Esta funcionalidad de descifrado permite a los administradores de exhibición de documentos electrónicos ver el contenido de los archivos adjuntos de correo electrónico cifrados y los documentos del sitio al obtener una vista previa de los resultados de la búsqueda y revisarlos después de que se hayan agregado a un conjunto de revisión cuando se habiliten las características premium de eDiscovery.
Sugerencia
Empiece a trabajar con Microsoft Copilot for Security para explorar nuevas formas de trabajar de forma más inteligente y rápida con la eficacia de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para la seguridad en Microsoft Purview.
Requisitos para el descifrado en eDiscovery (versión preliminar)
- Permisos: tiene que tener asignado el rol Descifrado de RMS para obtener una vista previa, revisar y exportar archivos cifrados con tecnologías de cifrado de Microsoft. También tiene que tener asignado este rol para revisar y consultar archivos cifrados que se agregan a un conjunto de revisión en eDiscovery. Este rol se asigna de forma predeterminada al grupo de roles administrador de exhibición de documentos electrónicos en el portal de Microsoft Purview. Para obtener más información sobre el rol Descifrado de RMS, vea Asignación de permisos de exhibición de documentos electrónicos.
- Ejecute la herramienta De reparación de bandeja de entrada en archivos PST exportados: Después de exportar archivos PST, se recomienda ejecutar la herramienta de reparación de bandeja de entrada (ScanPST.exe) para diagnosticar y reparar los errores en los archivos PST.
Tecnologías de cifrado admitidas
Para Exchange, las herramientas de eDiscovery admiten elementos cifrados con tecnologías de cifrado de Microsoft. Estas tecnologías son Azure Rights Management (Azure RMS)3 y Microsoft Purview Information Protection (específicamente las etiquetas de confidencialidad). Para obtener más información sobre las tecnologías de cifrado de Microsoft, consulte Cifrado y las distintas opciones de cifrado de correo electrónico disponibles. No se admite el contenido cifrado por S/MIME o tecnologías de cifrado de terceros. Por ejemplo, no se admite la vista previa o exportación de contenido cifrado con tecnologías que no son de Microsoft.
Nota:
Las herramientas de Microsoft eDiscovery no admiten el descifrado de mensajes de correo electrónico enviados con una plantilla de personalización de marca personalizada Cifrado de mensajes de Microsoft Purview. Cuando se usa una plantilla de personalización de marca personalizada de OME, los mensajes de correo electrónico se entregan en el portal de OME en lugar del buzón del destinatario. Por lo tanto, no podrá usar herramientas de exhibición de documentos electrónicos para buscar mensajes cifrados porque el buzón del destinatario nunca recibe esos mensajes.
Para SharePoint, el contenido etiquetado con el servicio en línea de SharePoint se descifra. Los elementos etiquetados o cifrados en el cliente antes de cargarlos en SharePoint, las plantillas o la configuración de RMS de la biblioteca de documentos heredada y S/MIME u otros estándares no son compatiblescon 2.
Actividades de eDiscovery que admiten elementos cifrados
En la tabla siguiente se identifican las tareas admitidas que se pueden realizar en las herramientas de exhibición de documentos electrónicos en archivos cifrados adjuntos a mensajes de correo electrónico y documentos cifrados en SharePoint y OneDrive. Estas tareas admitidas se pueden realizar en archivos cifrados que coincidan con los criterios de una búsqueda. Un valor de N/A indica que la funcionalidad no está disponible en eDiscovery.
| Tarea eDiscovery | eDiscovery | Características Premium habilitadas |
|---|---|---|
| Búsqueda de contenido en archivos cifrados en sitios y datos adjuntos de correo electrónico1 | No | Sí |
| Vista previa de los archivos cifrados adjuntos al correo electrónico | No | Sí |
| Vista previa de documentos cifrados en SharePoint y OneDrive | No | Sí |
| Revisión de archivos cifrados en un conjunto de revisión | N/D | Sí |
| Exportación de archivos cifrados adjuntos al correo electrónico | Sí | Sí |
| Exportación de documentos cifrados en SharePoint y OneDrive | No | Sí |
Descifrado admitido
En la tabla siguiente se describe el descifrado admitido por eDiscovery para el correo electrónico, el correo electrónico con datos adjuntos y los archivos hospedados por SharePoint.
| Tipo de elemento | Tarea | eDiscovery | Características Premium habilitadas |
|---|---|---|---|
| Correo electrónico cifrado | Búsqueda | Sí | Sí |
| Correo electrónico cifrado | Descifrado en .pst | No | Sí |
| Correo electrónico cifrado | Descifrado en el archivo | No | Sí |
| Correo y datos adjuntos cifrados | Búsqueda | No | Sí (con indexación avanzada)1 |
| Correo y datos adjuntos cifrados | Descifrado en .pst | No | Sí |
| Correo y datos adjuntos cifrados | Descifrado en el archivo | No | Sí |
| Archivo en SharePoint con etiqueta MIP | Búsqueda | No | Sí |
| Archivo en SharePoint con etiqueta MIP | Descifrado | No | Sí |
| Archivo en SharePoint con otro cifrado2 | Búsqueda, descifrado | No | No |
Importante
eDiscovery no admite protocolos de cifrado heredados.
Limitaciones de descifrado con correo electrónico y datos adjuntos
La compatibilidad con eDiscovery para el descifrado de mensajes de correo electrónico y datos adjuntos está sujeta a las siguientes limitaciones:
- El descifrado no se admite cuando se aplica el cifrado de correo electrónico o datos adjuntos en una organización externa. eDiscovery solo admite el descifrado del correo electrónico y los datos adjuntos cifrados en su organización.
- Al descifrar correos electrónicos o datos adjuntos, el propietario del buzón donde se incluyen los correos electrónicos y los datos adjuntos en las actividades de exhibición de documentos electrónicos debe tener acceso para ver el contenido cifrado. No se admite el descifrado de correos electrónicos o datos adjuntos si se envían o reenvían otros destinatarios que no pueden ver el contenido cifrado. Los cambios en los grupos del propietario u otros permisos de la organización también pueden afectar a la compatibilidad con el descifrado.
Limitaciones de descifrado con etiquetas de confidencialidad en SharePoint y OneDrive
eDiscovery no admite archivos cifrados en SharePoint y OneDrive cuando una etiqueta de confidencialidad que aplicó el cifrado está configurada con cualquiera de las opciones siguientes:
- Los usuarios pueden asignar permisos cuando aplican manualmente la etiqueta a un documento. A veces, esto se conoce como permisos definidos por el usuario.
- El acceso del usuario al documento tiene una configuración de expiración que se establece en un valor distinto de Nunca.
Para obtener más información sobre esta configuración, vea la sección "Configurar opciones de cifrado" en Restricción del acceso al contenido mediante etiquetas de confidencialidad para aplicar el cifrado.
Los documentos cifrados con la configuración anterior pueden ser devueltos por una búsqueda de exhibición de documentos electrónicos. Este resultado puede producirse cuando una propiedad de documento (como el título, el autor o la fecha de modificación) coincide con los criterios de búsqueda. Aunque estos documentos pueden incluirse en los resultados de la búsqueda, no se pueden previsualizar ni revisar. Estos documentos permanecen cifrados cuando se exportan cuando se habilitan las características de exhibición de documentos electrónicos Premium.
Importante
El descifrado no es compatible con los archivos que se cifran localmente y, a continuación, se cargan en SharePoint o OneDrive. Por ejemplo, no se admiten los archivos locales cifrados por el cliente de Microsoft Purview Information Protection y, a continuación, cargados en Microsoft 365. Solo se admiten los archivos cifrados en el servicio SharePoint o OneDrive para el descifrado.
Descifrado de mensajes de correo electrónico protegidos por RMS y datos adjuntos de archivos cifrados mediante características de exhibición de documentos electrónicos premium
Los mensajes de correo electrónico protegidos por derechos (protegidos por RMS) incluidos en los resultados de una búsqueda se descifran al exportarlos. Esta funcionalidad de descifrado está habilitada de forma predeterminada para los miembros del grupo de roles del Administrador de exhibición de documentos electrónicos. Esto se debe a que el rol de administración Descifrado de RMS se asigna a este grupo de roles de forma predeterminada.
Tenga en cuenta lo siguiente al exportar mensajes de correo electrónico cifrados y datos adjuntos:
- Si habilita el descifrado de mensajes protegidos por RMS al exportarlos, tendrá que exportar los resultados de búsqueda como mensajes individuales para admitir el descifrado.
- Los datos adjuntos cifrados por separado de un correo electrónico no se descifran. Por ejemplo, si un usuario cifra un documento Word y, a continuación, se adjunta a un mensaje de correo electrónico que no está cifrado, estos datos adjuntos no se descifran.
- Los datos adjuntos cifrados como parte del cifrado del mensaje de correo electrónico asociado se descifran. Por ejemplo, si un usuario crea un mensaje de correo electrónico, adjunta un documento Word sin cifrar y, a continuación, cifra el mensaje (incluidos los datos adjuntos), se descifran estos datos adjuntos.
- Los mensajes que se descifran se identifican en el informe ResultsLog . Este informe contiene una columna denominada Estado de descodificación y un valor de Descodificado identifica los mensajes que se descifraron.
- Además de descifrar los datos adjuntos de archivos al exportar los resultados de la búsqueda, también puede obtener una vista previa del archivo descifrado al obtener una vista previa de los resultados de la búsqueda. Solo puede ver el mensaje de correo electrónico protegido con derechos después de exportarlo.
- Si necesita evitar que alguien descifre mensajes y datos adjuntos de archivos cifrados para proteger RMS, debe crear un grupo de roles personalizado (copiando el grupo de roles integrado del Administrador de exhibición de documentos electrónicos) y, a continuación, quitar el rol de administración Descifrado de RMS del grupo de roles personalizado. A continuación, agregue la persona que no desea descifrar mensajes como miembro del grupo de roles personalizado.
Notas
1 Los archivos cifrados ubicados en un equipo local y copiados en un mensaje de correo electrónico no se descifran e indexen para eDiscovery. Cuando se habilitan las características de eDiscovery premium, el correo electrónico cifrado y los datos adjuntos en el buzón de correo del destinatario deben estar indizados avanzados para que se descifren.
2 Solo se descifran los elementos etiquetados en SharePoint (o cargados en SharePoint después de la integración con etiquetas de confidencialidad) y que tengan etiquetas con permisos definidos por el administrador y sin expiración. Todos los demás archivos cifrados de SharePoint no se descifran. Para obtener más información, vea Habilitar etiquetas de confidencialidad para archivos en SharePoint y OneDrive.
Otros documentos no se descifran, como:
- Archivos cifrados en el cliente y cargados antes de que las etiquetas de confidencialidad se integraran con SharePoint.
- Documentos cifrados con plantillas de RMS heredadas y no etiquetados.
- Documentos con permisos definidos por el usuario o con la configuración de expiración (SMIME u otros estándares).
3 Solo el contenido cifrado con claves RMS hospedadas en Microsoft 365 se descifra de forma transparente cuando se habilitan las características de eDiscovery premium. No se admite el cifrado de doble clave (DKE), la suspensión de su propia clave (HYOK), RMS local, etc. Para obtener más información, consulte Planeamiento e implementación de la clave de inquilino de Azure Information Protection.