Configuración de derechos de uso para Azure Information Protection
En este artículo se describen los derechos de uso que puede configurar para que se apliquen automáticamente cuando usuarios, administradores o servicios configurados seleccionan una etiqueta o plantilla.
Los derechos de uso se seleccionan al configurar etiquetas de confidencialidad o plantillas de protección para el cifrado. Por ejemplo, puede seleccionar roles que configuren una agrupación lógica de derechos de uso o configurar los derechos individuales por separado. Como alternativa, los usuarios pueden seleccionar y aplicar los propios derechos de uso.
Para más detalles, en este artículo se incluyen valores del Portal de Azure clásico, que dejó de estar disponible el 8 de enero de 2018.
Importante
Use este artículo para comprender cómo se diseñan los derechos de uso para interpretarlos las aplicaciones.
Las aplicaciones pueden variar en el modo en que implementan los derechos de uso y se recomienda consultar con la documentación de la aplicación y realizar sus propias pruebas para comprobar el comportamiento de la aplicación antes de implementar en producción.
Derechos de uso y descripciones
En la tabla siguiente se enumeran y se describen los derechos de uso que admite Rights Management y cómo se usan y se interpretan. Se enumeran por su nombre común, que es normalmente cómo se muestra o se referencia el derecho de uso, como una versión más descriptiva del valor de una sola palabra que se usa en el código (el valor Codificación en la directiva).
En esta tabla:
La constante o el valor de LA API es el nombre del SDK para una llamada API de MSIPC o Microsoft Purview Information Protection SDK, que se usa al escribir una aplicación que comprueba si hay un derecho de uso o agrega un derecho de uso a una directiva.
El centro de administración de etiquetado es el portal de cumplimiento Microsoft Purview, donde se configuran las etiquetas de confidencialidad.
| Derecho de uso | Descripción | Implementación |
|---|---|---|
| Nombre común: Editar contenido, Editar Codificación en la directiva: DOCEDIT |
Permite al usuario modificar, reorganizar, formatear o ordenar el contenido dentro de la aplicación, que incluye Office en la Web. No concede el derecho a guardar la copia modificada. En Word, a menos que tenga Office 365 ProPlus con una versión mínima de 1807, este derecho no es suficiente para activar o desactivar Seguimiento de cambios, o para usar todas las características de cambios de seguimiento como revisor. En su lugar, para utilizar todas las opciones de seguimiento de cambios, se requiere el siguiente derecho: Control total. |
Derechos personalizados de Office: como parte de las opciones Cambiar y Control total. Nombre en el Portal de Azure clásico: Editar contenido Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: Editar contenido, Editar (DOCEDIT) Nombre en las plantillas de AD RMS: Editar Constante o valor de API: MSIPC: No aplicable. SDK de MIP: DOCEDIT |
| Nombre común: Guardar Codificación en la directiva: EDIT |
Permite al usuario guardar el documento en la ubicación actual. En Office en la Web, también permite al usuario editar el contenido. En las aplicaciones de Office, este derecho permite al usuario guardar el archivo en una nueva ubicación y con un nuevo nombre si el formato de archivo seleccionado tiene compatibilidad integrada con la protección de Rights Management. La restricción de formato de archivo garantiza que la protección original no se puede quitar del archivo. |
Derechos personalizados de Office: como parte de las opciones Cambiar y Control total. Nombre en el Portal de Azure clásico: Guardar archivo Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: Guardar (EDITAR) Nombre en las plantillas de AD RMS: Guardar Constante o valor de API: MSIPC: IPC_GENERIC_WRITE L"EDIT" SDK de MIP: EDIT |
| Nombre común: Comentario Codificación en la directiva: COMMENT |
Habilita la opción para agregar anotaciones o comentarios al contenido. Este derecho está disponible en el SDK como directiva ad hoc en el módulo de Azure Information Protection y RMS Protection para Windows PowerShell y se ha implementado en algunas aplicaciones de proveedores de software. Sin embargo, no se usa ampliamente y no es compatible con las aplicaciones de Office. |
Derechos personalizados de Office: no implementados. Nombre en el Portal de Azure clásico: no implementado. Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: No implementado. Nombre en las plantillas de AD RMS: no implementado. Constante o valor de API: MSIPC: IPC_GENERIC_COMMENT L"COMMENT SDK de MIP: COMMENT |
| Nombre común: Guardar como, Exportar Codificación en la directiva: EXPORT |
Habilita la opción para guardar el contenido con un nombre de archivo diferente (Guardar como). Para el cliente de Azure Information Protection, el archivo se puede guardar sin protección, y también se puede volver a proteger con nuevos permisos y otra configuración. Estas acciones permitidas significan que un usuario que tenga este derecho puede cambiar o quitar una etiqueta de Azure Information Protection de un documento o correo electrónico protegido. Este derecho también permite al usuario realizar otras opciones de exportación en las aplicaciones, como Enviar a OneNote. |
Derechos personalizados de Office: como parte de la opción Control total. Nombre en el Portal de Azure clásico: Exportar contenido (Guardar como) Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: Guardar como, Exportar (EXPORT) Nombre en las plantillas de AD RMS: Exportar (Guardar como) Constante o valor de API: MSIPC: IPC_GENERIC_EXPORT L"EXPORT" SDK de MIP: EXPORT |
| Nombre común: Reenviar Codificación en la directiva: FORWARD |
Habilita la opción para reenviar un mensaje de correo electrónico y agregar destinatarios a las líneas Para y CO. Este derecho no se aplica a documentos, solo a mensajes de correo electrónico. No permite que el reenviador conceda derechos a otros usuarios como parte de la acción de reenvío. Cuando conceda este derecho, conceda también el derecho Editar contenido, Editar (nombre común) y, adicionalmente, el derecho Guardar (nombre común) para asegurarse de que el mensaje de correo electrónico original no se entrega como un archivo adjunto. Especifique también estos derechos cuando envíe un correo a otra organización que usa el cliente de Outlook u Outlook Web App. O bien, para los usuarios de su organización que están exentos de usar la protección de Rights Management porque ha implementado controles de incorporación. |
Derechos personalizados de Office: denegados al usar la directiva estándar No reenviar. Nombre en el Portal de Azure clásico: Reenviar Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: Reenviar (FORWARD) Nombre en las plantillas de AD RMS: Reenviar Constante o valor de API: MSIPC: IPC_EMAIL_FORWARD L"FORWARD" SDK de MIP: FORWARD |
| Nombre común: Control total Codificación en la directiva: OWNER |
Concede todos los derechos para el documento; se pueden realizar todas las acciones disponibles. Incluye la capacidad de quitar la protección de un documento y de volver a protegerlo. Tenga en cuenta que este derecho de uso no es el mismo que el propietario de Rights Management. |
Derechos personalizados de Office: como la opción personalizada Control total. Nombre en el Portal de Azure clásico: Control total Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: Control total (OWNER) Nombre en las plantillas de AD RMS: Control total Constante o valor de API: MSIPC: IPC_GENERIC_ALL L"OWNER" SDK de MIP: OWNER |
| Nombre común: Imprimir Codificación en la directiva: PRINT |
Habilita las opciones para imprimir el contenido. | Derechos personalizados de Office: como la opción Imprimir contenido de los permisos personalizados. No se trata de un valor por destinatario. Nombre en el Portal de Azure clásico: Imprimir Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: Imprimir (PRINT) Nombre en las plantillas de AD RMS: Imprimir Constante o valor de API: MSIPC: IPC_GENERIC_PRINT L"PRINT" SDK de MIP: PRINT |
| Nombre común: Responder Codificación en la directiva: REPLY |
Habilita la opción Responder en un cliente de correo electrónico, sin permitir que se realicen cambios en las líneas Para o CC. Cuando conceda este derecho, conceda también el derecho Editar contenido, Editar (nombre común) y, adicionalmente, el derecho Guardar (nombre común) para asegurarse de que el mensaje de correo electrónico original no se entrega como un archivo adjunto. Especifique también estos derechos cuando envíe un correo a otra organización que usa el cliente de Outlook u Outlook Web App. O bien, para los usuarios de su organización que están exentos de usar la protección de Rights Management porque ha implementado controles de incorporación. |
Derechos personalizados de Office: no aplicables. Nombre en el Portal de Azure clásico: Responder Nombre en Azure Portal: Responder (REPLY) Nombre en las plantillas de AD RMS: Responder Constante o valor de API: MSIPC: IPC_EMAIL_REPLY SDK de MIP: REPLY |
| Nombre común: Responder a todos Codificación en la directiva: REPLYALL |
Habilita la opción Responder a todos en un cliente de correo electrónico, pero no permite al usuario agregar a destinatarios a las líneas Para o CO. Cuando conceda este derecho, conceda también el derecho Editar contenido, Editar (nombre común) y, adicionalmente, el derecho Guardar (nombre común) para asegurarse de que el mensaje de correo electrónico original no se entrega como un archivo adjunto. Especifique también estos derechos cuando envíe un correo a otra organización que usa el cliente de Outlook u Outlook Web App. O bien, para los usuarios de su organización que están exentos de usar la protección de Rights Management porque ha implementado controles de incorporación. |
Derechos personalizados de Office: no aplicables. Nombre en el Portal de Azure clásico: Responder a todos Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: Responder a todos (RESPONDER TODO) Nombre en las plantillas de AD RMS: Responder a todos Constante o valor de API: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL" SDK de MIP: REPLYALL |
| Nombre común: Ver, Abrir, Leer Codificación en la directiva: VIEW |
Permite al usuario abrir el documento y ver el contenido. En Excel, este derecho no basta para ordenar los datos, lo que requiere el derecho siguiente: Editar contenido, Editar. Para filtrar datos en Excel, necesita estos dos derechos: Editar contenido, Editar y Copiar. |
Derechos personalizados de Office: como la opción Ver de la directiva personalizada Leer. Nombre en el Portal de Azure clásico: Ver Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: Ver, Abrir, Leer (VIEW) Nombre en las plantillas de AD RMS: Leer Constante o valor de API: MSIPC: IPC_GENERIC_READ L"VIEW" SDK de MIP: VIEW |
| Nombre común: Copiar Codificación en la directiva: EXTRACT |
Habilita las opciones para copiar los datos (incluidas las capturas de pantalla) del documento en el mismo o en otro documento. En algunas aplicaciones, también permite que todo el documento se guarde en formato desprotegido. En Skype Empresarial y en aplicaciones de uso compartido de pantalla similares, el moderador debe tener este derecho para moderar correctamente un documento protegido. Si el moderador no tiene este de derecho, los asistentes no pueden ver el documento y se muestra como oscurecido para ellos. |
Derechos personalizados de Office: como la opción de directiva personalizada Permitir que los usuarios con acceso de lectura copien el contenido. Nombre en el Portal de Azure clásico: Copiar y extraer contenido Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: Copiar (EXTRACT) Nombre en las plantillas de AD RMS: Extraer Constante o valor de API: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT" SDK de MIP: EXTRACT |
| Nombre común: Derechos de visualización Codificación en la directiva: VIEWRIGHTSDATA |
Permite al usuario ver la directiva que se aplica al documento. No es compatible con las aplicaciones de Office ni los clientes de Azure Information Protection. |
Derechos personalizados de Office: no implementados. Nombre en el Portal de Azure clásico: Ver permisos asignados Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: View Rights (VIEWRIGHTSDATA)). Nombre en las plantillas de AD RMS: Derechos de visualización Constante o valor de API: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" SDK de MIP: VIEWRIGHTSDATA |
| Nombre común: Cambiar permisos Codificación en la directiva: EDITRIGHTSDATA |
Permite al usuario cambiar la directiva que se aplica al documento. Incluye la eliminación de la protección. No es compatible con las aplicaciones de Office ni los clientes de Azure Information Protection. |
Derechos personalizados de Office: no implementados. Nombre en el Portal de Azure clásico: Cambiar permisos Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: Edit Rights (EDITRIGHTSDATA)). Nombre en las plantillas de AD RMS: Editar derechos Constante o valor de API: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" SDK de MIP: EDITRIGHTSDATA |
| Nombre común: Permitir macros Codificación en la directiva: OBJMODEL |
Habilita la opción para ejecutar macros u obtener acceso remoto o mediante programación al contenido de un documento. | Derechos personalizados de Office: como la opción de directiva personalizada Permitir el acceso mediante programación. No se trata de un valor por destinatario. Nombre en el Portal de Azure clásico: Permitir macros Nombre en el portal de cumplimiento Microsoft Purview y Azure Portal: Permitir macros (OBJMODEL) Nombre en las plantillas de AD RMS: Permitir macros Constante o valor de API: MSIPC: no implementado. SDK de MIP: OBJMODEL |
Derechos incluidos en los niveles de permisos
Algunas aplicaciones agrupan derechos de uso en niveles de permisos para facilitar la selección de derechos de uso que suelen utilizarse de forma conjunta. Estos niveles de permisos ayudan a resumir un nivel de complejidad de los usuarios para que puedan elegir opciones basadas en roles. Por ejemplo, Revisor y Coautor. Aunque estas opciones suelen mostrar a los usuarios un resumen de los derechos, puede que no incluyan todos los derechos enumerados en la tabla anterior.
Use la tabla siguiente para ver una lista de estos niveles de permisos y una lista completa de los derechos que contienen. Los derechos de uso se enumeran por su nombre común.
| Nivel de permisos | APLICACIONES | Derechos de uso incluidos |
|---|---|---|
| Visor | Portal de Azure clásico Azure portal Cliente de Azure Information Protection para Windows |
Ver, Abrir, Leer; Derechos de visualización; Responder [1]; Responder a todos [1]; Permitir macros [2] Nota: Para los mensajes de correo, use Revisor en lugar de este nivel de permiso para asegurarse de que se recibe una respuesta de correo electrónico como un mensaje de correo en lugar de un archivo adjunto. Revisor también es necesario cuando se envía un correo electrónico a otra organización que usa Outlook Web App o el cliente de Outlook. También es necesario para los usuarios de su organización que no necesitan usar el servicio Azure Rights Management porque se han implementado controles de incorporación. |
| Revisor | Portal de Azure clásico Azure portal Cliente de Azure Information Protection para Windows |
Ver, Abrir, Leer; Guardar; Editar contenido, Editar; Derechos de visualización; Responder: Responder a todos [3]; Reenviar [3]; Permitir macros [2] |
| Coautor | Portal de Azure clásico Azure portal Cliente de Azure Information Protection para Windows |
Ver, Abrir, Leer; Guardar; Editar contenido, Editar; Copiar; Derechos de visualización; Permitir macros; Guardar como, Exportar [4]; Imprimir; Responder [3]; Responder a todos [3]; Reenviar [3] |
| Copropietario | Portal de Azure clásico Azure portal Cliente de Azure Information Protection para Windows |
Ver, Abrir, Leer; Guardar; Editar contenido, Editar; Copiar; Derechos de visualización; Cambiar derechos; Permitir macros; Guardar como, Exportar; Imprimir; Responder [3]; Responder a todos [3]; Reenviar [3]; Control total |
Nota al pie 1
No se incluye en el portal de cumplimiento Microsoft Purview o Azure Portal.
Nota al pie 2
Para el cliente de Azure Information Protection para Windows, este derecho es necesario para la barra de Information Protection en las aplicaciones de Office.
Nota al pie 3
No se aplica al cliente de Azure Information Protection para Windows.
Nota al pie 4
No se incluye en el portal de cumplimiento Microsoft Purview, el Azure Portal o el cliente de Azure Information Protection para Windows.
Opción No reenviar para correos electrónicos
Los clientes y servicios de Exchange (por ejemplo, el cliente de Outlook, Outlook en la web, las reglas de flujo de correo de Exchange y las acciones de DLP para Exchange) tienen una opción adicional de protección de derechos de información para correos electrónicos: No reenviar.
Aunque esta opción aparece para los usuarios (y los administradores de Exchange) como si fuera una plantilla predeterminada de Rights Management que se puede seleccionar, No reenviar no es una plantilla. Esto explica por qué no se ve en Azure Portal al visualizar y administrar las plantillas de protección. En realidad, la opción No reenviar es un conjunto de derechos de uso que los usuarios aplican dinámicamente a los destinatarios de correo electrónico.
Cuando se aplica la opción No reenviar a un correo electrónico, el correo electrónico se cifra y se deben autenticar los destinatarios. Por eso, los destinatarios no pueden reenviarlo, imprimirlo ni copiarlo. Por ejemplo, en el cliente de Outlook, el botón Reenviar no está disponible, como tampoco lo están las opciones de menú Guardar como e Imprimir y no se pueden agregar ni cambiar los destinatarios de los cuadros Para, CC o CCO.
Los documentos de Office sin protección que se adjuntan automáticamente al correo electrónico heredan las mismas restricciones. Los derechos de uso que se aplican a estos documentos son los siguientes: Editar contenido, Editar; Guardar; Ver, Abrir, Leer; y Permitir macros. Si quiere que cada archivo adjunto tenga derechos de uso diferentes, o en el caso de que el archivo adjunto sea un documento de Office incompatible con esta protección heredada, proteja el archivo antes de adjuntarlo al correo electrónico. Luego, puede asignar los derechos de uso específicos que necesite para el archivo.
Diferencia entre la opción No reenviar y no conceder el derecho de uso Reenviar
Hay una diferencia importante entre aplicar la opción No reenviar y aplicar una plantilla que no concede el derecho de uso Reenviar a un correo electrónico: la opción No reenviar usa una lista dinámica de usuarios autorizados basada en los destinatarios del mensaje original que elige el usuario, mientras que los derechos de la plantilla tienen una lista estática de usuarios autorizados que el administrador ha especificado anteriormente. ¿Cuál es la diferencia? Veamos un ejemplo:
Un usuario quiere enviar información por correo electrónico a personas concretas del departamento de marketing que no debe compartirse con nadie más. ¿Debe proteger el correo electrónico con una plantilla que restringe los derechos (ver, responder y guardar) al departamento de marketing? ¿O debe elegir la opción No reenviar? Ambas opciones harían que los destinatarios no pudieran reenviar el correo electrónico.
Si aplica la plantilla, los destinatarios pueden seguir compartiendo la información con otros usuarios del departamento de marketing. Por ejemplo, un destinatario puede usar el explorador para arrastrar y colocar el correo electrónico en una ubicación compartida o en una unidad USB. De este modo, cualquier persona del departamento de marketing (y el propietario del correo electrónico) que tenga acceso a esta ubicación podrá ver la información del correo electrónico.
Si aplica la opción No reenviar, los destinatarios no podrán compartir la información con ninguna persona del departamento de marketing si mueven el correo electrónico a otra ubicación. En este caso, solo los destinatarios originales (y el propietario del correo electrónico) podrán ver la información del correo electrónico.
Nota
Use No reenviar cuando sea importante que solo los destinatarios que elige el remitente puedan ver la información del correo electrónico. Use una plantilla para correos electrónicos para restringir los derechos a un grupo de personas especificadas de antemano por el administrador, independientemente de los destinatarios que elija el remitente.
Opción de solo cifrado para correos electrónicos
Cuando Exchange Online usa las nuevas funcionalidades para Office 365 cifrado de mensajes, está disponible una nueva opción Cifrar correo electrónico para cifrar los datos sin restricciones adicionales.
Esta opción está disponible para los inquilinos que usan Exchange Online y se pueden seleccionar de la siguiente manera:
- En Outlook en la Web con la opción Cifrar o una etiqueta de confidencialidad configurada para Permitir a los usuarios asignar permisos y la opción Cifrar solo
- Como otra opción de protección de derechos para una regla de flujo de correo
- Como acción DLP de Office 365
- Desde la aplicación outlook para escritorios y dispositivos móviles:
- Con una etiqueta de confidencialidad configurada para Permitir a los usuarios asignar permisos y la opción Cifrar solo , para Windows, macOS, iOS y Android cuando se usa el etiquetado integrado con las versiones mínimas enumeradas en la tabla para las funcionalidades de etiquetas de confidencialidad en Outlook.
- Con la opción Cifrar en Windows y macOS, para las versiones enumeradas en la tabla de versiones admitidas para Aplicaciones Microsoft 365 por canal de actualización, cuando tenga aplicaciones de Microsoft 365 que admitan Azure Rights Management.
Para obtener más información sobre la opción de solo cifrado, consulte la siguiente entrada de blog cuando se anunció por primera vez desde el equipo de Office: Cifrar solo la implementación en Office 365 cifrado de mensajes.
Cuando se selecciona esta opción, se cifra el correo electrónico y los destinatarios deben autenticarse. Así, los destinatarios tienen todos los derechos de uso salvo Guardar como, Exportar y Control total. Esta combinación de derechos de uso implica que los destinatarios no tienen restricciones, excepto que no pueden eliminar la protección. Por ejemplo, un destinatario puede copiar del correo electrónico, imprimirlo y reenviarlo.
Del mismo modo, de manera predeterminada, los documentos de Office sin protección que se adjuntan al correo electrónico heredan los mismos permisos. Estos documentos se protegen de manera automática y cuando los destinatarios los descargan, pueden guardarlos, editarlos, copiarlos e imprimirlos desde las aplicaciones de Office. Cuando un destinatario guarda el documento, se puede guardar con un nombre nuevo e incluso con un formato distinto, pero solo están disponibles los formatos de archivo compatibles con la protección para que el documento no se pueda guardar sin la protección original. Si quiere que cada archivo adjunto tenga derechos de uso diferentes, o en el caso de que el archivo adjunto sea un documento de Office incompatible con esta protección heredada, proteja el archivo antes de adjuntarlo al correo electrónico. Luego, puede asignar los derechos de uso específicos que necesite para el archivo.
Como alternativa, puede cambiar esta herencia de protección de documentos si especifica Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true con Exchange Online PowerShell. Use esta configuración cuando no sea necesario conservar la protección original del documento una vez que se autentica el usuario. Si los destinatarios abren el mensaje de correo, el documento no está protegido.
Si es necesario que el documento adjunto conserve la protección original, consulte Protección de la colaboración con documentos mediante Azure Information Protection.
Nota
Si ve referencias a DecryptAttachmentFromPortal, sepa que este parámetro está en desuso para Set-IRMConfiguration. A menos que haya establecido previamente este parámetro, no estará disponible.
Cifrado automático de documentos PDF con Exchange Online
Cuando Exchange Online usa las nuevas funcionalidades para Office 365 cifrado de mensajes, puede cifrar automáticamente documentos PDF sin protección cuando se adjuntan a un correo electrónico cifrado. El documento hereda los mismos permisos que los del mensaje de correo electrónico. Para habilitar esta configuración, establezca EnablePdfEncryption $True con Set-IRMConfiguration.
Los destinatarios que aún no tienen un lector instalado que admita el estándar ISO para el cifrado PDF pueden instalar uno de los lectores enumerados en lectores pdf que admiten Microsoft Purview Information Protection. Como alternativa, los destinatarios pueden leer el documento PDF protegido en el portal de OME.
Emisor de Rights Management y propietario de Rights Management
Cuando un documento o mensaje de correo está protegido mediante el servicio Azure Rights Management, la cuenta que protege el contenido se convierte automáticamente en el emisor de Rights Management para ese contenido. Esta cuenta se ha registrado como el campo emisor en los registros de uso.
Al emisor de Rights Management siempre se le concede el derecho de uso Control total para el documento o mensaje de correo, y además:
Si la configuración de protección incluye una fecha de expiración, el emisor de Rights Management todavía puede abrir y editar el documento o mensaje de correo después de esa fecha.
El emisor de Rights Management siempre puede acceder al documento o mensaje de correo electrónico sin conexión.
El emisor de Rights Management todavía puede abrir un documento después de que se revoque.
De forma predeterminada, esta cuenta es también el propietario de Rights Management de ese contenido, como sucede cuando el usuario que ha creado el documento o mensaje de correo inicia la protección. Pero hay algunos escenarios donde un administrador o un servicio puede proteger el contenido en nombre de los usuarios. Por ejemplo:
Un administrador protege de forma masiva los archivos en un recurso compartido: la cuenta de administrador en Azure AD protege los documentos de los usuarios.
El conector Rights Management protege los documentos de Office en una carpeta de Windows Server: la cuenta de la entidad de servicio en Azure AD que se ha creado para el conector RMS protege los documentos de los usuarios.
En estos escenarios, el emisor de Rights Management puede asignar al propietario de Rights Management a otra cuenta mediante los SDK de Azure Information Protection o PowerShell. Por ejemplo, cuando se usa el cmdlet de PowerShell Protect-RMSFile con el cliente de Azure Information Protection, se puede especificar el parámetro OwnerEmail para asignar el propietario de Rights Management a otra cuenta.
Cuando el emisor de Rights Management protege en nombre de los usuarios, la asignación del propietario de Rights Management garantiza que el propietario del documento o mensaje de correo original tiene el mismo nivel de control del contenido protegido que si hubiera iniciado la protección él mismo.
Por ejemplo, el usuario que ha creado el documento puede imprimirlo, aunque ahora está protegido con una plantilla que no incluye el derecho de uso Imprimir. El mismo usuario siempre puede tener acceso a sus documentos, independientemente de la configuración de acceso sin conexión o la fecha de expiración que se hayan configurado en esa plantilla. Además, dado que el propietario de Rights Management tiene el derecho de uso Control total, este usuario también puede volver a proteger el documento para conceder acceso a usuarios adicionales (momento en que el usuario se convierte entonces en el emisor de Rights Management, así como en el propietario de Rights Management) y este usuario puede incluso quitar la protección. Pero solo el emisor de Rights Management puede realizar un seguimiento y revocar un documento.
El propietario de Rights Management de un documento o mensaje de correo se ha registrado como el campo owner-email en los registros de uso.
Nota
El propietario de Rights Management es independiente del propietario del sistema de archivos de Windows. A menudo son los mismos, pero pueden ser diferentes, incluso si no se usan los SDK o PowerShell.
Licencia de uso de Rights Management
Cuando un usuario abre un documento o correo electrónico que se ha protegido con Azure Rights Management, se concede al usuario una licencia de uso de Rights Management para ese contenido. Esta licencia de uso es un certificado que contiene los derechos de uso del usuario para el documento o mensaje de correo electrónico y la clave de cifrado que se ha usado para cifrar el contenido. La licencia de uso, además, contiene una fecha de expiración, si se ha establecido, y el período de validez de la licencia de uso.
Un usuario debe tener una licencia de uso válida para abrir el contenido además de su certificado de cuenta de derechos (RAC), que es un certificado que se otorga cuando se inicializa el entorno de usuario y se renueva cada 31 días.
Mientras la licencia de uso esté en vigor, no es necesario autenticar ni volver a autorizar al usuario para el contenido. Esto permite al usuario seguir abierto el documento protegido o el correo electrónico sin conexión a Internet. Una vez que el período de validez de la licencia de uso haya expirado, la siguiente vez que el usuario acceda al documento o correo electrónico protegido, deberá volver a autenticarse y autorizarse.
Si los documentos y mensajes de correo electrónico se protegen mediante una etiqueta o una plantilla que define la configuración de protección, puede cambiar esta configuración en la plantilla o etiqueta sin tener que volver a proteger el contenido. Si el usuario ya ha accedido al contenido, los cambios se aplican una vez que la licencia de uso haya expirado. Sin embargo, si los usuarios aplican permisos personalizados (también conocidos como directiva de permisos "ad-hoc") y estos permisos deben cambiarse después de haber protegido el documento o correo electrónico, ese contenido se debe volver a proteger con los nuevos permisos. Los permisos personalizados para un mensaje de correo electrónico se implementan con la opción No reenviar.
El período de validez de licencia de uso predeterminado para un inquilino es de 30 días y puede configurar este valor mediante el cmdlet de PowerShell Set-AipServiceMaxUseLicenseValidityTime. Puede configurar una configuración más restrictiva para cuando se aplique la protección mediante una etiqueta de confidencialidad configurada para asignar permisos ahora o una plantilla:
Al configurar una etiqueta de confidencialidad, el período de validez de la licencia de uso toma su valor de la opción Permitir acceso sin conexión .
Para obtener más información e instrucciones para configurar esta configuración para una etiqueta de confidencialidad, consulte la tabla de recomendaciones de las instrucciones sobre cómo configurar permisos ahora para una etiqueta de confidencialidad.
Al configurar una plantilla mediante PowerShell, el período de validez de la licencia de uso toma su valor del parámetro LicenseValidityDuration en los cmdlets Set-AipServiceTemplateProperty y Add-AipServiceTemplate .
Para obtener más información e instrucciones para configurar este valor mediante PowerShell, consulte la ayuda de cada cmdlet.