Cómo las aplicaciones y los servicios de Office admiten Azure Rights Management

Las aplicaciones de Office de usuario final y los servicios de Office pueden usar el servicio Azure Rights Management desde Azure Information Protection con el objetivo de proteger los datos de la organización. Estas aplicaciones de Office son Word, Excel, PowerPoint y Outlook. Los servicios de Office son Exchange y Microsoft SharePoint. Las configuraciones de Office que admiten el servicio Azure Rights Management suelen usar el término Information Rights Management (IRM).

Aplicaciones de Office: Word, Excel, PowerPoint, Outlook

Estas aplicaciones admiten Azure Rights Management integradas y permiten a los usuarios aplicar protección a un documento guardado o a un mensaje de correo electrónico que se va a enviar. Los usuarios pueden usar plantillas para aplicar la protección. En el caso de Word, Excel y PowerPoint, los usuarios pueden elegir configuraciones personalizadas para restricciones de uso, derechos y acceso.

Por ejemplo, los usuarios pueden configurar un documento de Word para que solamente tengan acceso a él las personas de la organización, o controlar si se puede editar una hoja de cálculo de Excel, si se restringe a solo lectura o si se impide que se pueda imprimir. En el caso de los archivos sujetos a limitación temporal, se puede configurar una fecha de expiración en la que ya no se podrá tener acceso al archivo. Los usuarios pueden aplicar directamente esta configuración, o bien se puede aplicar mediante una plantilla. Para Outlook, los usuarios también pueden elegir la opción No reenviar para tratar de evitar la pérdida de datos.

Si está listo para configurar aplicaciones de Office, consulte Aplicaciones de Office: Configuración para clientes.

Para ver los problemas conocidos pertinentes, consulte Problemas conocidos de AIP en las aplicaciones de Office.

Exchange Online y Exchange Server

Cuando se usa Exchange Online o Exchange Server, se pueden configurar opciones para Azure Information Protection. Esta configuración permite a Exchange proporcionar las siguientes soluciones de protección:

  • Exchange ActiveSync IRM para que los dispositivos móviles puedan proteger y consumir mensajes de correo electrónico protegidos.

  • Compatibilidad con protección de correo electrónico para Outlook en la Web, que se implementa de forma similar en el cliente de Outlook. Esta configuración permite a los usuarios proteger los mensajes de correo electrónico mediante plantillas u opciones de protección. Los usuarios podrán leer y usar los mensajes de correo electrónico protegidos que se les envíen.

  • Reglas de protección para clientes de Outlook que un administrador configura para aplicar automáticamente plantillas de protección y opciones a los mensajes de correo electrónico para destinatarios concretos. Por ejemplo, cuando se envían correos electrónicos internos a tu departamento legal, solo los miembros del departamento legal pueden leerlos y no se pueden reenviar. Los usuarios consultan la protección que se aplicará al mensaje de correo electrónico antes de enviarlo y, de forma predeterminada, pueden quitarla si deciden que no es necesaria. Los correos electrónicos se cifran antes de enviarlos. Para obtener más información, consulte Reglas de protección de Outlook y Crear una regla de protección de Outlook en la biblioteca de Exchange.

  • Reglas de flujo de correo que un administrador configura para aplicar automáticamente plantillas u opciones de protección a los mensajes de correo electrónico. Estas reglas se basan en propiedades como el remitente, el destinatario, el asunto del mensaje y el contenido. Conceptualmente estas reglas son similares a las reglas de protección pero no permiten a los usuarios quitar la protección, ya que está establecida por el servicio de Exchange y no por el cliente. Como el servicio establece la protección, es irrelevante el dispositivo o el sistema operativo que tengan los usuarios. Para obtener más información, vea Reglas de flujo de correo (reglas de transporte) en Exchange Online y Crear una regla de protección de transporte para Exchange local.

  • Directivas de prevención de pérdida de datos (DLP) que contienen conjuntos de condiciones para filtrar mensajes de correo electrónico y tomar medidas para tratar de evitar la pérdida de contenido confidencial. Una de las acciones que puede especificar es aplicar el cifrado como protección, mediante la especificación de una de las opciones o plantillas de protección. Las sugerencias de las directivas se pueden usar cuando se detecta información confidencial, para alertar a los usuarios de que es posible que sea necesario aplicar protección. Para obtener más información, vea Prevención de pérdida de datos en la documentación de Exchange Online.

  • Cifrado de mensajes que admite el envío de un mensaje de correo electrónico protegido y documentos de Office protegidos como datos adjuntos a cualquier dirección de correo electrónico en cualquier dispositivo. Las cuentas de usuario que no usan Azure AD pueden usar la experiencia web, compatible con el uso de proveedores de identidades sociales o de un código de acceso de un solo uso. Para obtener más información, consulte Configuración de nuevas funcionalidades de cifrado de mensajes de Microsoft 365 basadas en Azure Information Protection de la documentación de Microsoft 365. Para ayudarle a encontrar información adicional relacionada con esta configuración, consulte Cifrado de mensajes de Microsoft 365.

Si usa Exchange local, puede usar las características de IRM con el servicio Azure Rights Management mediante la implementación del conector de Microsoft Rights Management. Este conector actúa como un punto de retransmisión entre los servidores locales y el servicio Azure Rights Management.

Para obtener más información sobre las opciones de correo electrónico que puede usar para proteger los correos electrónicos, consulte la opción No reenviar para correos electrónicos y la opción de solo cifrado para los correos electrónicos.

Si ya está listo para configurar Exchange para proteger el correo electrónico:

SharePoint en Microsoft 365 y SharePoint Server

Al usar SharePoint en Microsoft 365 o SharePoint Server, puede proteger documentos mediante la característica de administración de derechos de información (IRM) de SharePoint. Esta característica permite a los administradores proteger listas o bibliotecas de modo que cuando un usuario consulte un documento, el archivo descargado esté protegido para que solo personas autorizadas puedan verlo y usarlo según las directivas de protección de la información que se hayan especificado. Por ejemplo, el archivo podría ser de solo lectura, deshabilitar el copiado del texto, evitar que se guarde una copia local e impedir que se pueda imprimir.

Los documentos de Word, PowerPoint, Excel y PDF admiten esta protección IRM de SharePoint. De manera predeterminada, la protección está restringida a la persona que descarga el documento. Puede cambiar este ajuste predeterminado por una opción de configuración denominada Permitir la protección de grupos, que amplía la protección a un grupo que se debe especificar. Por ejemplo, podría especificar un grupo que tenga permiso para editar documentos en la biblioteca para que el mismo grupo de usuarios pueda editar el documento fuera de SharePoint, independientemente de que el usuario descargue el documento. También podría especificar un grupo al que no se le hayan concedido permisos en SharePoint, pero los usuarios de este grupo deben acceder al documento fuera de SharePoint. Para listas y bibliotecas de SharePoint, esta protección siempre la configura un administrador, nunca un usuario final. Los permisos se establecen en el nivel de sitio, y estos permisos, de forma predeterminada, se heredan por cualquier lista o biblioteca de ese sitio. Si usa SharePoint en Microsoft 365, los usuarios también pueden configurar su biblioteca de Microsoft OneDrive para la protección irM.

Para un control más específico, puede configurar una lista o biblioteca en el sitio para que deje de heredar permisos de su elemento primario. A continuación, puede configurar los permisos irM en ese nivel (lista o biblioteca) y, a continuación, se les conoce como "permisos únicos". Sin embargo, los permisos siempre se establecen en el nivel de contenedor; no puede establecer permisos en archivos individuales.

En primer lugar, el servicio IRM se debe habilitar para SharePoint. Después, especifique los permisos IRM para una biblioteca. Para SharePoint y OneDrive, los usuarios también pueden especificar permisos IRM para su biblioteca de OneDrive. SharePoint no usa plantillas de directiva de derechos, aunque hay valores de configuración de SharePoint que se pueden seleccionar que coinciden con la configuración que se puede especificar en las plantillas.

Si usa SharePoint Server, puede usar esta protección IRM mediante la implementación del conector de Microsoft Rights Management. Este conector actúa como un relé entre los servidores locales y el servicio en la nube de Rights Management. Para más información, consulte Implementación del conector de Microsoft Rights Management.

Nota

Hay algunas limitaciones al usar IRM de SharePoint:

  • No pueden utilizar las plantillas de protección predeterminadas o personalizadas que se administran en Azure Portal.

  • No se admiten los archivos que tienen una extensión de nombre de archivo .ppdf para archivos PDF protegidos. Para obtener más información sobre cómo ver documentos PDF protegidos, consulte Lectores de PDF protegidos para Microsoft Purview Information Protection.

  • Cuando más de un usuario edita un documento al mismo tiempo, la co-autoría no se admite. Para editar un documento en una biblioteca protegida mediante IRM, debe activar primero el documento y descargarlo y, a continuación, modificarlo en la aplicación de Office. Por lo tanto, solo una persona puede editar el documento a la vez.

En el caso de las bibliotecas que no están protegidas con IRM, si aplica solo protección a un archivo que, a continuación, carga en SharePoint o OneDrive, los siguientes no funcionan con este archivo: Coautoría, Office på nettet, búsqueda, vista previa del documento, miniatura, eDiscovery y prevención de pérdida de datos (DLP).

Importante

IrM de SharePoint se puede usar en combinación con etiquetas de confidencialidad que aplican protección. Cuando se usan ambas características juntas, el comportamiento cambia para los archivos protegidos. Para obtener más información, vea Habilitar etiquetas de confidencialidad para archivos de Office en SharePoint y OneDrive.

Al usar la protección IRM de SharePoint, el servicio Azure Rights Management aplica restricciones de uso y cifrado de datos a los documentos. Concretamente, se aplican al descargar los documentos de SharePoint y no al crearlos allí ni al cargarlos en la biblioteca. Para obtener información sobre cómo se protegen los documentos antes de descargarlos, vea Cifrado de datos en OneDrive y SharePoint en la documentación de SharePoint.

Para ver los cambios que vienen, consulte Novedades a la seguridad, la administración y la migración de SharePoint.

Si está listo para configurar SharePoint para IRM:

Pasos siguientes

Si tiene Microsoft 365, es posible que le interese revisar soluciones de protección de archivos en Microsoft 365, que proporciona funcionalidades recomendadas para proteger archivos en Microsoft 365.

Para conocer otras aplicaciones y servicios compatibles con el servicio Azure Rights Management de Azure Information Protection, vea Compatibilidad de aplicaciones con el servicio Azure Rights Management.

Si está listo para iniciar la implementación, que incluye la configuración de estas aplicaciones y servicios, consulte la hoja de ruta de implementación de AIP para la clasificación, el etiquetado y la protección.