Resumen: cómo funciona IRM en un entorno de Exchange híbrido y cómo configurar IRM para que funcione entre Exchange Online y sus servidores de Exchange locales.
Information Rights Management (IRM) le ayuda a protegerse frente a la pérdida de información confidencial proporcionando protección persistente en línea y sin conexión de mensajes de correo electrónico y datos adjuntos. Tanto la organización local de Exchange como Exchange Online, en Microsoft 365 o Office 365 para empresas, admiten IRM. Sin embargo, hay diferencias entre las dos implementaciones y debe configurar IRM en la organización Exchange Online antes de que los usuarios de esa organización puedan usarla.
IRM usa Active Directory Rights Management Services (AD RMS), que es un componente de Windows Server 2008 y posterior. AD RMS permite que los usuarios creen contenidos protegidos por derechos, como mensajes de correo electrónico y documentos adjuntos y luego controlar cómo se usa ese contenido y a quién puede distribuirse. Los usuarios pueden especificar plantillas que determinen cómo puede usarse el contenido. Por ejemplo, un usuario puede especificar que un mensaje de correo electrónico no puede reenviarse a otros destinatarios o que no puede copiarse la información del mensaje.
Diferencias entre IRM en Exchange local y Exchange Online
La funcionalidad de IRM que está disponible en la organización de Exchange local es diferente de la funcionalidad disponible en la organización de Exchange Online. La siguiente tabla proporciona un resumen de las características y de las funcionalidades disponibles en cada organización. (Obtenga más información sobre estas características en: Information Rights Management)
Características de IRM disponibles
Característica
Disponible en Exchange 2007 y versiones anteriores
Disponible en Exchange 2010
Disponible en Exchange Online y en Exchange 2013 y versiones posteriores
Protección manual de mensajes en Outlook
Sí
Sí
Sí
Protección manual de mensajes en Outlook Web App
No
Sí
Sí
Ver mensajes protegidos por IRM en Outlook
Sí
Sí
Sí
Ver mensajes protegidos por IRM en Outlook Web App
No
Sí
Sí
Agente de licencia previa de IRM
Sí
Sí
Sí
Plantillas de la directiva de RMS
No
Sí
Sí
Descifrado de transporte
No
Sí
Sí
Descifrado de informe de diario
No
Sí
Sí
Descifrado de detección y búsqueda de Exchange
No
Sí
Sí
Reglas de protección automática de Outlook
No
No
Sí
Reglas de protección automática de transporte
No
Sí
Sí
IRM en implementaciones híbridas
Exchange usa servidores de AD RMS en el bosque de Active Directory en donde está instalado el servidor de Exchange. Para los servidores locales de Exchange, se usa el servidor de AD RMS. Para la organización de Exchange Online, se usan los servidores de AD RMS que se mantienen dentro de los centros de datos de Microsoft 365 y Office 365. La configuración de AD RMS que usa cada organización de Exchange es independiente de cualquier otra implementación de AD RMS.
La configuración de AD RMS (y, en consecuencia, la configuración de IRM) no se replica automáticamente entre la organización de Exchange local y la organización de Exchange Online. Las plantillas de AD RMS que ha definido no se copian automáticamente en la organización de Exchange Online. Si desea que las mismas plantillas de AD RMS estén disponibles en la organización Exchange Online, debe exportar manualmente las plantillas de la organización local y aplicarlas a la organización de Microsoft 365 o Office 365. Vea Configurar IRM en implementaciones híbridas más adelante en este tema.
Experiencia del usuario
La configuración de IRM que se aplica a un usuario depende del cliente que el usuario use y de la ubicación del buzón de correo del usuario. La siguiente tabla muestra el servidor de AD RMS que usará un usuario.
Servidor de AD RMS activo
Client
Buzón de correo local
Buzón de correo Exchange Online
Clientes de escritorio de Outlook
AD RMS local
AD RMS local
Outlook en la web
AD RMS local
AD RMS de Exchange Online
Dispositivo de ActiveSync
AD RMS local
AD RMS de Exchange Online
Dependiendo de la configuración de AD RMS que haya establecido en la organización local y en la de Exchange Online, es posible que un usuario que use Outlook 2007 y Outlook en la web pueda ver plantillas de AD RMS diferentes. Por esta razón, recomendamos que aplique las mismas plantillas tanto para la organización local como para la organización de Exchange Online.
No debería existir ningún tipo de diferencia en la experiencia de IRM para los usuarios del cliente de Outlook, independientemente de si su buzón de correo se encuentra ubicado en una organización local o en una organización de Exchange Online.
Un usuario de Outlook en la web cuyo buzón se encuentra ubicado en un servidor Exchange local, solo puede abrir mensajes protegidos por derechos después de instalar el complemento Rights Management para Internet Explorer. No podrá responder ni crear mensajes protegidos por derechos nuevos.
Un usuario de Outlook en la web cuyo buzón de correo se encuentra ubicado en Exchange Online puede abrir mensajes protegidos por derechos sin ningún software adicional y puede crear mensajes protegidos por derechos nuevos y responder a ellos.
Funcionalidad del servidor
Los servidores locales de Exchange usan el agente de licencia previa de AD RMS para descifrar los mensajes protegidos por derechos para que los usuarios no tengan que presentar credenciales al abrir esos mensajes. El servidor local de Exchange se pone en contacto con el servidor local de AD RMS para comprobar los derechos y las directivas de uso y para solicitar autorización para descifrar el mensaje.
La organización de Exchange Online proporciona varias características adicionales relacionadas con IRM que usan AD RMS de Exchange Online. Estas características, como el descifrado de informe de diario, hacen que el contenido de los mensajes protegidos por derechos esté disponible para los servicios de Exchange para un procesamiento adicional. Por ejemplo, los contenidos descifrados de un mensaje de diario se pueden guardar, junto con el mensaje protegido por derechos original, para que la detección sea más sencilla. Además, las plantillas de IRM se pueden aplicar automáticamente a mensajes mediante el uso de reglas de protección o reglas de transporte de Outlook para garantizar que los mensajes cumplan con las directivas de la organización relacionadas con la protección de información.
Configurar IRM en implementaciones híbridas
IRM en Exchange depende de la implementación de AD RMS en el bosque de Active Directory en donde se encuentra el servidor de Exchange. La configuración de AD RMS no se sincroniza automáticamente entre la organización local y la de Exchange Online. Debe exportar manualmente la configuración de AD RMS, conocida como un dominio de publicación de confianza (TPD), desde el servidor local de AD RMS, e importar esa configuración en la organización de Exchange Online. El dominio de publicación de confianza (TPD) contiene la configuración de AD RMS, incluidas las plantillas, que la organización de Exchange Online necesita para usar IRM.
Además de aplicar la configuración local de AD RMS en la organización de Exchange Online, debe asegurarse de que los clientes de Outlook y ActiveSync puedan conectar con los servidores de AD RMS fuera de la red local. Esto debe realizarse si desea que estos clientes tengan acceso a los mensajes protegidos por derechos fuera de la red local.
Después de configurar la red local y de exportar los datos de TPD, configure la organización de Exchange Online mediante la importación de los datos de TPD y la habilitación de IRM.
Nota
Cada vez que modifique la configuración local de AD RMS, aplique manualmente la configuración nueva en la organización de Exchange Online. Para ello, exporte los datos de TPD desde el servidor local de AD RMS e impórtelos en la organización de Exchange Online.
Cómo configurar IRM en implementaciones híbridas de Exchange
Si usa IRM en su organización local de Exchange y desea que los usuarios basados en Exchange Online también usen IRM, haga lo siguiente:
Configure el servidor local de Active Directory Rights Management Services (AD RMS).
Habilite IRM en la organización de Exchange Online.
Distribuya las plantillas importadas de AD RMS entre los usuarios de la organización de Exchange Online.
Haga lo siguiente para exportar datos de dominio de publicación de confianza (TPD) desde su servidor local de AD RMS y, a continuación, configure el acceso al servidor de AD RMS para clientes externos.
¿Cómo habilito IRM en la organización de Exchange Online?
Después de exportar los datos de TPD de los servidores locales de AD RMS, deberá importar los datos en la organización de Exchange Online y, a continuación, habilitar IRM.
En la organización de Exchange Online, importe los datos de TPD.
Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<Path to exported TPD file>'))
Habilite IRM en la organización de Exchange Online.
¿Cómo distribuyo las plantillas de AD IRM en la organización de Exchange Online?
Después de haber habilitado IRM en la organización de Exchange Online, deberá distribuir las plantillas importadas de AD RMS. Los siguientes usuarios y funciones de Exchange Online utilizan plantillas de AD RMS:
Usuarios de Outlook en la web
Usuarios de Exchange ActiveSync
Reglas de transporte
Descifrado de informe de diarios
Reglas de protección de Outlook
En la organización de Exchange Online , recupere una lista de plantillas de AD RMS.
Get-RMSTemplate -Type All
Distribuya las plantillas de AD RMS entre los usuarios y las funciones de la organización de Exchange Online.
Set-RMSTemplate <template name> -Type Distributed
Nota
No puede modificar la plantilla AD RMS "Do Not Forward".
Repita el paso 2 para cada plantilla AD RMS que desea distribuir.
¿Cómo saber si el proceso se ha completado correctamente?
Los usuarios de Outlook en la web deberán poder aplicar las plantillas de AD RMS a nuevos mensajes. Los usuarios de Outlook en la web y Exchange ActiveSync deberán poder leer los mensajes con plantillas de AD RMS aplicadas. Asimismo, deben detallarse todas las plantillas de AD RMS que se importaron de la organización local al ejecutar el cmdlet Get-RMSTemplate.
Ejecute el siguiente comando en la organización Exchange Online:
This module introduces Microsoft Purview Message Encryption, an online service that’s built on Microsoft Azure Rights Management and includes encryption, identity, and authorization policies to help organizations secure their email. MS-102
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.