Configuración de derechos de uso para Azure Information Protection
En este artículo se describen los derechos de uso que puede configurar para que se apliquen automáticamente cuando usuarios, administradores o servicios configurados seleccionan una etiqueta o plantilla.
Los derechos de uso se seleccionan al configurar etiquetas de confidencialidad o plantillas de protección para el cifrado. Por ejemplo, puede seleccionar los roles que configuran una agrupación lógica de derechos de uso o configurar los derechos individuales de forma independiente. Como alternativa, los usuarios pueden seleccionar y aplicar personalmente los derechos de uso.
Para más detalles, en este artículo se incluyen valores del Portal de Azure clásico, que dejó de estar disponible el 8 de enero de 2018.
Importante
Use este artículo para comprender cómo se diseñan los derechos de uso para que las aplicaciones los interpreten.
Las aplicaciones pueden variar en la forma en que implementan los derechos de uso y se recomienda consultar la documentación de la aplicación y realizar pruebas propias para comprobar el comportamiento de la aplicación antes de realizar la implementación en producción.
Derechos de uso y descripciones
En la tabla siguiente se enumeran y se describen los derechos de uso que admite Rights Management y cómo se usan y se interpretan. Se enumeran por su nombre común, que es normalmente cómo se muestra o se referencia el derecho de uso, como una versión más descriptiva del valor de una sola palabra que se usa en el código (el valor Codificación en la directiva).
En esta tabla:
Constante o valor de API es el nombre de SDK para una llamada API de MSIPC SDK de Microsoft Purview Information Protection, que se usa al escribir una aplicación que comprueba un derecho de uso o agrega un derecho de uso a una directiva.
El centro de administración de etiquetado es el portal de cumplimiento de Microsoft Purview, donde se configuran las etiquetas de confidencialidad.
Derecho de uso | Descripción | Implementación |
---|---|---|
Nombre común: Editar contenido, Editar Codificación en la directiva: DOCEDIT |
Permite al usuario modificar, reorganizar, formatear u ordenar el contenido dentro de la aplicación, que incluye Office en la web. No concede el derecho a guardar la copia modificada. En Word, a menos que tenga Office 365 ProPlus con una versión mínima de 1807, este derecho no es suficiente para activar o desactivar Seguimiento de cambios, ni para usar todas las características de seguimiento de cambios como revisor. En su lugar, para usar todas las opciones de seguimiento de cambios, necesita el derecho siguiente: Control total. |
Derechos personalizados de Office: como parte de las opciones Cambiar y Control total. Nombre en el Portal de Azure clásico: Editar contenido Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: Editar contenido, Editar (DOCEDIT) Nombre en las plantillas de AD RMS: Editar Constante o valor de API: MSIPC: no aplicable. SDK de MIP: DOCEDIT |
Nombre común: Guardar Codificación en la directiva: EDIT |
Permite al usuario guardar el documento en la ubicación actual. En Office en la web, también permite al usuario editar el contenido. En aplicaciones de Office, este derecho permite al usuario guardar el archivo en una nueva ubicación y con un nuevo nombre si el formato de archivo seleccionado tiene compatibilidad integrada con la protección de Rights Management. La restricción de formato de archivo garantiza que la protección original no se pueda quitar del archivo. |
Derechos personalizados de Office: como parte de las opciones Cambiar y Control total. Nombre en el Portal de Azure clásico: Guardar archivo Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: Guardar (EDITAR) Nombre en las plantillas de AD RMS: Guardar Constante o valor de API: MSIPC: IPC_GENERIC_WRITE L"EDIT" SDK de MIP: EDIT |
Nombre común: Comentario Codificación en la directiva: COMMENT |
Habilita la opción para agregar anotaciones o comentarios al contenido. Este derecho está disponible en el SDK como directiva ad hoc en el módulo de Azure Information Protection y RMS Protection para Windows PowerShell y se ha implementado en algunas aplicaciones de proveedores de software. Pero no se usa extensamente y no es compatible actualmente con las aplicaciones de Office. |
Derechos personalizados de Office: no implementados. Nombre en el Portal de Azure clásico: no implementado. Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: no implementado. Nombre en las plantillas de AD RMS: no implementado. Constante o valor de API: MSIPC: IPC_GENERIC_COMMENT L"COMMENT SDK de MIP: COMMENT |
Nombre común: Guardar como, Exportar Codificación en la directiva: EXPORT |
Habilita la opción para guardar el contenido con un nombre de archivo diferente (Guardar como). Para el cliente de Azure Information Protection, el archivo se puede guardar sin protección y también se puede volver a proteger con la nueva configuración y permisos. Estas acciones permitidas significan que un usuario que tenga este derecho puede cambiar o quitar una etiqueta de Azure Information Protection de un documento o correo electrónico protegido. Este derecho también permite al usuario realizar otras opciones de exportación en las aplicaciones, como Enviar a OneNote. |
Derechos personalizados de Office: como parte de la opción Control total. Nombre en el Portal de Azure clásico: Exportar contenido (Guardar como) Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: Guardar como, Exportar (EXPORT) Nombre en las plantillas de AD RMS: Exportar (Guardar como) Constante o valor de API: MSIPC: IPC_GENERIC_EXPORT L"EXPORT" SDK de MIP: EXPORT |
Nombre común: Reenviar Codificación en la directiva: FORWARD |
Habilita la opción para reenviar un mensaje de correo electrónico y agregar destinatarios a las líneas Para y CC. Este derecho no se aplica a documentos, solo a mensajes de correo electrónico. No permite que el reenviador conceda derechos a otros usuarios como parte de la acción de reenvío. Al conceder este derecho, conceda también el derecho Editar contenido, Editar (nombre común) y, además, conceda el derecho Guardar (nombre común) para asegurarse de que el mensaje de correo electrónico protegido no se entregue como datos adjuntos. Especifique también estos derechos al enviar un correo electrónico a otra organización que use la aplicación web Outlook o el cliente de Outlook. O bien, para usuarios de la organización que no necesitan usar la protección de Rights Management porque ha implementado controles de incorporación. |
Derechos personalizados de Office: denegados al usar la directiva estándar No reenviar. Nombre en el Portal de Azure clásico: Reenviar Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: Reenvío (FORWARD) Nombre en las plantillas de AD RMS: Reenviar Constante o valor de API: MSIPC: IPC_EMAIL_FORWARD L"FORWARD" SDK de MIP: FORWARD |
Nombre común: Control total Codificación en la directiva: OWNER |
Concede todos los derechos para el documento; se pueden realizar todas las acciones disponibles. Incluye la capacidad de quitar la protección de un documento y de volver a protegerlo. Tenga en cuenta que este derecho de uso no es el mismo que el propietario de Rights Management. |
Derechos personalizados de Office: como la opción personalizada Control total. Nombre en el Portal de Azure clásico: Control total Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: Control total (OWNER) Nombre en las plantillas de AD RMS: Control total Constante o valor de API: MSIPC: IPC_GENERIC_ALL L"OWNER" SDK de MIP: OWNER |
Nombre común: Imprimir Codificación en la directiva: PRINT |
Habilita las opciones para imprimir el contenido. | Derechos personalizados de Office: como la opción Imprimir contenido de los permisos personalizados. No se trata de un valor por destinatario. Nombre en el Portal de Azure clásico: Imprimir Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: Imprimir (PRINT) Nombre en las plantillas de AD RMS: Imprimir Constante o valor de API: MSIPC: IPC_GENERIC_PRINT L"PRINT" SDK de MIP: PRINT |
Nombre común: Responder Codificación en la directiva: REPLY |
Habilita la opción Responder en un cliente de correo electrónico, sin permitir que se realicen cambios en las líneas Para o CC. Al conceder este derecho, conceda también el derecho Editar contenido, Editar (nombre común) y, además, conceda el derecho Guardar (nombre común) para asegurarse de que el mensaje de correo electrónico protegido no se entregue como datos adjuntos. Especifique también estos derechos al enviar un correo electrónico a otra organización que use la aplicación web Outlook o el cliente de Outlook. O bien, para usuarios de la organización que no necesitan usar la protección de Rights Management porque ha implementado controles de incorporación. |
Derechos personalizados de Office: no aplicables. Nombre en el Portal de Azure clásico: Responder Nombre en Azure Portal: Responder (REPLY) Nombre en las plantillas de AD RMS: Responder Constante o valor de API: MSIPC: IPC_EMAIL_REPLY SDK de MIP: REPLY |
Nombre común: Responder a todos Codificación en la directiva: REPLYALL |
Habilita la opción Responder a todos en un cliente de correo electrónico, pero no permite al usuario agregar a destinatarios a las líneas Para o CC. Al conceder este derecho, conceda también el derecho Editar contenido, Editar (nombre común) y, además, conceda el derecho Guardar (nombre común) para asegurarse de que el mensaje de correo electrónico protegido no se entregue como datos adjuntos. Especifique también estos derechos al enviar un correo electrónico a otra organización que use la aplicación web Outlook o el cliente de Outlook. O bien, para usuarios de la organización que no necesitan usar la protección de Rights Management porque ha implementado controles de incorporación. |
Derechos personalizados de Office: no aplicables. Nombre en el Portal de Azure clásico: Responder a todos Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: Responder todo (REPLY ALL) Nombre en las plantillas de AD RMS: Responder a todos Constante o valor de API: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL" SDK de MIP: REPLYALL |
Nombre común: Ver, Abrir, Leer Codificación en la directiva: VIEW |
Permite al usuario abrir el documento y ver el contenido. En Excel, este derecho no es suficiente para ordenar los datos, para lo que se necesita el derecho siguiente: Editar contenido, Editar. Para filtrar datos en Excel, necesita los dos derechos siguientes: Editar contenido, Editar y Copiar. |
Derechos personalizados de Office: como la opción Ver de la directiva personalizada Leer. Nombre en el Portal de Azure clásico: Ver Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: Ver, Abrir, Leer (VIEW) Nombre en las plantillas de AD RMS: Leer Constante o valor de API: MSIPC: IPC_GENERIC_READ L"VIEW" SDK de MIP: VIEW |
Nombre común: Copiar Codificación en la directiva: EXTRACT |
Habilita las opciones para copiar los datos (incluidas las capturas de pantalla) del documento en el mismo o en otro documento. En algunas aplicaciones, también permite que todo el documento se guarde en formato desprotegido. En Skype Empresarial y aplicaciones de uso compartido de pantalla similares, el moderador debe tener este derecho para presentar correctamente un documento protegido. Si el moderador no tiene este derecho, los asistentes no pueden ver el documento y se les mostrará en negro. |
Derechos personalizados de Office: como la opción de directiva personalizada Permitir que los usuarios con acceso de lectura copien el contenido. Nombre en el Portal de Azure clásico: Copiar y extraer contenido Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: Copiar (EXTRACT) Nombre en las plantillas de AD RMS: Extraer Constante o valor de API: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT" SDK de MIP: EXTRACT |
Nombre común: Derechos de visualización Codificación en la directiva: VIEWRIGHTSDATA |
Permite al usuario ver la directiva que se aplica al documento. No es compatible con aplicaciones de Office ni clientes de Azure Information Protection. |
Derechos personalizados de Office: no implementados. Nombre en el Portal de Azure clásico: Ver permisos asignados Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: Ver derechos (VIEWRIGHTSDATA). Nombre en las plantillas de AD RMS: Derechos de visualización Constante o valor de API: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" SDK de MIP: VIEWRIGHTSDATA |
Nombre común: Cambiar permisos Codificación en la directiva: EDITRIGHTSDATA |
Permite al usuario cambiar la directiva que se aplica al documento. Incluye la eliminación de la protección. No es compatible con aplicaciones de Office ni clientes de Azure Information Protection. |
Derechos personalizados de Office: no implementados. Nombre en el Portal de Azure clásico: Cambiar permisos Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: Editar derechos (EDITRIGHTSDATA). Nombre en las plantillas de AD RMS: Editar derechos Constante o valor de API: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" SDK de MIP: EDITRIGHTSDATA |
Nombre común: Permitir macros Codificación en la directiva: OBJMODEL |
Habilita la opción para ejecutar macros u obtener acceso remoto o mediante programación al contenido de un documento. | Derechos personalizados de Office: como la opción de directiva personalizada Permitir el acceso mediante programación. No se trata de un valor por destinatario. Nombre en el Portal de Azure clásico: Permitir macros Nombre en el portal de cumplimiento de Microsoft Purview y Azure Portal: Permitir macros (OBJMODEL) Nombre en las plantillas de AD RMS: Permitir macros Constante o valor de API: MSIPC: No implementado. SDK de MIP: OBJMODEL |
Derechos incluidos en los niveles de permisos
Algunas aplicaciones agrupan derechos de uso en niveles de permisos para facilitar la selección de derechos de uso que suelen utilizarse de forma conjunta. Estos niveles de permisos ayudan a resumir un nivel de complejidad de los usuarios para que puedan elegir opciones basadas en roles. Por ejemplo, Revisor y Coautor. Aunque estas opciones suelen mostrar a los usuarios un resumen de los derechos, puede que no incluyan todos los derechos enumerados en la tabla anterior.
Use la tabla siguiente para ver una lista de estos niveles de permisos y una lista completa de los derechos que contienen. Los derechos de uso se enumeran por su nombre común.
Nivel de permisos | APLICACIONES | Derechos de uso incluidos |
---|---|---|
Visor | Azure Portal clásico Azure portal Cliente de Azure Information Protection para Windows |
Ver, Abrir, Leer; Derechos de visualización; Responder [1]; Responder a todos [1]; Permitir macros [2] Nota: Para los mensajes de correo, use Revisor en lugar de este nivel de permiso para asegurarse de que se recibe una respuesta de correo electrónico como un mensaje de correo en lugar de un archivo adjunto. Revisor también es necesario cuando se envía un correo electrónico a otra organización que usa Outlook Web App o el cliente de Outlook. También es necesario para los usuarios de su organización que no necesitan usar el servicio Azure Rights Management porque se han implementado controles de incorporación. |
Revisor | Azure Portal clásico Azure portal Cliente de Azure Information Protection para Windows |
Ver, Abrir, Leer; Guardar; Editar contenido, Editar; Derechos de visualización; Responder: Responder a todos [3]; Reenviar [3]; Permitir macros [2] |
Coautor | Azure Portal clásico Azure portal Cliente de Azure Information Protection para Windows |
Ver, Abrir, Leer; Guardar; Editar contenido, Editar; Copiar; Derechos de visualización; Permitir macros; Guardar como, Exportar [4]; Imprimir; Responder [3]; Responder a todos [3]; Reenviar [3] |
Copropietario | Azure Portal clásico Azure portal Cliente de Azure Information Protection para Windows |
Ver, Abrir, Leer; Guardar; Editar contenido, Editar; Copiar; Derechos de visualización; Cambiar derechos; Permitir macros; Guardar como, Exportar; Imprimir; Responder [3]; Responder a todos [3]; Reenviar [3]; Control total |
Nota al pie 1
No se incluye en el portal de cumplimiento de Microsoft Purview ni en Azure Portal.
Nota al pie 2
Para el cliente de Azure Information Protection para Windows, este derecho es obligatorio para la barra de Information Protection en las aplicaciones de Office.
Nota al pie 3
No es aplicable al cliente de Azure Information Protection para Windows.
Nota al pie 4
No se incluye en el centro de cumplimiento de Microsoft Purview, Azure Portal ni en el cliente de Azure Information Protection para Windows.
Opción No reenviar para correos electrónicos
Los clientes y servicios de Exchange (por ejemplo, el cliente de Outlook, Outlook en la Web, las reglas de flujo de correo de Exchange y las acciones DLP para Exchange) tienen una opción adicional de protección de derechos de información para correos electrónicos: No reenviar.
Aunque esta opción aparece para los usuarios (y los administradores de Exchange) como si fuera una plantilla predeterminada de Rights Management que se puede seleccionar, No reenviar no es una plantilla. Esto explica por qué no se puede ver en Azure Portal cuando se visualizan y se administran las plantillas de protección. En su lugar, la opción No reenviar es un conjunto de derechos de uso que los usuarios aplican dinámicamente a los destinatarios de correo electrónico.
Cuando se aplica la opción No reenviar a un correo electrónico, el correo electrónico se cifra y los destinatarios se deben autenticar. Después, los destinatarios no pueden reenviarlo, imprimirlo ni copiar desde él. Por ejemplo, en el cliente de Outlook, el botón Reenviar no está disponible; tampoco están disponibles las opciones de menú Guardar como e Imprimir, y no se pueden agregar ni cambiar destinatarios en los cuadros Para, CC ni CCO.
Los documentos de Office desprotegidos que se adjuntan al correo electrónico heredan automáticamente las mismas restricciones. Los derechos de uso aplicados a estos documentos son Editar contenido, Editar; Guardar; Ver, Abrir, Leer y Permitir macros. Si quiere otros derechos de uso para los datos adjuntos o los datos adjuntos no son un documento de Office que admita esta protección heredada, proteja el archivo antes de adjuntarlo al correo electrónico. Después, puede asignar los derechos de uso específicos que necesita para el archivo.
Diferencia entre No reenviar y no conceder el derecho de uso Reenviar
Hay una diferencia importante entre aplicar la opción No reenviar y aplicar una plantilla que no concede el derecho de uso Reenviara un correo electrónico: la opción No reenviar utiliza una lista dinámica de usuarios autorizados basada en los destinatarios del mensaje original que elige el usuario, mientras que los derechos de la plantilla tienen una lista estática de usuarios autorizados que el administrador ha especificado anteriormente. ¿Cuál es la diferencia? Veamos un ejemplo:
Un usuario quiere enviar información por correo electrónico a personas concretas del departamento de marketing que no debe compartirse con nadie más. ¿Debe proteger el correo electrónico con una plantilla que restringe los derechos (ver, responder y guardar) al departamento de marketing? ¿O debe elegir la opción No reenviar? Ambas opciones harían que los destinatarios no pudieran reenviar el correo electrónico.
Si aplica la plantilla, los destinatarios pueden seguir compartiendo la información con otros usuarios del departamento de marketing. Por ejemplo, un destinatario puede usar el explorador para arrastrar y colocar el correo electrónico en una ubicación compartida o en una unidad USB. De este modo, cualquier persona del departamento de marketing (y el propietario del correo electrónico) que tenga acceso a esta ubicación podrá ver la información del correo electrónico.
Si aplica la opción No reenviar, los destinatarios no podrán compartir la información con ninguna persona del departamento de marketing si mueven el correo electrónico a otra ubicación. En este caso, solo los destinatarios originales (y el propietario del correo electrónico) podrán ver la información del correo electrónico.
Nota:
Use No reenviar cuando sea importante que solo los destinatarios que elige el remitente puedan ver la información del correo electrónico. Use una plantilla para correos electrónicos para restringir los derechos a un grupo de personas especificadas de antemano por el administrador, independientemente de los destinatarios que elija el remitente.
Opción de solo cifrado para correos electrónicos
Cuando Exchange Online usa las nuevas funcionalidades para el cifrado de mensajes de Office 365, está disponible una nueva opción de correo electrónico Cifrar para cifrar los datos sin restricciones adicionales.
Esta opción está disponible para los inquilinos que usan Exchange Online y se puede seleccionar de la siguiente manera:
- En Outlook en la Web con la opción Cifrar o una etiqueta de confidencialidad configurada para Permitir a los usuarios asignar permisos y la opción Solo cifrar
- Como otra opción de protección de derechos para una regla de flujo de correo
- Como una acción DLP de Office 365
- Desde la aplicación Outlook para equipos de escritorio y dispositivos móviles:
- Con una etiqueta de confidencialidad configurada para Permitir que los usuarios asignen permisos y la opción Solo cifrado, para Windows, macOS, iOS y Android cuando se usa el etiquetado integrado con las versiones mínimas enumeradas en la tabla para las funcionalidades de etiquetas de confidencialidad en Outlook.
- Con la opción Cifrar en Windows y macOS, para las versiones enumeradas en la tabla de versiones admitidas para Aplicaciones Microsoft 365 por canal de actualización.
Para más información sobre la opción de solo cifrado, vea la siguiente entrada de blog cuando la anunció por primera el equipo de Office: Solo cifrado implementado en el cifrado de mensajes de Office 365.
Cuando se selecciona esta opción, el correo electrónico se cifra y se deben autenticar los destinatarios. Después, los destinatarios tienen todos los derechos de uso, excepto Guardar como, Exportar y Control total. Esta combinación de derechos de uso significa que los destinatarios no tienen restricciones, excepto que no pueden quitar la protección. Por ejemplo, un destinatario puede copiar desde el correo electrónico, imprimirlo y reenviarlo.
Del mismo modo, de forma predeterminada, los documentos de Office no protegidos que se adjuntan al correo electrónico heredan los mismos permisos. Estos documentos se protegen automáticamente y, cuando se descargan, los destinatarios los pueden guardar, editar, copiar e imprimir desde aplicaciones de Office. Cuando un destinatario guarda el documento, se puede guardar con un nuevo nombre e incluso con otro formato. Pero solo los formatos de archivo que admiten la protección están disponibles para que el documento no se pueda guardar sin la protección original. Si quiere otros derechos de uso para los datos adjuntos o los datos adjuntos no son un documento de Office que admita esta protección heredada, proteja el archivo antes de adjuntarlo al correo electrónico. Después, puede asignar los derechos de uso específicos que necesita para el archivo.
Como alternativa, puede cambiar esta herencia de protección de los documentos si especificaSet-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
con Exchange Online PowerShell. Use esta configuración cuando no necesite conservar la protección original del documento una vez que se autentique el usuario. Cuando los destinatarios abren el mensaje de correo electrónico, el documento no está protegido.
Si necesita que un documento adjunto conserve la protección original, vea Protección de la colaboración de documentos mediante Azure Information Protection.
Nota:
Si ve referencias a DecryptAttachmentFromPortal, este parámetro ya está en desuso para Set-IRMConfiguration. A menos que haya establecido previamente este parámetro, no está disponible.
Cifrado automático de documentos PDF con Exchange Online
Cuando Exchange Online usa las nuevas funcionalidades para el cifrado de mensajes de Office 365, puede cifrar automáticamente documentos PDF desprotegidos cuando se adjuntan a un correo electrónico cifrado. El documento hereda los mismos permisos que los del mensaje de correo electrónico. Para habilitar esta configuración, establezca EnablePdfEncryption $True con Set-IRMConfiguration.
Los destinatarios que aún no tienen instalado un lector que admita el estándar ISO para el cifrado de PDF pueden instalar uno de los lectores enumerados en Lectores de PDF que admiten Microsoft Purview Information Protection. Como alternativa, los destinatarios pueden leer el documento PDF protegido en el portal de OME.
Emisor de Rights Management y propietario de Rights Management
Cuando un documento o mensaje de correo está protegido mediante el servicio Azure Rights Management, la cuenta que protege el contenido se convierte automáticamente en el emisor de Rights Management para ese contenido. Esta cuenta se ha registrado como el campo emisor en los registros de uso.
Al emisor de Rights Management siempre se le concede el derecho de uso Control total para el documento o mensaje de correo, y además:
Si la configuración de protección incluye una fecha de expiración, el emisor de Rights Management todavía puede abrir y editar el documento o mensaje de correo después de esa fecha.
El emisor de Rights Management siempre puede acceder al documento o mensaje de correo electrónico sin conexión.
El emisor de Rights Management todavía puede abrir un documento después de que se revoque.
De forma predeterminada, esta cuenta es también el propietario de Rights Management de ese contenido, como sucede cuando el usuario que ha creado el documento o mensaje de correo inicia la protección. Pero hay algunos escenarios donde un administrador o un servicio puede proteger el contenido en nombre de los usuarios. Por ejemplo:
Un administrador protege de forma masiva los archivos de un recurso compartido de archivos: la cuenta de administrador en Microsoft Entra ID protege los documentos de los usuarios.
El conector de Rights Management protege los documentos de Office en una carpeta de Windows Server: la cuenta de la entidad de servicio en Microsoft Entra ID que se ha creado para el conector de RMS protege los documentos de los usuarios.
En estos escenarios, el emisor de Rights Management puede asignar al propietario de Rights Management a otra cuenta mediante los SDK de Azure Information Protection o PowerShell. Por ejemplo, cuando se usa el cmdlet de PowerShell Protect-RMSFile con el cliente de Azure Information Protection, se puede especificar el parámetro OwnerEmail para asignar el propietario de Rights Management a otra cuenta.
Cuando el emisor de Rights Management protege en nombre de los usuarios, la asignación del propietario de Rights Management garantiza que el propietario del documento o mensaje de correo original tiene el mismo nivel de control del contenido protegido que si hubiera iniciado la protección él mismo.
Por ejemplo, el usuario que ha creado el documento puede imprimirlo, aunque ahora está protegido con una plantilla que no incluye el derecho de uso Imprimir. El mismo usuario siempre puede tener acceso a sus documentos, independientemente de la configuración de acceso sin conexión o la fecha de expiración que se hayan configurado en esa plantilla. Además, dado que el propietario de Rights Management tiene el derecho de uso Control total, este usuario también puede volver a proteger el documento para conceder acceso a usuarios adicionales (momento en que el usuario se convierte entonces en el emisor de Rights Management, así como en el propietario de Rights Management) y este usuario puede incluso quitar la protección. Pero solo el emisor de Rights Management puede realizar un seguimiento y revocar un documento.
El propietario de Rights Management de un documento o mensaje de correo se ha registrado como el campo owner-email en los registros de uso.
Nota:
El propietario de Rights Management es independiente del propietario del sistema de archivos de Windows. A menudo son los mismos, pero pueden ser diferentes, incluso si no se usan los SDK o PowerShell.
Licencia de uso de Rights Management
Cuando un usuario abre un documento o correo electrónico que se ha protegido con Azure Rights Management, se concede al usuario una licencia de uso de Rights Management para ese contenido. Esta licencia de uso es un certificado que contiene los derechos de uso del usuario para el documento o mensaje de correo electrónico y la clave de cifrado que se ha usado para cifrar el contenido. La licencia de uso, además, contiene una fecha de expiración, si se ha establecido, y el período de validez de la licencia de uso.
Un usuario debe tener una licencia de uso válida para abrir el contenido además de su certificado de cuenta de derechos (RAC), que es un certificado que se concede cuando se inicializa el entorno de usuario y, después, se renueva cada 31 días.
Mientras la licencia de uso esté en vigor, no es necesario volver a autenticar ni autorizar al usuario. Esto permite al usuario seguir abriendo el documento o el correo electrónico protegido sin una conexión a Internet. Cuando el período de validez de la licencia de uso haya expirado, la siguiente vez que el usuario acceda al documento o correo electrónico protegido, deberá volver a autenticarse y autorizarse.
Si los documentos y mensajes de correo electrónico se protegen mediante una etiqueta o una plantilla que define la configuración de protección, puede cambiar esta configuración en la plantilla o etiqueta sin tener que volver a proteger el contenido. Si el usuario ya ha accedido al contenido, los cambios se aplican una vez que la licencia de uso haya expirado. Sin embargo, si los usuarios aplican permisos personalizados (también conocidos como directiva de permisos "ad-hoc") y estos permisos deben cambiarse después de haber protegido el documento o correo electrónico, ese contenido se debe volver a proteger con los nuevos permisos. Los permisos personalizados para un mensaje de correo electrónico se implementan con la opción No reenviar.
El valor predeterminado del período de validez de la licencia de uso de un inquilino es de 30 días y se puede configurar con el cmdlet de PowerShell Set-AipServiceMaxUseLicenseValidityTime. Puede establecer una configuración más restrictiva cuando se aplique la protección mediante una etiqueta de confidencialidad configurada para asignar permisos o una plantilla:
Al configurar una etiqueta de confidencialidad, el período de validez de la licencia de uso toma su valor de la opción Permitir el acceso sin conexión.
Para más información e instrucciones sobre cómo configurar este valor para una etiqueta de confidencialidad, vea la tabla de recomendaciones de las instrucciones sobre cómo configurar los permisos ahora para una etiqueta de confidencialidad.
Al configurar una plantilla mediante PowerShell, el período de validez de la licencia de uso toma su valor del parámetro LicenseValidityDuration de los cmdlets Set-AipServiceTemplateProperty y Add-AipServiceTemplate.
Para obtener más información e instrucciones para configurar este valor mediante PowerShell, consulte la ayuda de cada cmdlet.