Restringir el acceso al contenido mediante el uso de etiquetas de confidencialidad para aplicar el cifrado

Guía de licencias de Microsoft 365 para el cumplimiento de seguridad&.

Al crear una etiqueta de confidencialidad, puede restringir el acceso al contenido al que se aplicará la etiqueta. Por ejemplo, con la configuración de cifrado de una etiqueta de confidencialidad, puede proteger el contenido de manera que:

  • Solo los usuarios de su organización puedan abrir un correo electrónico o documentos confidenciales.
  • Solo los usuarios del departamento de marketing puedan editar e imprimir documentos o correos electrónicos de anuncios de promociones, mientras que todos los demás usuarios de su organización solo puedan leerlos.
  • Los usuarios no puedan reenviar un correo electrónico o copiar información que contenga noticias sobre una reorganización interna.
  • La lista de precios actual que se envía a socios comerciales no pueda abrirse tras una fecha especificada.
  • Solo las personas que enviaron una invitación a una reunión para iniciar un proyecto confidencial pueden abrir la invitación a la reunión y no pueden reenviarla a otros usuarios.

Cuando se cifra un documento, un correo electrónico o una invitación a la reunión, el acceso al contenido está restringido, de modo que:

  • Se puede desencriptar solo por los usuarios autorizados por la configuración de encriptado de la etiqueta.
  • Permanece encriptado independientemente de dónde resida, dentro o fuera de su organización, incluso si cambia el nombre del archivo.
  • Se encripta tanto en reposo (por ejemplo, en una cuenta de OneDrive) como y en tránsito (por ejemplo, cuando un correo electrónico viaja a través de Internet).

Por último, como administrador, al configurar una etiqueta de confidencialidad para aplicar el cifrado, puede elegir entre:

  • Asignar permisos ahora para que determine exactamente los permisos para el contenido con esa etiqueta y los usuarios que los obtendrán.
  • Permitir a los usuarios asignar permisos al aplicar la etiqueta al contenido. De esta forma, puede permitir a los usuarios de su organización cierta flexibilidad que pueden necesitar para colaborar y llevar a cabo su trabajo.

La configuración de cifrado está disponible cuando se crea una etiqueta de confidencialidad en el Portal de cumplimiento de Microsoft Purview.

Nota:

Ahora, en versión preliminar, una etiqueta de confidencialidad en Outlook puede aplicar protección S/MIME en lugar de cifrado y permisos del servicio Azure Rights Management. Para obtener más información, vea Configurar una etiqueta para aplicar la protección S/MIME en Outlook.

Sugerencia

Si no es cliente de E5, puede probar todas las características premium de Microsoft Purview de forma gratuita. Use la prueba de soluciones de Purview de 90 días para explorar cómo las sólidas funcionalidades de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Entender cómo funciona el cifrado

A menos que use S/MIME para Outlook, el cifrado que aplican las etiquetas de confidencialidad a documentos, correos electrónicos e invitaciones a reuniones usa el servicio de Azure Rights Management (Azure RMS) de Azure Information Protection. Esta solución de protección usa directivas de cifrado, identidades y de autorización. Para obtener más información, consulte ¿qué es Azure Rights Management? en la documentación de Azure Information Protection.

Cuando usa esta solución de cifrado, la característica de superusuario garantiza que los usuarios y los servicios autorizados siempre puedan leer e inspeccionar los datos que se han cifrado para la organización. Si es necesario, el cifrado puede quitarse o modificarse. Para obtener más información, consulte configuración de superusuarios para Azure Information Protection y servicios de detección y de recuperación de datos de Azure.

Importante

También puede usar etiquetas de confidencialidad para aplicar cifrado a secuencias de audio y vídeo para reuniones de Teams, pero esto usa un método diferente de cifrado y no el servicio de Azure Rights Management que se usa para correos electrónicos, invitaciones a reuniones y documentos. Para obtener más información sobre el cifrado usado para las reuniones de Teams, consulte cifrado multimedia en la guía de seguridad de Teams.

Requisitos previos importantes

Para poder usar el cifrado, es posible que tenga que realizar algunas tareas de configuración. Al configurar las opciones de cifrado, no hay ninguna comprobación para validar que se cumplen los requisitos previos.

  • Activar la protección de Azure Information Protection

    Para que las etiquetas de confidencialidad puedan aplicar el cifrado, el servicio de protección (Azure Rights Management) de Azure Information Protection debe estar activado para su espacio empresarial. En los espacios empresariales más recientes, esta es la configuración predeterminada, pero es posible que tenga que activar el servicio manualmente. Para obtener más información, consulte Activar el servicio de protección de Azure Information Protection.

  • Comprobar los requisitos de red

    Es posible que deba realizar algunos cambios en sus dispositivos de red, como firewalls. Para obtener más información, consulte Firewalls y la infraestructura de red de la documentación de Azure Information Protection.

  • Comprobación de la configuración de Azure AD

    Hay algunas configuraciones de Azure Active Directory (Azure AD) que pueden impedir el acceso autorizado al contenido cifrado. Por ejemplo, la configuración de acceso entre inquilinos y las directivas de acceso condicional. Para más información, consulte Configuración de Azure AD para contenido cifrado.

  • Configurar Exchange para Azure Information Protection

    Exchange no tiene que configurarse para Azure Information Protection antes de que los usuarios puedan aplicar etiquetas en Outlook para cifrar sus correos electrónicos. Sin embargo, hasta que Exchange esté configurado para Azure Information Protection, no obtendrá la funcionalidad completa de usar Azure Rights Management protección con Exchange.

    Por ejemplo, los usuarios no pueden ver correos electrónicos cifrados ni invitaciones a reuniones cifradas en teléfonos móviles o con Outlook en la Web, los correos electrónicos cifrados no se pueden indexar para la búsqueda y no se puede configurar Exchange Online DLP para la protección de Rights Management.

    Para asegurarse de que Exchange puede admitir estos escenarios adicionales:

Cómo configurar una etiqueta para el cifrado

  1. Siga las instrucciones generales para crear o editar una etiqueta de confidencialidad y asegúrese de que los elementos están seleccionados para el ámbito de la etiqueta:

    Opciones de ámbito de etiqueta de confidencialidad para archivos y correos electrónicos.

  2. A continuación, en la página Elegir configuración de protección para elementos etiquetados , asegúrese de seleccionar Cifrar elementos. Además, seleccione Incluir reuniones si la configuración debe extenderse a las invitaciones y respuestas a reuniones.

    Opciones de protección de etiquetas de confidencialidad para los elementos.

  3. En la páginaCifrado, seleccione una de las siguientes opciones:

    • Quitar cifrado si el archivo o correo electrónico está cifrado: al seleccionar esta opción, al aplicar la etiqueta se quitará el cifrado existente, incluso si se aplicó independientemente de una etiqueta de confidencialidad.

      Es importante comprender que esta configuración puede dar lugar a una etiqueta de confidencialidad que es posible que los usuarios no puedan aplicar cuando no tengan permisos suficientes para quitar el cifrado existente. Para obtener más información sobre este escenario, vea la sección ¿Qué ocurre con el cifrado existente al aplicar una etiqueta?

    • Configurar las opciones de cifrado: activa el cifrado y hace que la configuración de cifrado sea visible:

      Opciones de etiqueta de confidencialidad para el cifrado.

      Las instrucciones para estas opciones de configuración están en la sección Establecer la configuración de cifrado.

Edición de etiquetas para aplicar el cifrado recién o cambiar la configuración de cifrado existente

Es una estrategia de implementación común configurar inicialmente etiquetas de confidencialidad sin cifrado y, posteriormente, editar algunas de las etiquetas existentes para aplicar el cifrado. Las etiquetas que edite aplicarán ese cifrado para los elementos recién etiquetados. Los elementos que ya están etiquetados permanecen sin cifrar, a menos que quite la etiqueta y vuelva a aplicarla.

Para los elementos que ya están etiquetados con cifrado mediante la opción asignar permisos ahora y se cambian los usuarios o permisos, la nueva configuración también se aplicará a los elementos existentes cuando los usuarios se autentiquen con el servicio de cifrado. En la mayoría de los casos, no es necesario quitar y volver a aplicar la etiqueta. Sin embargo, si los usuarios ya han abierto un documento o correo electrónico cifrado, no obtendrán la nueva configuración hasta que su licencia de uso haya expirado y deban volver a autenticarse. Para obtener más información sobre este escenario, consulte la pregunta más frecuente relacionada sobre cómo funciona el cifrado.

Cada vez que cambie las opciones de cifrado para permitir que los usuarios asignen permisos, ese cambio solo se aplica a los elementos recién etiquetados o reetiquetados. Por ejemplo:

  • Cambie la etiqueta de asignar permisos ahora para permitir que los usuarios asignen permisos, o al revés.
  • Cambie la etiqueta de No reenviar a Solo cifrado, o al revés.

Qué sucede con el cifrado existente al aplicar una etiqueta

Si se aplica una etiqueta de confidencialidad a contenido sin cifrar, el resultado de las opciones de cifrado que puede seleccionar se explica por sí mismo. Por ejemplo, si no ha seleccionado Cifrar archivos y mensajes de correo electrónico, el contenido permanecerá sin cifrar.

Sin embargo, es posible que el contenido ya esté cifrado. Por ejemplo, otro usuario puede haber aplicado:

  • Sus propios permisos, que incluyen permisos definidos por el usuario cuando se le solicitan con una etiqueta, permisos personalizados por el cliente de Azure Information Protection y la protección del documento con acceso restringido desde una aplicación de Office.
  • Una plantilla de Azure Rights Management Protection que cifre el contenido independientemente de una etiqueta. Esta categoría incluye las reglas de flujo de correo que aplican el cifrado mediante la protección de derechos.
  • Una etiqueta que aplica el cifrado con los permisos asignados por el administrador.

En la tabla siguiente se identifica lo que ocurre con el cifrado existente cuando se aplica una etiqueta de confidencialidad al contenido:

Cifrado: no seleccionado Cifrado: configurado Cifrado: quitar
Permisos especificados por un usuario Se preserva el cifrado original Se aplica el cifrado de la nueva etiqueta Se quita el cifrado original
Plantilla de protección Se preserva el cifrado original Se aplica el cifrado de la nueva etiqueta Se quita el cifrado original
Etiqueta con permisos definidos por el administator Se quita el cifrado original Se aplica el cifrado de la nueva etiqueta Se quita el cifrado original

En los casos en los que se aplica el cifrado de la nueva etiqueta o se elimina el cifrado original, esto solo se produce si el usuario que aplica la etiqueta tiene un derecho de uso o un rol que admite esta acción:

Si el usuario no tiene uno de estos derechos o roles, la etiqueta no se puede aplicar y, por lo tanto, se preserva el cifrado original. El usuario verá el siguiente mensaje: No tiene permiso para realizar este cambio en la etiqueta de confidencialidad. Póngase en contacto con el propietario del contenido.

Por ejemplo, la persona que aplica No reenviar a un mensaje de correo puede reetiquetar el hilo para reemplazar el cifrado o quitarlo, ya que es el propietario de la Administración de derechos del correo electrónico. Pero, con la excepción de superusuarios, los destinatarios de este mensaje de correo electrónico no pueden volver a etiquetarlo porque no tienen los derechos de uso necesarios.

Email datos adjuntos para mensajes de correo electrónico cifrados e invitaciones a reuniones

Cuando cualquier método cifra un mensaje de correo electrónico o una invitación a la reunión, los documentos de Office sin cifrar que se adjuntan al correo electrónico o invitación heredan automáticamente la misma configuración de cifrado.

Los documentos que ya están cifrados y se agregan como datos adjuntos siempre conservan el cifrado original.

Configurar opciones de cifrado

Cuando seleccioneEstablecer la configuración de cifrado, en la página Cifrado para crear o editar una etiqueta de confidencialidad, elija una de las siguientes opciones:

  • Asignar permisos ahora para que pueda determinar exactamente qué permisos obtienen los distintos usuarios para el contenido que tenga aplicada la etiqueta. Para obtener más información, vea la sección siguiente Asignar permisos ahora.
  • Permitir a los usuarios asignar permisos al aplicar la etiqueta al contenido. De esta forma, puede permitir a los usuarios de su organización cierta flexibilidad que pueden necesitar para colaborar y llevar a cabo su trabajo. Para obtener más información, vea la sección Permitir a los usuarios asignar permisos en esta página.

Por ejemplo, si tiene una etiqueta de confidencialidad denominada Extremadamente confidencial que se aplicará al contenido más confidencial, es posible que quiera decidir ahora quién obtendrá cierto tipo de permisos para ese contenido.

Por otra parte, si tiene una etiqueta de confidencialidad denominada Contratos empresariales y el flujo de trabajo de su organización requiere que sus usuarios colaboren en este contenido con diferentes personas según sea necesario, puede que quiera permitir a los usuarios decidir quién obtiene permisos cuando asignan la etiqueta. Esta flexibilidad aumenta la productividad de los usuarios y reduce las solicitudes de actualización y creación de nuevas etiquetas a los administradores para solucionar escenarios específicos.

Elegir si asignar permisos ahora o permitir a los usuarios asignar permisos:

Opción para agregar permisos definidos por el usuario o un administrador.

Asignar permisos ahora

Use las siguientes opciones para controlar quién puede acceder al correo electrónico, las invitaciones a reuniones (si están habilitadas) o los documentos a los que se aplica esta etiqueta. Puede:

  • Permitir que expire el acceso al contenido etiquetado, ya sea en una fecha específica o después de un número específico de días después de aplicar la etiqueta. Después de este tiempo, los usuarios no podrán abrir el elemento etiquetado. Si especifica una fecha, esta entrará en vigor a medianoche en esa fecha en la zona horaria actual. Es posible que algunos clientes de correo electrónico no exijan la expiración y muestren correos electrónicos más allá de su fecha de expiración, debido a sus mecanismos de almacenamiento en caché.

  • Permitir el acceso sin conexión nunca, siempre o durante una cantidad específica de días después de aplicar la etiqueta. Use esta opción para equilibrar los requisitos de seguridad que tiene con la capacidad de que los usuarios abran contenido cifrado cuando no tengan conexión a Internet. Si restringe el acceso sin conexión a nunca o a un número de días, cuando se alcance ese umbral, se debe volver a autenticar a los usuarios y se registrará su acceso. Para obtener más información sobre cómo funciona este proceso, consulte la siguiente sección sobre la licencia de uso de Rights Management.

Configuración de control de acceso para contenido cifrado:

Configuración de permisos definidos por el administrador.

Recomendaciones para la configuración de expiración y acceso sin conexión:

Configuración Valor recomendado
El acceso del usuario al contenido expira Nunca a menos que el contenido tenga un requisito específico de tiempo limitado.
Permitir acceso sin conexión Depende de la confidencialidad del contenido:

- Solo durante un número de días = 7 para datos empresariales confidenciales que podrían causar daños a la empresa si se comparten con personas no autorizadas. Esta recomendación ofrece un compromiso equilibrado entre flexibilidad y seguridad. Entre los ejemplos, se incluyen contratos, informes de seguridad, resúmenes de previsión y datos de cuentas de ventas.

- Nunca para datos empresariales muy confidenciales que podrían causar daños a la empresa si se compartiesen con personas no autorizadas. Esta recomendación brinda prioridad a la seguridad frente a la flexibilidad y garantiza que, si quita el acceso de uno o varios usuarios al documento, no podrán abrirlo. Algunos ejemplos son la información de empleados y clientes, las contraseñas, el código fuente y los informes financieros anunciados de manera previa.

- Siempre para contenido menos confidencial en el que no importa si los usuarios pueden seguir abriendo el contenido cifrado durante un máximo de 30 días (o el período de validez de licencia de uso configurado para el inquilino) después de quitar su acceso y haber abierto previamente el contenido cifrado.

Solo las etiquetas configuradas para asignar permisos ahora admiten valores diferentes para el acceso sin conexión. Las etiquetas que permiten a los usuarios asignar los permisos usan el período de validez de la licencia de uso de Rights Management del inquilino. Por ejemplo, las etiquetas configuradas para No reenviar, Solo cifrar y las que solicitan a los usuarios que especifiquen sus propios permisos. El valor predeterminado de esta configuración es 30 días.

Licencia de uso de administración de derechos para el acceso sin conexión

Nota:

Aunque puede configurar las opciones de cifrado para permitir el acceso sin conexión, es posible que algunas aplicaciones no admitan el acceso sin conexión para el contenido cifrado. Por ejemplo, los archivos etiquetados y cifrados en Power BI Desktop no se abrirán sin conexión.

Cuando un usuario abre un elemento protegido mediante cifrado del servicio Azure Rights Management, se concede al usuario una licencia de uso de Azure Rights Management para ese contenido. Esta licencia de uso es un certificado que contiene los derechos de uso del usuario para el documento o correo electrónico y la clave de cifrado que se usó para cifrar el contenido. La licencia de uso también contiene una fecha de expiración en caso de que se haya establecido y durante cuánto tiempo es válida la licencia de uso.

Si no se ha establecido ninguna fecha de expiración, el período de validez de la licencia de uso predeterminado para un inquilino es de 30 días. Mientras dure la licencia de uso, el usuario no se vuelve a autenticar ni se vuelve a autenticar para el contenido. Este proceso permite al usuario seguir abriendo el documento o correo electrónico protegido sin conexión a Internet. Cuando expire el período de validez de la licencia de uso, la próxima vez que el usuario acceda al documento o correo electrónico protegido, el usuario debe volver a autenticarse y volver a autenticarse.

Además de volver a hacer la autenticación, se vuelven a evaluar la configuración de cifrado y la pertenencia a grupos de usuarios. Esto significa que los usuarios podrían experimentar resultados de acceso diferentes para el mismo elemento si hay cambios en la configuración de cifrado o pertenencia a grupos desde la última vez que accedieron al contenido.

Para obtener información sobre cómo cambiar la configuración de 30 días predeterminada, vea Licencia de uso de administración de derechos.

Asignar permisos a usuarios o grupos específicos

Puede conceder permisos a usuarios específicos para que solo pueden interactuar con el contenido con la etiqueta:

  1. Primero, agregue usuarios o grupos a los que se asignarán permisos para el contenido con la etiqueta.

  2. Después, elijaqué permisos obtienen los usuarios para el contenido con la etiqueta.

Asignación de permisos:

Opciones para asignar permisos a usuarios.

Agregar usuarios o grupos

Al asignar permisos, puede elegir:

  • Todos los miembros de la organización (todos los miembros del inquilino). Esta configuración excluye las cuentas de invitado.

  • Todos los usuarios autenticados. Asegúrese de comprender las limitaciones y los requisitos de esta configuración antes de seleccionarla.

  • Cualquier usuario específico o grupo de seguridad habilitado para correo electrónico, grupo de distribución o grupo de Microsoft 365 en Azure AD. El grupo de Microsoft 365 puede tener pertenencia estática o dinámica. No puede usar un grupo de distribución dinámico de Exchange porque este tipo de grupo no está sincronizado con Azure AD. Tampoco puede usar un grupo de seguridad que no esté habilitado para correo electrónico.

    Aunque puede especificar grupos que incluyan contactos de correo como método conveniente para conceder acceso a varias personas fuera de la organización, actualmente hay un problema conocido con esta configuración. Para obtener más información, consulte Contactos de correo en grupos que tienen acceso intermitente a contenido cifrado.

  • Cualquier dirección de correo electrónico o dominio. Use esta opción para especificar todos los usuarios de otra organización que usan Azure AD, escribiendo un nombre de dominio de dicha organización. También puede usar esta opción para proveedores de redes sociales si escribe su nombre de dominio, como gmail.com, hotmail.com o outlook.com.

    Nota:

    Si especifica un dominio de una organización que usa Azure AD, no puede restringir el acceso a ese dominio específico. En su lugar, todos los dominios comprobados en Azure AD se incluyen automáticamente para el espacio empresarial propietario del nombre de dominio que especifique.

Al elegir todos los usuarios y grupos de su organización o al examina el directorio, los usuarios o grupos deben tener una dirección de correo electrónico.

Como procedimiento recomendado, use grupos en lugar de usuarios. Esta estrategia simplifica la configuración.

Requisitos y limitaciones para "Añadir todos los usuarios autenticados"

Esta configuración no impide que los usuarios tengan acceso al contenido cifrado por la etiqueta, a la vez que cifra el contenido y ofrece opciones para restringir la manera en que puede usarse el contenido (permisos) y tener acceso a él (acceso de expiración y sin conexión). Sin embargo, la aplicación que abra el contenido cifrado debe poder admitir la autenticación que se usa. Por este motivo, los proveedores sociales federados, como Google, y la autenticación de código de acceso de una sola vez solo funcionan para las invitaciones a reuniones y correo electrónico, y solo cuando se usa Exchange Online. Las cuentas de Microsoft se pueden usar con las aplicaciones de Office 365 y el visor de Azure Information Protection.

Nota:

Considere la posibilidad de usar esta configuración con la integración de SharePoint y OneDrive con Azure AD B2B cuando las etiquetas de confidencialidad estén habilitadas para los archivos de Office en SharePoint y OneDrive.

Algunos escenarios comunes para la configuración de todos los usuarios autenticados:

  • No le importa quién vea el contenido, pero desea restringir cómo se usa. Por ejemplo, no quiere que el contenido se pueda modificar, copiar o imprimir.
  • No es necesario restringir el acceso al contenido, pero quiere confirmar quién lo abre.
  • Tiene un requisito para que el contenido se cifre en reposo y en tránsito, pero no se requieren controles de acceso.

Elegir permisos

Al elegir qué permisos permitir para los usuarios o grupos, puede seleccionar entre:

  • Un nivel de permiso predefinido con un grupo de derechos preestablecido, como coautor o revisor.
  • Permisos personalizados, donde puede elegir uno o más derechos de uso.

Para obtener más información sobre cómo seleccionar los permisos adecuados, consulte derechos y descripciones de uso.

Opciones para elegir permisos predefinidos o personalizados.

Tenga en cuenta que la misma etiqueta puede conceder permisos diferentes a distintos usuarios. Por ejemplo, una sola etiqueta puede asignar algunos usuarios como Revisor y un usuario diferente como coautor, como se muestra en la captura de pantalla siguiente.

Para ello, agregue usuarios o grupos, asígneles permisos y guarde esa configuración. A continuación, repita estos pasos, agregue usuarios y asígneles permisos, guardando la configuración cada vez. Puede repetir esta configuración tantas veces como sea necesario para definir permisos diferentes para distintos usuarios.

Usuarios distintos con permisos diferentes.

El emisor de administración de derechos (el usuario que aplica la etiqueta de confidencialidad) siempre tiene control total

De forma predeterminada, el cifrado de una etiqueta de confidencialidad usa el servicio Azure Rights Management de Azure Information Protection. Cuando un usuario aplica una etiqueta de confidencialidad para proteger un documento o correo electrónico mediante cifrado, ese usuario pasa a ser el emisor de administración de derechos para ese contenido.

El emisor de administración de derechos siempre obtiene permisos de control total para el documento o correo electrónico y además:

  • Si la configuración de cifrado incluye una fecha de expiración, el emisor de administración de derechos puede abrir y editar el documento o correo electrónico después de esa fecha.
  • El emisor de administración de derechos siempre puede acceder al documento o correo electrónico sin conexión.
  • El emisor de administración de derechos puede seguir abriendo un documento después de que se revoque.

Para obtener más información, vea Emisor de administración de derechos y propietario de administración de derechos.

Cifrado de claves doble

Nota:

Actualmente, esta característica solo es compatible con Azure Information Protection cliente de etiquetado unificado y, si no ha habilitado el inquilino para la coautoría y autoguardado para el documento cifrado.

Seleccione esta opción solo después de configurar el servicio De cifrado de doble clave y debe usar este cifrado de doble clave para los archivos que tendrán esta etiqueta aplicada. Una vez configurada y guardada la etiqueta, no podrá editarla.

Para obtener más información, ver los requisitos previos y las instrucciones de configuración, consulte el Cifrado de doble clave (DKE).

Permitir a los usuarios asignar permisos

Importante

No todos los clientes con etiquetado admiten todas las opciones que permiten a los usuarios asignar sus propios permisos. Use esta sección para obtener más información.

Puede usar las siguientes opciones para que los usuarios puedan asignar permisos cuando aplican manualmente una etiqueta de confidencialidad al contenido:

  • En Outlook, un usuario puede seleccionar restricciones equivalentes a la opción No reenviar o Solo cifrarpara los destinatarios seleccionados.

    La opción No reenviar es compatible con todos los clientes de correo electrónico que admiten etiquetas de confidencialidad. Sin embargo, aplicar la opción Solo cifrar con una etiqueta de confidencialidad es una versión reciente que solo se admite mediante etiquetas integradas y no con el cliente de etiquetas unificado de Azure Information Protection. Para los clientes de correo electrónico que no admiten esta funcionalidad, la etiqueta no estará visible.

    Para comprobar las versiones mínimas de las aplicaciones de Outlook que usan etiquetas integradas para admitir la aplicación de la opción Solo cifrar con una etiqueta de confidencialidad, use la tabla de funcionalidades para Outlook y la fila Permitir que los usuarios asignen permisos: solo cifrar.

  • En Word, PowerPoint y Excel, se pide al usuario que seleccione sus propios permisos para organizaciones, usuarios o grupos específicos.

    Esta opción es compatible con el cliente de etiquetado unificado de Azure Information Protection y por algunas aplicaciones que usan etiquetado integrado. Para las aplicaciones que no admiten esta función, la etiqueta no estará visible para los usuarios, o bien la etiqueta está visible para dar coherencia pero no se puede aplicar con un mensaje de explicación a los usuarios.

    Para comprobar qué aplicaciones que usan etiquetas integradas admiten esta opción, use la tabla de funciones para Word, Excel y PowerPoint y la fila Permitir que los usuarios asignen permisos.

Cuando se admitan las opciones, use la tabla siguiente para identificar cuándo los usuarios ven la etiqueta de confidencialidad:

Configuración Etiqueta visible en Outlook Etiqueta visible en Word, Excel y PowerPoint
En Outlook, un usuario puede aplicar restricciones con la opción No reenviar o Solo cifrar No
En Word, PowerPoint y Excel, pida a los usuarios que especifiquen los permisos No

Cuando ambas opciones están seleccionadas, la etiqueta es visible tanto en Outlook como en Word, Excel y PowerPoint.

Una etiqueta de confidencialidad que permite a los usuarios asignar permisos se debe aplicar al contenido manualmente. No se puede aplicar automáticamente o usar como etiqueta recomendada.

Configurar los permisos asignados por el usuario:

Configuración de cifrado para los permisos definidos por el usuario.

Restricciones de Outlook

En Outlook, cuando un usuario aplica una etiqueta de confidencialidad que le permite asignar permisos a un mensaje, puede elegir la opción No reenviar o Solo cifrar. El usuario verá el nombre y la descripción de la etiqueta en la parte superior del mensaje, lo que indica que se está protegiendo el contenido. A diferencia de Word, PowerPoint y Excel (vea la siguiente sección), no se pide a los usuarios que seleccionen permisos específicos.

Etiqueta de confidencialidad aplicada al mensaje en Outlook.

Cuando cualquiera de estas opciones se aplica a un correo electrónico, este se cifra y los destinatarios tienen que autenticarse. A continuación, los destinatarios tendrán automáticamente derechos de uso restringidos:

  • No reenviar: los destinatarios no podrán reenviar el correo electrónico, imprimirlo ni copiarlo. Por ejemplo, en el cliente de Outlook, el botón Reenviar y las opciones de menú Guardar como e Imprimir no están disponibles, y no se pueden agregar o cambiar destinatarios en los cuadros Para, CC o CCO.

    Para obtener más información sobre cómo funciona esta opción, consulte Opción No reenviar para correos electrónicos.

  • Solo cifrar: los destinatarios tienen todos los derechos de uso excepto Guardar como, Exportar y Control total. Esta combinación de derechos de uso significa que los destinatarios no tienen restricciones, a excepción de que no pueden quitar la protección. Por ejemplo, un destinatario puede copiar del correo electrónico, imprimirlo y reenviarlo.

    Para obtener más información sobre cómo funciona esta opción, consulte Opción Solo cifrar para correos electrónicos.

Los documentos de Office sin cifrar que se adjuntan al correo electrónico o a la invitación a la reunión heredan automáticamente las mismas restricciones. Para No reenviar, los derechos de uso que se aplican a estos documentos son Editar contenido, Editar; Guardar; Ver, Abrir, Leer y Permitir macros. Si el usuario quiere derechos de uso diferentes para un archivo adjunto o los datos adjuntos no son un documento de Office que admita esta protección heredada, el usuario debe cifrar el archivo antes de adjuntarlo al correo electrónico o a la invitación a la reunión.

Permisos de Word, PowerPoint y Excel

En Word, PowerPoint y Excel, cuando un usuario aplica una etiqueta de confidencialidad que le permite asignar permisos a un documento, se le pide al usuario que especifique su elección de usuarios y permisos para el cifrado.

Por ejemplo, con el cliente de etiquetas unificado de Azure Information Protection, a menos que la co-autoría esté habilitada, los usuarios pueden:

  • Seleccionar un nivel de permisos, como Visor (que asigna el permiso de solo vista) o Co-autoría (que asigna los permisos de vista, edición, copia e impresión).
  • Seleccionar organizaciones, usuarios o grupos. Esto puede incluir usuarios dentro o fuera de su organización.
  • Establecer una fecha de expiración, después de la que los usuarios seleccionados no pueden tener acceso al contenido. Para obtener más información, vea la sección anterior Licencia de uso de Rights Management para el acceso sin conexión.

Opciones de protección para el usuario con permisos personalizados.

Para el etiquetado integrado y para el cliente de etiquetado unificado de Azure Information Protection cuando la coautoría está habilitada, los usuarios ven el mismo cuadro de diálogo que verían si seleccionaran lo siguiente:

  • Windows: pestaña> Archivo Protección> delacceso>>restringido a documentos

  • macOS: Revisar pestaña >Permisos>de protección>acceso restringido

Sugerencia

Si los usuarios estaban familiarizados con la configuración de permisos personalizados con el cliente de etiquetado unificado de Azure Information Protection antes de habilitar la co-autoría, puede resultar útil revisar la asignación de niveles de permisos a derechos de uso individuales: Derechos incluidos en los niveles de permisos.

Compatibilidad con permisos personalizados para toda la organización

Ahora, implementándose en versión preliminar para el etiquetado integrado en Windows, los usuarios pueden especificar un nombre de dominio que se aplicará a todos los usuarios de una organización propietaria del dominio y que se encuentra en Azure Active Directory. Esta funcionalidad proporciona paridad con el cliente de etiquetado unificado Azure Information Protection:

Cuadro de diálogo actualizado para admitir permisos personalizados para toda la organización.

Por ejemplo, un usuario escribe "@contoso.com" (o "contoso.com") y concede acceso de lectura. Dado que Contoso Corporation posee el dominio contoso.com, se concederá acceso de lectura a todos los usuarios de ese dominio y a todos los demás dominios de los que es propietaria la organización en Azure Active Directory.

Es importante informar a los usuarios de que el acceso no está restringido solo a los usuarios del dominio especificado. Por ejemplo, "@ventas.contoso.com" no restringiría el acceso a los usuarios solo en el subdominio de ventas, sino que también concedería acceso a los usuarios del dominio marketing.contoso.com e incluso a los usuarios con un espacio de nombres separado en el mismo inquilino de Azure Active Directory.

Configuraciones de ejemplo para la configuración de cifrado

Para cada ejemplo que se muestra a continuación, lleve a cabo la configuración desde la página Cifrado, cuando Establecer la configuración de cifrado esté seleccionada:

Opción de aplicar cifrado en el Asistente de etiquetas de confidencialidad.

Ejemplo 1: etiqueta que aplica No reenviar para enviar un correo electrónico cifrado a una cuenta de Gmail

Esta etiqueta solo se muestra en Outlook y Outlook en la Web y debe usar Exchange Online. Pida a los usuarios que seleccionen esta etiqueta cuando necesiten enviar un correo electrónico cifrado a las personas que usen una cuenta de Gmail (o cualquier otra cuenta de correo electrónico fuera de su organización).

Los usuarios escriben la dirección de correo electrónico de Gmail en el cuadro Para. Después, seleccionan la etiqueta y la opción No reenviar se agrega automáticamente al correo electrónico. El resultado es que los destinatarios no pueden reenviar el correo electrónico o imprimirlo, copiar desde él o guardar el correo electrónico fuera de su buzón con la opción Guardar como.

  1. En la página Cifrado: para ¿Quiere asignar permisos ahora o permitir que los usuarios decidan? seleccione Permita a los usuarios asignar permisos al aplicar la etiqueta.

  2. Marque la casilla de verificación: En Outlook, aplicar restricciones equivalentes a la opción No reenviar.

  3. Si está seleccionada, desactive la casilla: En Word, PowerPoint y Excel, pedir a los usuarios que especifiquen los permisos.

  4. Seleccione Siguiente y complete la configuración.

Ejemplo 2: etiqueta que restringe los permisos de solo lectura a todos los usuarios de otra organización

Esta etiqueta es adecuada para compartir documentos muy confidenciales como solo lectura, y los documentos siempre requieren una conexión a Internet para verlos.

Esta etiqueta no es adecuada para los correos electrónicos.

  1. En la página Cifrado: para ¿Quiere asignar permisos ahora o permitir que los usuarios decidan? seleccione Asignar permisos ahora.

  2. Para permitir el acceso sin conexión, seleccione nunca.

  3. Seleccione asignar permisos.

  4. En el panel Asignar permisos, seleccione Agregar direcciones de correo electrónico o dominios específicos.

  5. En el cuadro de texto, escriba el nombre de un dominio de la otra organización, por ejemplo, fabrikam.com. A continuación, seleccione Aceptar.

  6. Seleccione Elegir permisos.

  7. En el panel Elegir permisos, seleccione el cuadro de lista desplegable, seleccione Visor y, después, Guardar.

  8. De nuevo, en el panel asignar permisos, seleccione guardar.

  9. En la página Cifrado, seleccione Siguiente y complete la configuración.

Ejemplo 3: agregar usuarios externos a una etiqueta existente que cifra el contenido

Los nuevos usuarios que agregue serán capaces de abrir documentos y mensajes de correo electrónico que ya estén protegidos con esta etiqueta. Los permisos concedidos a estos usuarios pueden ser distintos de los permisos que tienen los usuarios existentes.

  1. En la página Cifrado: para ¿Quiere asignar permisos ahora o permitir que los usuarios decidan? asegúrese de que la opción Asignar permisos ahora está seleccionada.

  2. Seleccione asignar permisos.

  3. En el panel Asignar permisos, seleccione Agregar direcciones de correo electrónico o dominios específicos.

  4. En el cuadro de texto, escriba la dirección de correo electrónico del primer usuario (o grupo) que desea agregar y seleccione agregar.

  5. Seleccione Elegir permisos.

  6. En el panel Elegir permisos, seleccione los permisos para este usuario (o grupo) y seleccione Guardar.

  7. De nuevo, en el panel asignar permisos, repita los pasos del 3 al 6 para cada usuario (o grupo) que quiera agregar a esta etiqueta. Después, haga clic en Guardar.

  8. En la página Cifrado, seleccione Siguiente y complete la configuración.

Ejemplo 4: etiqueta que cifra el contenido, pero que no restringe quién puede tener acceso a él.

Esta configuración tiene la ventaja de no tener que especificar usuarios, grupos o dominios para cifrar un correo electrónico o un documento. El contenido seguirá estando cifrado y aún podrá especificar derechos de uso, una fecha de expiración y acceso sin conexión.

Use esta configuración solo cuando no necesite restringir quién puede abrir el documento o correo electrónico protegido. Consulte más información acerca de esta configuración..

  1. En la página Cifrado: para ¿Quiere asignar permisos ahora o permitir que los usuarios decidan? asegúrese de que la opción Asignar permisos ahora está seleccionada.

  2. Configure las opciones de el acceso de usuario al contenido expira y permitir el acceso sin conexión según sea necesario.

  3. Seleccione asignar permisos.

  4. En el panel asignar permisos, seleccione agregar cualquiera de los usuarios autenticados.

    Para Usuarios y grupos, verá que Usuarios autenticados se agrega automáticamente. No se puede cambiar este valor, solo eliminarlo, lo que cancela la selección de agregar cualquiera de los usuarios autenticados.

  5. Seleccione Elegir permisos.

  6. En el panel Elegir permisos, seleccione el cuadro de lista desplegable, elija los permisos que quiera y seleccione Guardar.

  7. De nuevo, en el panel asignar permisos, seleccione guardar.

  8. En la página Cifrado, seleccione Siguiente y complete la configuración.

Consideraciones sobre el contenido cifrado

Cifrar los documentos y mensajes de correo electrónico más confidenciales le ayuda a asegurarse de que solo los usuarios autorizados puedan acceder a estos datos. Sin embargo, hay algunas consideraciones que debe tener en cuenta:

  • Si su organización no ha habilitado las etiquetas de confidencialidad para los archivos de Office en SharePoint y OneDrive:

    • Search, eDiscovery y Delve no funcionarán en archivos cifrados.
    • Las directivas DLP funcionan para los metadatos de estos archivos cifrados (incluida la información de la etiqueta de retención), pero no el contenido de estos archivos (como números de tarjeta de crédito en los archivos).
    • Los usuarios no pueden abrir archivos cifrados con Office en la Web. Cuando las etiquetas de confidencialidad de los archivos de Office en SharePoint y OneDrive están habilitadas, los usuarios pueden usar Office en la Web para abrir archivos cifrados, con algunas limitaciones entre las que se incluyen el cifrado que se ha aplicado con una clave local (conocido como "mantenga su propia clave" o HYOK), el cifrado de doble clave y el cifrado que se ha aplicado independientemente de una etiqueta de confidencialidad.
  • Si comparte documentos cifrados con personas de fuera de su organización, es posible que tenga que crear cuentas de invitado y modificar las directivas de Acceso condicional. Para obtener más información, consulte Uso compartido de documentos cifrados con usuarios externos.

  • Cuando los usuarios autorizados abren documentos cifrados en sus aplicaciones de Office, ven el nombre y descripción de la etiqueta en una barra de mensajes amarilla en la parte superior de la aplicación. Cuando los permisos de cifrado se extienden a personas fuera de la organización, revise detenidamente los nombres y descripciones de las etiquetas que estarán visibles en esta barra de mensajes cuando se abra el documento.

  • Para que varios usuarios editen un archivo cifrado al mismo tiempo, todos deben usar Office en la Web o debe haber habilitado la co-autoría de archivos cifrados con etiquetas de confidencialidad y todos los usuarios deben tener aplicaciones de Office compatibles con esta característica. Si este no es el caso, y el archivo ya está abierto:

    • En las aplicaciones de Office (Windows, Mac, Android y iOS), los usuarios verán un mensaje de archivo en uso con el nombre de la persona que ha desprotegido el archivo. Podrán ver una copia de solo lectura, guardar y editar una copia del archivo, y recibir una notificación cuando el archivo esté disponible.
    • En Office para la web, los usuarios ven un mensaje de error que indica que no pueden editar el documento con otras personas. Pueden seleccionar Abrir en vista de lectura.
  • La funcionalidad Autoguardado en las aplicaciones de Office está deshabilitada para los archivos cifrados si no ha habilitado la coautoría para archivos cifrados con etiquetas de confidencialidad. Los usuarios verán un mensaje en el que se indica que el archivo tiene permisos restringidos que deben quitarse para que se pueda activar el autoguardado.

  • Office para Windows admite etiquetas que aplican cifrado cuando los usuarios no están conectados a Internet. No obstante, para las demás plataformas (macOS, iOS, Android), los usuarios deben estar en línea para aplicar estas etiquetas en las aplicaciones de Office. El cliente de etiquetado unificado Azure Information Protection también debe estar en línea para aplicar estas etiquetas en Explorador de archivos y PowerShell. No es necesario que los usuarios estén en línea para abrir contenido cifrado. Para obtener más información sobre el acceso sin conexión, consulte la sección Licencia de uso de Rights Management para el acceso sin conexión .

  • Los archivos cifrados pueden tardar más en abrirse en las aplicaciones de Office (Windows, Mac, Android y iOS).

  • Si se agrega una etiqueta que aplica el cifrado a través de una aplicación de Office, cuando el documento está extraído en SharePoint y el usuario descarta la desprotección, el documento permanece etiquetado y cifrado.

  • A menos que haya habilitado la coautoría de archivos cifrados con etiquetas de confidencialidad, las siguientes acciones para los archivos cifrados no se admiten desde aplicaciones de Office (Windows, Mac, Android e iOS) y los usuarios ven un mensaje de error que indica que algo salió mal. Sin embargo, la funcionalidad de SharePoint se puede usar como alternativa:

Para disfrutar de la mejor experiencia de colaboración para los archivos que se cifran con una etiqueta de confidencialidad, le recomendamos que use etiquetas de confidencialidad para los archivos de Office en SharePoint y OneDrive y Office para la Web.

Pasos siguientes

¿Necesita compartir los documentos etiquetados y cifrados con personas fuera de su organización? Consulte Compartir documentos cifrados con usuarios externos.

Para usar etiquetas de confidencialidad para cifrar secuencias de vídeo y audio para reuniones de Teams, consulte Uso de etiquetas de confidencialidad para proteger los elementos del calendario, las reuniones y el chat de Teams.