Administrar el cifrado de mensajes

  • Artículo

Una vez que haya terminado de configurar Purview Message Encryption, puede personalizar la configuración de la implementación de varias maneras. Por ejemplo, puede configurar si desea habilitar códigos de paso de un solo uso, mostrar el botón Cifrar en Outlook en la Web y mucho más. Las tareas de este artículo describen cómo.

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Administrar si los destinatarios de cuentas de Google, Yahoo y Microsoft pueden usar estas cuentas para iniciar sesión en el portal de mensajes cifrados

Al configurar el cifrado de mensajes, los usuarios de su organización pueden enviar mensajes a destinatarios que están fuera de la organización. Si el destinatario usa un identificador social como una cuenta de Google, una cuenta de Yahoo o una cuenta de Microsoft, el destinatario puede iniciar sesión en el portal de mensajes cifrado con un identificador social. Si lo desea, puede optar por no permitir que los destinatarios usen identificadores sociales para iniciar sesión en el portal de mensajes cifrados.

Para administrar si los destinatarios pueden usar identificadores sociales para iniciar sesión en el portal de mensajes cifrados

  1. Conéctese al PowerShell de Exchange Online.

  2. Ejecute el cmdlet Set-OMEConfiguration con el parámetro SocialIdSignIn como se indica a continuación:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -SocialIdSignIn <$true|$false>

    Por ejemplo, para deshabilitar los identificadores sociales:

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $false

    Para habilitar los identificadores sociales:

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $true

Administrar el uso de códigos de paso únicos para el portal de mensajes cifrados

Si el destinatario de un mensaje cifrado por cifrado de mensajes no usa Outlook, independientemente de la cuenta usada por el destinatario, el destinatario recibe un vínculo de vista web de tiempo limitado que le permite leer el mensaje. Este vínculo incluye un código de paso único. Como administrador, puede decidir si los destinatarios pueden usar códigos de paso de un solo uso para iniciar sesión en el portal de mensajes cifrados.

Para administrar si OME genera códigos de paso únicos

  1. Use una cuenta profesional o educativa que tenga permisos de administrador global en su organización y conéctese a Exchange Online PowerShell. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell.

  2. Ejecute el cmdlet Set-OMEConfiguration con el parámetro OTPEnabled:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -OTPEnabled <$true|$false>

    Por ejemplo, para deshabilitar los códigos de paso de un solo uso:

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $false

    Para habilitar códigos de paso de un solo uso:

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $true

Administrar la visualización del botón Cifrar en Outlook en la Web

Como administrador, puede administrar si desea mostrar este botón a los usuarios finales.

Para administrar si el botón Cifrar aparece en Outlook en la Web

  1. Use una cuenta profesional o educativa que tenga permisos de administrador global en su organización y conéctese a Exchange Online PowerShell. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell.

  2. Ejecute el cmdlet Set-IRMConfiguration con el parámetro -SimplifiedClientAccessEnabled:

    Set-IRMConfiguration -SimplifiedClientAccessEnabled <$true|$false>

    Por ejemplo, para deshabilitar el botón Cifrar :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false

    Para habilitar el botón Cifrar :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $true

Habilitación del descifrado del lado del servicio de mensajes de correo electrónico para los usuarios de la aplicación de correo de iOS

La aplicación de correo de iOS no puede descifrar los mensajes protegidos con cifrado de mensajes. Como administrador de Microsoft 365, puede aplicar el descifrado del lado del servicio para los mensajes entregados a la aplicación de correo de iOS. Cuando decide usar el descifrado del lado del servicio, el servicio envía una copia descifrada del mensaje al dispositivo iOS. El dispositivo cliente almacena una copia descifrada del mensaje. El mensaje también conserva información sobre los derechos de uso aunque la aplicación de correo de iOS no aplique derechos de uso del lado cliente al usuario. El usuario puede copiar o imprimir el mensaje incluso si originalmente no tenía los derechos para hacerlo. Sin embargo, si el usuario intenta completar una acción que requiere el servidor de correo de Microsoft 365, como reenviar el mensaje, el servidor no permitirá la acción si el usuario no tenía originalmente el derecho de uso para hacerlo. Sin embargo, los usuarios finales pueden solucionar la restricción de uso "No reenviar" reenviando el mensaje desde una cuenta diferente dentro de la aplicación de correo de iOS. Independientemente de si configura el descifrado de correo en el lado del servicio, los datos adjuntos al correo cifrado y protegido por derechos no se pueden ver en la aplicación de correo de iOS.

Si decide no permitir que los mensajes descifrados se envíen a los usuarios de la aplicación de correo de iOS, los usuarios recibirán un mensaje que indica que no tienen derechos para ver el mensaje. De forma predeterminada, el descifrado de mensajes de correo electrónico en el lado del servicio no está habilitado.

Para obtener más información y ver la experiencia del cliente, consulta Ver mensajes cifrados en tu iPhone o iPad.

Para administrar si los usuarios de la aplicación de correo de iOS pueden ver mensajes protegidos por el cifrado de mensajes

  1. Use una cuenta profesional o educativa que tenga permisos de administrador global en su organización y conéctese a Exchange Online PowerShell. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell.

  2. Ejecute el cmdlet Set-ActiveSyncOrganizations con el parámetro AllowRMSSupportForUnenlightenedApps:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps <$true|$false>

    Por ejemplo, para configurar el servicio para descifrar los mensajes antes de que se envíen a aplicaciones no habilitadas, como la aplicación de correo de iOS:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $true

    O bien, para configurar el servicio para que no envíe mensajes descifrados a aplicaciones no habilitadas:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $false

Nota:

Las directivas de buzón individuales (OWA/ActiveSync) invalidan esta configuración (es decir, si -IRMEnabled está establecido en False en la directiva de buzón de OWA correspondiente o en la directiva de buzón de ActiveSync, estas configuraciones no se aplicarían).

Habilitación del descifrado del lado del servicio de datos adjuntos de correo electrónico para clientes de correo del explorador web

Normalmente, cuando se usa Office 365 cifrado de mensajes, los datos adjuntos se cifran automáticamente. Como administrador, puede aplicar el descifrado del lado del servicio para los datos adjuntos de correo electrónico que los usuarios descargan desde un explorador web.

Cuando se usa el descifrado del lado del servicio, el servicio envía una copia descifrada del archivo al dispositivo. El mensaje sigue cifrado. Los datos adjuntos de correo electrónico también mantienen información sobre los derechos de uso aunque el explorador no aplique derechos de uso del lado cliente al usuario. El usuario puede copiar o imprimir los datos adjuntos del correo electrónico incluso si originalmente no tenía los derechos para hacerlo. Sin embargo, si el usuario intenta completar una acción que requiere el servidor de correo de Microsoft 365, como reenviar los datos adjuntos, el servidor no permitirá la acción si el usuario no tenía originalmente el derecho de uso para hacerlo.

Independientemente de si configura el descifrado de datos adjuntos en el lado del servicio, los usuarios no pueden ver los datos adjuntos al correo cifrado y protegido por derechos en la aplicación de correo de iOS.

Si decide no permitir datos adjuntos de correo electrónico descifrados, que es el valor predeterminado, los usuarios reciben un mensaje que indica que no tienen derechos para ver los datos adjuntos.

Para obtener más información sobre cómo Microsoft 365 implementa el cifrado para correos electrónicos y datos adjuntos de correo electrónico con la opción Encrypt-Only, vea Opción solo cifrado para correos electrónicos.

Para administrar si los datos adjuntos de correo electrónico se descifran al descargarlos desde un explorador web

  1. Use una cuenta profesional o educativa que tenga permisos de administrador global en su organización y conéctese a Exchange Online PowerShell. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell.

  2. Ejecute el cmdlet Set-IRMConfiguration con el parámetro DecryptAttachmentForEncryptOnly:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly <$true|$false>

    Por ejemplo, para configurar el servicio para descifrar los datos adjuntos de correo electrónico cuando un usuario los descarga desde un explorador web:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true

    Para configurar el servicio para que deje los datos adjuntos de correo electrónico cifrados tal y como están al descargarlo:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $false

Asegúrese de que todos los destinatarios externos usan el portal de mensajes cifrados para leer el correo cifrado.

Puede usar plantillas de personalización de marca personalizadas para obligar a los destinatarios a recibir un correo contenedor que les indique que lean el correo electrónico cifrado en el portal de mensajes cifrados en lugar de usar Outlook o Outlook en la Web. Es posible que quiera forzar esta experiencia si desea tener un mayor control sobre cómo los destinatarios usan el correo que reciben. Por ejemplo, si los destinatarios externos ven el correo electrónico en el portal web, puede establecer una fecha de expiración para el correo electrónico y puede revocar el correo electrónico. Estas características solo se admiten a través del portal de mensajes cifrados. Puede usar la opción Cifrar y la opción No reenviar al crear las reglas de flujo de correo.

Usar una plantilla personalizada para forzar a todos los destinatarios externos a usar el portal de mensajes cifrados y para el correo electrónico cifrado

  1. Use una cuenta profesional o educativa que tenga permisos de administrador global en su organización y conéctese a Exchange Online PowerShell. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell.

  2. Ejecute el cmdlet New-TransportRule:

    New-TransportRule -name "<mail flow rule name>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "<option name>" -ApplyRightsProtectionCustomizationTemplate "<template name>"

    donde:

    • mail flow rule name es el nombre que desea usar para la nueva regla de flujo de correo.

    • option name es o EncryptDo Not Forward.

    • template name es el nombre que le dio a la plantilla de personalización de marca, por ejemplo OME Configuration.

    Para cifrar todo el correo electrónico externo con la plantilla "Configuración de OME" y aplicar la opción Encrypt-Only:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Encrypt" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"

    Para cifrar todo el correo electrónico externo con la plantilla "Configuración de OME" y aplicar la opción No reenviar:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Do Not Forward" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"

Personalización de la apariencia de los mensajes de correo electrónico y el portal de mensajes cifrados

Para obtener información detallada sobre cómo puede personalizar Cifrado de mensajes de Microsoft Purview para su organización, consulte Incorporación de la marca de la organización a los mensajes cifrados. Para realizar un seguimiento de los mensajes cifrados y revocarlos, debe agregar su personalización de marca al portal de mensajes cifrados.

Deshabilitar Cifrado de mensajes de Microsoft Purview

Esperamos que no llegue a él, pero si es necesario, deshabilitar Cifrado de mensajes de Microsoft Purview es sencillo. En primer lugar, quite las reglas de flujo de correo que haya creado que usen Cifrado de mensajes de Microsoft Purview. Para obtener información sobre cómo quitar reglas de flujo de correo, vea Administrar reglas de flujo de correo. A continuación, complete estos pasos en Exchange Online PowerShell.

Para deshabilitar Cifrado de mensajes de Microsoft Purview

  1. Con una cuenta profesional o educativa que tenga permisos de administrador global en su organización, conéctese a Exchange Online PowerShell. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell.

  2. Si ha habilitado el botón Cifrar en Outlook en la Web, deshabilíelo ejecutando el cmdlet Set-IRMConfiguration con el parámetro SimplifiedClientAccessEnabled. De lo contrario, omita este paso.

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false

  3. Deshabilite el Cifrado de mensajes de Microsoft Purview ejecutando el cmdlet Set-IRMConfiguration con el parámetro AzureRMSLicensingEnabled establecido en false:

    Set-IRMConfiguration -AzureRMSLicensingEnabled $false