Preguntas más frecuentes sobre el cifrado de mensajes

Cifrado de mensajes de Microsoft Purview combina funcionalidades de cifrado de correo electrónico y administración de derechos. Las funcionalidades de administración de derechos cuentan con tecnología de Azure Information Protection.

Puede usar Cifrado de mensajes de Microsoft Purview en las condiciones siguientes:

• Si nunca ha configurado Office 365 Cifrado de mensajes (OME) o Information Rights Management (IRM) para Exchange Online.

• Si ha configurado OME e IRM, puede usar estos pasos si también usa el servicio Azure Rights Management de Azure Information Protection.

• Si usa Exchange Online con el servicio Active Directory Rights Management (AD RMS), no podrá habilitar estas nuevas funcionalidades de inmediato. En su lugar, primero debe migrar AD RMS a Azure Information Protection. Cuando haya terminado la migración, puede configurar correctamente Cifrado de mensajes de Microsoft Purview.

  Si decide seguir usando AD RMS local con Exchange Online en lugar de migrar a Azure Information Protection, no podrá usar Cifrado de mensajes de Microsoft Purview.

Para usar Cifrado de mensajes de Microsoft Purview, necesita uno de los siguientes planes:

• Cifrado de mensajes de Microsoft Purview se ofrece como parte de Office 365 Enterprise E3 y E5, Microsoft 365 Enterprise E3 y E5, Microsoft 365 Empresa Premium, Office 365 A1, A3 y A5, y Office 365 Administración Pública G3 y G5. No necesita licencias adicionales para recibir las nuevas funcionalidades de protección con tecnología de Azure Information Protection.

• También puede agregar Azure Information Protection Plan 1 a los siguientes planes para recibir Cifrado de mensajes de Microsoft Purview: Exchange Online Plan 1, Exchange Online Plan 2, Office 365 F3, Microsoft 365 Empresa Básico, Microsoft 365 Empresa Estándar o Office 365 Enterprise E1.

• Cada usuario que se beneficie de Cifrado de mensajes de Microsoft Purview necesita una licencia para usar el cifrado de mensajes.

• Para obtener la lista completa, consulte las descripciones del servicio de Exchange Online para obtener Cifrado de mensajes de Microsoft Purview.

Sí. Microsoft recomienda completar los pasos para configurar BYOK antes de configurar Cifrado de mensajes de Microsoft Purview.

Para obtener más información sobre BYOK, consulte Planeamiento e implementación de la clave de inquilino de Azure Information Protection.

No. Cifrado de mensajes de Microsoft Purview y la opción de proporcionar y controlar sus propias claves de cifrado, denominadas BYOK, de Azure Information Protection no estaban diseñadas para responder a citaciones de cumplimiento de la ley. OME, con BYOK para Azure Information Protection, se diseñó para organizaciones centradas en el cumplimiento. Microsoft toma en serio las solicitudes de terceros para los datos de los clientes. Como proveedor de servicios en la nube, siempre abogamos por la privacidad de los datos. En el caso de que recibamos una citación, siempre intentamos redirigir al tercero directamente a usted para obtener la información. (Lea el blog de Brad Smith: Proteger los datos de los clientes frente al fisgoneo del gobierno). Publicamos periódicamente información detallada de la solicitud que recibimos. Para obtener más información sobre las solicitudes de datos de terceros, consulte Respuesta a solicitudes gubernamentales y de cumplimiento de la ley para acceder a los datos de los clientes en el Centro de confianza de Microsoft. Además, consulte "Divulgación de datos del cliente" en los Términos de servicios en línea (OST).

Cifrado de mensajes de Microsoft Purview es una evolución de las soluciones IRM y OME heredadas existentes. En la tabla siguiente se proporcionan más detalles.

Comparación de OME, IRM y Cifrado de mensajes de Microsoft Purview heredados

Consulte Configuración de Cifrado de mensajes de Microsoft Purview.

Todavía puede usar la versión anterior del cifrado de mensajes denominada Office 365 Cifrado de mensajes (OME). OME quedó en desuso el 1 de julio de 2023. El cifrado de mensajes de Office se reemplazará y actualizará automáticamente a Cifrado de mensajes de Microsoft Purview.

No. Si usa Exchange Online con el servicio Active Directory Rights Management (AD RMS), no podrá habilitar estas nuevas funcionalidades de inmediato. En su lugar, primero debe migrar AD RMS a Azure Information Protection.

Los usuarios locales pueden enviar correo cifrado mediante Exchange Online reglas de flujo de correo. Debe enrutar el correo electrónico a través de Exchange Online. Para obtener más información, vea Parte 2: Configurar el correo para que fluya desde el servidor de correo electrónico a Microsoft 365.

Puede crear mensajes protegidos desde Outlook 2016, Outlook 2013 para Windows y Mac, y desde Outlook en la Web. Para obtener más información sobre el envío de mensajes cifrados, vea Enviar, ver y responder a mensajes cifrados en Outlook para PC.

Los usuarios de Microsoft 365 pueden leer y responder desde Outlook para Windows y Mac (2013 y 2016), Outlook en la Web y Outlook mobile (Android e iOS). También puede usar el cliente de correo nativo de iOS si su organización lo permite. Si no es un usuario de Microsoft 365, puede leer y responder a los mensajes cifrados en la web a través del explorador web.

Los usuarios de Microsoft 365 pueden usar Outlook para pc versiones 2019 y Microsoft 365 para crear correo protegido con la directiva de solo cifrado. Los mensajes que tienen aplicada la directiva de solo cifrado se pueden leer directamente en Outlook en la Web, en Outlook para iOS y Android, y Outlook para las versiones 2019 y Microsoft 365 de Outlook para PC.

Sí. El tamaño máximo del mensaje que puede enviar con Cifrado de mensajes de Microsoft Purview, incluidos los datos adjuntos, es de 25 MB. Para obtener más información, vea Límites de mensajes.

El portal de mensajes cifrado solo admite correo. El portal no admite otros tipos de mensajes, como el calendario o el correo de voz.

Puede adjuntar cualquier tipo de archivo a un correo protegido. Las directivas de protección solo se aplican a un subconjunto de los formatos de archivo mencionados en Tipos de archivo admitidos por el cliente de Azure Information Protection. Cifrado de mensajes de Microsoft Purview solo admite las siguientes extensiones de archivos de Office:

• docx
• docm
• dotx
• dotm
• pptx
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• xlsx
• xlsm
• xlsb
• xltx
• xltm
• xlam
• Xps

Cifrado de mensajes de Microsoft Purview no admite las versiones 97-2003 de los siguientes programas de Office: Word (.doc), Excel (.xls) y PowerPoint (.ppt).

La protección solo se hereda del correo a los datos adjuntos sin cifrar. Si se admite un formato de archivo, como un archivo Word, Excel o PowerPoint, el archivo siempre está protegido, incluso después de que el destinatario descargue los datos adjuntos. Por ejemplo, supongamos que los datos adjuntos están protegidos por No reenviar. El destinatario original descarga el archivo, crea un mensaje a un nuevo destinatario y adjunta el archivo. Cuando el nuevo destinatario recibe el archivo, no podrá abrirlo.

¡La respuesta corta es sí! Si está habilitado en Exchange Online, el cifrado pdf le permite proteger documentos PDF confidenciales adjuntos a correos electrónicos. Al enviar un correo electrónico, el servicio de Office 365 cifra los datos adjuntos de archivos PDF para Outlook en la Web, Outlook para Mac, Outlook para iOS y Outlook para Android. Puede cifrar los archivos PDF que envíe sin más pasos.

Outlook de 64 bits admite de forma nativa el cifrado de datos adjuntos de archivos PDF, mientras que Outlook de 32 bits no. Si usa Outlook de 32 bits, primero debe configurar reglas de flujo de correo de Exchange o directivas DLP para aplicar el cifrado a los datos adjuntos pdf. Al enviar un correo sin cifrar desde Outlook Desktop con datos adjuntos pdf, el cliente envía primero el mensaje con los datos adjuntos al servicio. Cuando el servicio recibe el correo sin cifrar, el servicio aplica la protección Cifrado de mensajes de Microsoft Purview a través de la directiva de prevención de pérdida de datos (DLP) o la regla de flujo de correo en Exchange Online. A continuación, Exchange Online cifra el mensaje y los datos adjuntos del archivo PDF.

Para habilitar el cifrado de datos adjuntos de PDF, ejecute el siguiente comando en Exchange Online PowerShell:

Set-IRMConfiguration -EnablePdfEncryption $true

El cifrado PDF le permite proteger documentos PDF confidenciales a través de una comunicación segura o una colaboración segura. Para todos los clientes de Outlook, los mensajes y los datos adjuntos PDF no protegidos heredan la protección Cifrado de mensajes de Microsoft Purview de la directiva de prevención de pérdida de datos (DLP) o la regla de flujo de correo en Exchange Online. Además, si un usuario Outlook en la Web adjunta un documento PDF desprotegido y aplica protección al mensaje, el mensaje hereda la protección del mensaje. Los usuarios solo pueden abrir los datos adjuntos cifrados en aplicaciones que admiten archivos PDF protegidos (por ejemplo, el portal de mensajes cifrados y el Visor de Azure Information Protection).

Not yet. No se admiten datos adjuntos de SharePoint Online o OneDrive para la Empresa. Puede cifrar un mensaje de correo, pero no los datos adjuntos en la nube.

Cuando los datos adjuntos están protegidos con un correo protegido, puede obtener una vista previa de los documentos directamente mediante clientes de Outlook. Outlook admite la vista previa de documentos de Office (docx, xlsx, pptx, doc, xls, ppt). Outlook en la Web admite la vista previa de documentos de Office (docx, xlsx, pptx) y PDF.

Outlook en la Web admite la revocación de correo protegido. Consulte Cómo revocar un mensaje cifrado que envió para obtener más información.

El portal de mensajes cifrados admite la versión preliminar de las copias de datos adjuntos cifradas agregadas al correo cifrado. Los tipos de archivo de soporte técnico incluyen archivos Word, Excel, PowerPoint y PDF.

Sí. Use reglas de flujo de correo en Exchange Online para cifrar automáticamente un mensaje en función de determinadas condiciones. Por ejemplo, puede crear directivas basadas en el identificador de destinatario, el dominio del destinatario o en el contenido del cuerpo o asunto del mensaje. Consulte Definición de reglas de flujo de correo para cifrar los mensajes de correo electrónico en Office 365.

Los administradores pueden configurar una regla de flujo de correo para quitar el cifrado del correo saliente. Solo puede configurar una regla para quitar el cifrado del correo entrante que se origina en la organización Exchange Online.

Para un buzón de Exchange Online, los administradores deben habilitar el descifrado de diario y configurar una regla de registro en diario de Exchange Online para generar una copia descifrada del correo en el buzón de registro en diario. La regla de registro en diario toma cualquier correo o dato adjunto que tenga cifrado y envíe el original más una copia descifrada al buzón de registro en diario. Solo puede configurar una regla de registro en diario que pueda descifrar el correo o los datos adjuntos cuando el elemento cifrado se origine en su organización.
Para habilitar Exchange Online registro en diario:

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Sí. Puede configurar reglas de flujo de correo en Exchange Online o mediante DLP en el portal de cumplimiento Microsoft Purview.

Sí, para el correo enviado desde un buzón de Exchange Online de su organización. Para obtener información sobre cómo personalizar los mensajes de correo electrónico y el portal de mensajes cifrados, consulte Incorporación de la marca de su organización a los mensajes cifrados.

Los registros de actividad del portal de mensajes cifrados solo capturan eventos para destinatarios externos accediendo a los portales de mensajes cifrados. No se registran las actividades en los clientes de correo electrónico desencadenadas por destinatarios externos. Para los destinatarios internos, consulte la acción de auditoría de buzón MailItemsAccessed en Purview Audit (Premium): registros a los que se ha accedido a elementos de correo.

Hay un informe de cifrado en el centro de cumplimiento. Consulte Ver informes de seguridad de correo electrónico en el portal de cumplimiento Microsoft Purview.

Sí, la mayoría de los mensajes protegidos por Cifrado de mensajes de Microsoft Purview son reconocibles. Cifrado de mensajes de Microsoft Purview correo protegido que recibe de otra organización de Microsoft 365 que tiene la personalización de marca aplicada a través de una regla de flujo de correo no es reconocible por el servicio eDiscovery. En otras palabras, si el correo no es accesible a través del buzón del usuario, sino que aparece solo a través de un vínculo al portal de mensajes cifrados, el correo no se puede buscar. Consulte las actividades de eDiscovery que admiten elementos cifrados para obtener más información.

Cuando alguien envía un mensaje de correo electrónico que coincide con una regla de flujo de correo de cifrado, el mensaje se cifra antes de enviarlo.

Sí. Puede abrir mensajes cifrados para un buzón compartido. Cuando el correo se envía desde la misma organización, puede abrir el correo cuando haya iniciado sesión en un cliente de Outlook compatible. Si el correo se envía desde una organización externa, debe usar Outlook en la Web.

• Los usuarios pueden abrir correos electrónicos protegidos en un buzón compartido donde el buzón compartido recibió un correo protegido como parte de un grupo de distribución.

• Los usuarios pueden ver los datos adjuntos que heredan la protección del correo electrónico cuando usan Outlook para Windows, Outlook para Mac, Outlook para Android, Outlook para iOS y Outlook en la Web.

En la tabla siguiente se enumeran los clientes admitidos para buzones compartidos.

Actualmente hay dos limitaciones conocidas:

• No puede abrir datos adjuntos a los correos electrónicos que recibe en dispositivos móviles mediante Outlook Mobile.

• En Outlook de 32 bits, para los usuarios asignados a un buzón compartido a través de un grupo de seguridad habilitado para correo electrónico, el usuario ve un correo de notificación para ver el correo cifrado mediante un explorador web. Para ver el correo cifrado directamente en Outlook de 32 bits, Outlook y el cliente de protección de la información requieren que el usuario se asigne directamente al buzón compartido con permisos de acceso completo y asignación automática habilitada. Para Outlook de 64 bits, no es necesario asignar directamente al usuario al buzón. La asignación automática está habilitada de forma predeterminada para Exchange Online.

Para asignar un usuario al buzón compartido

1. Conéctese a Exchange Online PowerShell.aspx).

2. Ejecute el cmdlet Add-MailboxPermission con el parámetro Automapping. En este ejemplo se conceden permisos de acceso completo a Ayla a un buzón de soporte técnico.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

Cuando se concede permiso de acceso completo a los delegados al buzón de un usuario, se admite el acceso delegado de correo cifrado en Outlook en la Web, Outlook para Mac, Outlook para iOS y Outlook para Android. Outlook para Windows no admite el acceso delegado.

Puede iniciar sesión en el portal de mensajes cifrados para recuperar el correo siempre y cuando la organización del remitente esté activa y el correo no se haya configurado para expirar.

En primer lugar, compruebe la carpeta de correo no deseado en el cliente de correo electrónico. La configuración de DKIM y DMARC para su organización puede hacer que estos correos electrónicos terminen filtrados como correo no deseado.

A continuación, compruebe la cuarentena en el centro de cumplimiento. A menudo, los mensajes que contienen un código de paso único, especialmente los primeros que recibe su organización, terminan en cuarentena.