Compartir a través de

Configuración y administración de Information Rights Management en Exchange Online

  • Artículo

Se aplica a: Office 365 for enterprises, Live@edu

Última modificación del tema: 2011-11-23

Las personas suelen usar el correo electrónico para intercambiar información confidencial como informes y datos financieros, contratos legales, información confidencial de productos, informes y proyecciones de ventas, información del historial médico o información sobre clientes y empleados. Como resultado, los buzones de correo pueden convertirse en repositorios para cantidades grandes de información posiblemente confidencial y las fugas de información puede convertirse en una seria amenaza para una organización.

Para ayudar a evitar las fugas de información, Exchange Online incluye funciones de Information Rights Management (IRM) que ofrecen protección con y sin conexión para los mensajes de correo electrónico y los datos adjuntos. Los usuarios de Microsoft Office Outlook o Outlook Web App también pueden aplicar la protección IRM, o pueden ser los administradores los que la apliquen mediante reglas de protección de Outlook o reglas de transporte. IRM le ayuda a usted y a sus usuarios a controlar quién puede acceder, reenviar, imprimir o copiar información confidencial dentro del correo electrónico.

  • Cómo funciona IRM en Exchange Online
  • Antes de comenzar
  • Paso 1: exportación de un dominio de publicación de confianza (TPD) de un servidor AD RMS
  • Paso 2: importación de la TPD a Exchange Online
  • Paso 3: distribución de una plantilla RMS
  • Paso 4: habilitar IRM
  • ¿Qué ocurre tras habilitar IRM
  • Administración de IRM

Cómo funciona IRM en Exchange Online

IRM de Exchange Online usa Active Directory Rights Management Services (AD RMS), una tecnología de protección de la información de Windows Server 2008. La protección de IRM se aplica para enviar correo electrónico aplicando una plantilla de directiva de derechos AD RMS a un mensaje de correo electrónico. Los derechos de uso se adjuntan al propio mensaje, para que la protección se produzca en línea y sin conexión, y dentro de y fuera del firewall de la organización.

Los usuarios pueden aplicar una plantilla a un mensaje de correo electrónico para controlar qué permisos tiene los destinatarios en un mensaje. Diversas acciones, por ejemplo redirigir los mensajes, extraer información de un mensaje, guardar un mensaje o imprimirlo, se pueden controlar aplicando una plantilla RMS al mensaje.

Principio de página

Antes de comenzar

Para poder implementar IRM en una organización de correo electrónico basada en nube, debe tener Windows Server 2008 y un servidor AD RMS ejecutándose en la organización local. Este servidor AD RMS local se usa para administrar las plantillas RMS de forma automática en la organización basada en nube. Outlook también se basa en el servidor AD-RMS para que los usuarios usan aplicar la protección IRM a los mensajes que envían.

Para obtener información sobre cómo implementar AD RMS, vea Instalación de un clúster AD RMS.

Para obtener información sobre cómo instalar y configurar Windows PowerShell V2 y conectarlo al servicio, vea Uso de Windows PowerShell.

Paso 1: exportación de un dominio de publicación de confianza (TPD) de un servidor AD RMS

El primer paso es exportar un dominio de publicación de confianza (TPD) del servidor local AD RMS a un archivo XML. La TPD contiene la configuración necesaria para utilizar las características RMS: el certificado emisor de licencias de servidor (SLC) que se usa para firmar y cifrar los certificados y las licencias, las direcciones URL utilizadas para autorizar y publicar, y las plantillas RMS que se crearon con el SLC concreto para esa TPD. Al importar la TPD, se almacena y se protege en Exchange Online.

A continuación se indica cómo exportar una TPD:

  1. Abra la consola de Active Directory Rights Management Services y, a continuación, expanda el clúster AD RMS.
  2. En el árbol de consola, expanda Directivas de confianza y, a continuación, haga clic en Dominios de publicación de confianza.
  3. Seleccione el certificado para el dominio que desea exportar en el panel de resultados.
  4. Haga clic en Exportar dominio de publicación de confianza, en el panel Acciones.
  5. En el cuadro Archivo de dominio de publicación, haga clic en Guardar como para guardar el archivo en una ubicación concreta del equipo local. Escriba un nombre de archivo, asegúrese de especificar la extensión de nombre de archivo .xml y haga clic en Guardar.
  6. En los cuadros Contraseña y Confirmar contraseña, escriba una contraseña segura que se va a usar para cifrar el archivo de dominio de publicación de confianza. Tendrá que especificar esta contraseña al importar la TPD a su organización de correo electrónico basada en nube.
  7. Haga clic en Finalizar.

Paso 2: importación de la TPD a Exchange Online

Una vez exportada la TPD a un archivo XML, tiene que importarla a Exchange Online. Cuando se importa la TPD, también se importan las plantillas de la organización de AD RMS. Cuando se importa la primera TPD, se convierte en la TPD predeterminada para su organización basada en nube. Si importa otra TPD, puede utilizar el parámetro Valor predeterminado para convertirla en la TPD predeterminada disponible para los usuarios.

Para importar la TPD, ejecute el comando siguiente en Windows PowerShell:

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path <path to exported TPD file> -ReadCount 0)) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

Puede obtener los valores para los parámetros IntranetLicensingUrl y ExtranetLicensingUrl en la consola de Active Directory Rights Management Services. Seleccione el clúster AD RMS en el árbol de consola. Las direcciones URL para las licencias se muestran en el panel de resultados. Los clientes de correo electrónico utilizan estas direcciones URL cuando el contenido tiene que ser descifrado y cuando Exchange Online necesita determinar qué TPD utilizar.

Al ejecutar este comando, se solicita una contraseña. Escriba la contraseña que especificó cuando exportó la TPD de su servidor AD RMS.

Ejemplo: el siguiente comando importa la TPD, denomina Exported TPD, utilizando el archivo XML que exportó de su servidor AD RMS y guardó en el escritorio de la cuenta de Administrador. El parámetro Name se utiliza para especificar un nombre a la TPD.

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path C:\Users\Administrator\Desktop\ExportTPD.xml -ReadCount 0)) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

Principio de página

Paso 3: distribución de una plantilla RMS

Después de importar la TPD, tiene que asegurarse de que una plantilla RMS se distribuye. Una plantilla distribuida es visible para los usuarios de Outlook Web App, que después pueden aplicar las plantillas a un mensaje de correo electrónico.

Para ver una lista de todas las plantillas contenidas en la TPD predeterminada, ejecute el comando siguiente:

Get-RMSTemplate -Type All | fl

Si el valor del parámetro Type es Archived, la plantilla no está visible para los usuarios. Solo las plantillas distribuidas en la TPD predeterminada están disponibles en Outlook Web App.

Para distribuir una plantilla, ejecute el comando siguiente:

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

Ejemplo: el siguiente comando importa la plantilla Company Confidential.

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

Plantilla No reenviar

Al importar la TPD predeterminada de la organización local en Exchange Online, se importa una plantilla RMS. Se denomina plantilla No reenviar. Esta plantilla se distribuye, de forma predeterminada, al importar la TPD predeterminada. No puede modificar la plantilla No reenviar usando el cmdlet Set-RMSTemplate.

Cuando se aplica la plantilla No reenviar a un mensaje, solo los destinatarios del mensaje pueden leerlo. Además, los destinatarios no pueden hacer lo siguiente:

  • Reenviar el mensaje a otra persona.
  • Copiar el contenido del mensaje.
  • Imprimir el mensaje.

Importante: la plantilla No reenviar no puede evitar que la información de un mensaje se copie con programas de captura de pantalla de otros fabricantes, con cámaras o que los usuarios transcriban la información manualmente.

Puede crear plantillas RMS adicionales en el servidor de AD RMS de la organización local a fin de cumplir con los requisitos de protección de IRM. Si crea plantillas RMS adicionales, tiene que exportar de nuevo la TPD del servidor local AD RMS y actualizar la TPD en la organización de correo electrónico basada en nube. Para obtener más información, vea Actualización de Exchange Online con nuevas plantillas RMS.

Principio de página

Paso 4: habilitar IRM

Después de importar la TPD y distribuir una plantilla RMS, tiene que habilitar la IRM para la organización de correo electrónico basada en nube ejecutando el siguiente comando:

Set-IRMConfiguration -InternalLicensingEnabled $true

¿Qué ocurre tras habilitar IRM

Después de habilitar IRM, la protección de IRM se puede aplicar al mensaje de correo electrónico como se indica a continuación:

  • Los usuarios pueden aplicar manualmente una plantilla utilizando Outlook y Outlook Web App. Los usuarios pueden utilizar la lista desplegable Permisos para seleccionar una plantilla de directiva de derechos para aplicarla al mensaje de correo electrónico. Cuando los usuarios envían un mensaje protegido mediante IRM, cualquier archivo adjunto al mensaje que use un formato admitido también recibe la misma protección de IRM que el mensaje. La protección de IRM se aplica a los archivos asociados a MicrosoftOffice Word, Excel y PowerPoint, así como a los archivos .xps y a los mensajes de correo electrónico adjuntos.
  • Los administradores pueden utilizar reglas de transporte para aplicar la protección de IRM a Outlook y OWA automáticamente. Puede crear reglas de transporte para proteger los mensajes mediante IRM. Configure la acción de regla de transporte para aplicar una plantilla RMS a los mensajes que cumplan la condición de la regla. Después de habilitar IRM, las plantillas RMS de la organización están disponibles para utilizarse con la acción de regla de transporte denominada Aplicar protección de derechos al mensaje con. Aquí se muestra cómo:
  • Los administradores pueden crear reglas de protección de Outlook. Las reglas de protección de Outlook aplican automáticamente la protección de IRM a los mensajes en Outlook 2010, no en Outlook Web App, según condiciones de los mensajes como son el departamento del remitente, a quién se envía el mensaje y si los destinatarios están dentro o fuera de la organización. Para crear las reglas de protección de Outlook, los administradores utilizan el cmdlet New-OutlookProtectionRule. Aquí se muestra cómo: Creación de reglas de protección de Outlook.

Principio de página

Administración de IRM

Ahora examinemos algunas tareas opcionales que puede utilizar para administrar IRM en una organización basada en nube:

  • Cambio de la TPD predeterminada
  • Creación de una nueva plantilla RMS
  • Actualización de Exchange Online con nuevas plantillas RMS
  • Deshabilitar IRM en Exchange Online
  • Eliminación de las TPD

Cambio de la TPD predeterminada

Cuando se importe la primera TPD, se marcará como la TPD predeterminada. Puede desear cambiar la TPD predeterminada para distribuir un conjunto diferente de plantillas RMS para una organización basada en nube.

Para establecer una TPD diferente como predeterminada, ejecute el comando siguiente:

Set-RMSTrustedPublishingDomain -Identity "<name of TPD>" -Default

Creación de una nueva plantilla RMS

Puede crear plantillas RMS adicionales en el servidor de AD RMS de la organización local a fin de cumplir con los requisitos de protección de IRM. Exchange Online admite hasta 20 plantillas por cada TPD.

Si crea plantillas RMS adicionales, tiene que exportar la TPD del servidor local AD RMS de nuevo y actualizar la TPD en la organización de correo electrónico basada en nube, tal y como se describe en la sección "Actualización de Exchange Online con nuevas plantillas RMS".

Para obtener más información acerca cómo crear una plantilla RMS, vea Creación de una nueva plantilla de directiva de derechos.

Actualización de Exchange Online con nuevas plantillas RMS

Cuando las plantillas RMS se crean, se eliminan o cambian en una organización local, puede ejecutar el cmdlet Import-RMSTrustedPublishingDomain para actualizar las plantillas en la organización de correo electrónico basada en nube. Después de exportar la TPD, como se describió previamente en el paso 1, ejecute los siguientes comandos:

$data = [byte[]](Get-Content -Encoding byte -Path <Path to exported TPD> -ReadCount 0)
Import-RMSTrustedPublishingDomain -FileData $data -Name "<name of TPD>" -RefreshTemplates

Ejemplo: supongamos que creó una nueva plantilla RMS en la organización local. Ahora desea hacer que esa plantilla esté disponible para los usuarios basados en nube. Después de exportar la TPD a un archivo denominado RevisedTPD.xml, ejecute el comando siguiente:

$data = [byte[]](Get-Content -Encoding byte -Path C:\Users\Administrator\Desktop\RevisedTPD.xml -ReadCount 0)
Import-RMSTrustedPublishingDomain -FileData $data -Name "Exported TBD" -RefreshTemplates

Lota: el nombre de la TPD debe coincidir con el de la TPD importada previamente. Cuando se le pida su contraseña, escriba la contraseña que especificó cuando exportó la TPD revisada para crear un nuevo archivo XML.

Después de la importación, ejecute el comando Get-RMSTemplate -Type All | fl para mostrar una lista de las plantillas disponibles después de actualizar la TPD. Si una plantilla nueva debería estar visible para los usuarios, debería marcarla como Distribuida, según se describe en el paso 3.

Si una plantilla se quita como resultado de la actualización, asegúrese de que una regla de transporte no hace referencia a la misma. Se producirá un mensaje de NDR si se hace referencia a una plantilla eliminada en una regla de transporte.

Sugerencia: ejecute el comando siguiente para determinar si alguna de las reglas de transporte de la organización tiene una acción que aplica una plantilla RMS.

Get-TransportRule | fl Name,ApplyRightsProtectionTemplate

Deshabilitar IRM en Exchange Online

Para dejar de utilizar temporalmente la TPD en una organización basada en nube, puede deshabilitar IRM para que los usuarios de Outlook Web App no puedan proteger mediante IRM los mensajes de correo electrónico.

Para deshabilitar IRM, ejecute el comando siguiente:

Set-IRMConfiguration -InternalLicensingEnabled $false

Eliminación de las TPD

También puede quitar permanentemente las TPD de una organización de Exchange Online. Sin embargo, no puede quitar la TPD predeterminada hasta que se quiten todas las TPD no predeterminadas.

Para quitar todas las TPD no predeterminadas, ejecute el comando siguiente:

Get-RMSTrustedPublishingDomain | ?{ $_.Default -eq $false } | Remove-RMSTrustedPublishingDomain

Una vez quitadas todas las TPD no predeterminadas, ejecute el comando siguiente para quitar la TPD predeterminada:

Get-RMSTrustedPublishingDomain | Remove-RMSTrustedPublishingDomain -Force

Principio de página