¿Tiene alguna pregunta sobre cómo funcionan las nuevas funcionalidades de protección de mensajes? Busque una respuesta aquí. Además, consulte las preguntas más frecuentes sobre la protección de datos en Azure Information Protection para obtener respuestas a las preguntas sobre el servicio de protección de datos, Azure Rights Management, en Azure Information Protection.
Cifrado de mensajes de Microsoft Purview combina funcionalidades de cifrado de correo electrónico y administración de derechos. Las funcionalidades de administración de derechos cuentan con tecnología de Azure Information Protection.
Puede usar Cifrado de mensajes de Microsoft Purview en las condiciones siguientes:
Si no ha configurado Office 365 cifrado de mensajes (OME) o Information Rights Management (IRM) para Exchange.
Si configura OME e IRM, puede usar estos pasos si también usa el servicio Azure Rights Management de Azure Information Protection.
Si usa Exchange con el servicio Active Directory Rights Management (AD RMS), no podrá habilitar estas nuevas funcionalidades de inmediato. En su lugar, primero debe migrar AD RMS a Azure Information Protection. Cuando finalice la migración, puede configurar correctamente Cifrado de mensajes de Microsoft Purview.
Si decide seguir usando AD RMS local con Exchange en lugar de migrar a Azure Information Protection, no puede usar Cifrado de mensajes de Microsoft Purview.
Para usar Cifrado de mensajes de Microsoft Purview, necesita uno de los siguientes planes:
Cifrado de mensajes de Microsoft Purview se ofrece como parte de Office 365 Enterprise E3 y E5, Microsoft 365 Enterprise E3 y E5, Microsoft 365 Empresa Premium, Office 365 A1, A3 y A5, y Office 365 Administración Pública G3 y G5. No necesita licencias adicionales para recibir las nuevas funcionalidades de protección con tecnología de Azure Information Protection.
También puede agregar Azure Information Protection Plan 1 a los siguientes planes para recibir Cifrado de mensajes de Microsoft Purview: Exchange Plan 1, Exchange Plan 2, Office 365 F3, Microsoft 365 Empresa Básico, Microsoft 365 Empresa Estándar o Office 365 Enterprise E1.
Cada usuario que se beneficie de Cifrado de mensajes de Microsoft Purview necesita una licencia para usar el cifrado de mensajes.
Para obtener la lista completa, consulte las descripciones del servicio Exchange para Cifrado de mensajes de Microsoft Purview.
Sí. Microsoft recomienda completar los pasos para configurar BYOK antes de configurar Cifrado de mensajes de Microsoft Purview.
Para obtener más información sobre BYOK, consulte Planeamiento e implementación de la clave de inquilino de Azure Information Protection.
¿Cifrado de mensajes de Microsoft Purview y BYOK con Azure Information Protection cambiar el enfoque de Microsoft a las solicitudes de datos que no son de Microsoft, como citaciones?
No. Cifrado de mensajes de Microsoft Purview y la opción de proporcionar y controlar sus propias claves de cifrado, denominadas BYOK, de Azure Information Protection no estaban diseñadas para responder a citaciones de cumplimiento de la ley. OME, con BYOK para Azure Information Protection, se diseñó para organizaciones centradas en el cumplimiento. Microsoft toma en serio las solicitudes de datos de los clientes. Como proveedor de servicios en la nube, siempre abogamos por la privacidad de los datos. En el caso de que recibamos una citación, siempre intentamos redirigir la solicitud directamente a usted para obtener la información. (Lea el blog de Brad Smith: Proteger los datos de los clientes frente al fisgoneo del gobierno). Publicamos periódicamente información detallada de la solicitud que recibimos. Para obtener más información sobre las solicitudes de datos que no son de Microsoft, consulte Responder a solicitudes gubernamentales y de cumplimiento de la ley para acceder a los datos de los clientes en el Centro de confianza de Microsoft. Además, consulte "Divulgación de datos del cliente" en los Términos de servicios en línea (OST).
¿Cómo se relaciona esta característica con las características heredadas de cifrado de mensajes de Office 365 (OME) y Information Rights Management (IRM)?
Cifrado de mensajes de Microsoft Purview es una evolución de las soluciones IRM y OME heredadas existentes. En la tabla siguiente se proporcionan más detalles.
Comparación de OME, IRM y Cifrado de mensajes de Microsoft Purview heredados
Funcionalidad | Versiones anteriores de OME | IRM | Cifrado de mensajes de Microsoft Purview |
---|---|---|---|
Envío de un correo electrónico cifrado | Solo a través de reglas de flujo de correo de Exchange | Usuario final iniciado desde Outlook para Windows, Outlook para Mac o Outlook en la Web; o a través de reglas de flujo de correo de Exchange | Usuario final iniciado desde Outlook para Windows, Outlook para Mac o Outlook en la Web; o a través de reglas de flujo de correo |
Administración de derechos | - | Opción No reenviar y plantillas personalizadas | Opción No reenviar, opción de solo cifrado, plantillas predeterminadas y personalizadas |
Tipo de destinatario admitido | Solo destinatarios externos | Solo destinatarios internos | Destinatarios internos y externos |
Experiencia para el destinatario | Los destinatarios externos recibieron un mensaje HTML que se descargó y abrió en un explorador o una aplicación móvil descargada. | Los destinatarios internos solo recibieron correo electrónico cifrado en Outlook para Windows, Outlook para Mac y Outlook en la Web. | Los destinatarios internos y externos reciben correo electrónico en Outlook para Windows, Outlook para Mac, Outlook en la Web, Outlook para Android y Outlook para iOS, o a través de un portal web, independientemente de si están en la misma organización o en cualquier organización. El portal de mensajes cifrado no requiere ninguna descarga independiente. |
Compatibilidad con Bring Your Own Key | No disponible | No disponible | Compatible con BYOK |
Office 365 cifrado de mensajes (OME) quedó en desuso el 1 de julio de 2023. Se va a reemplazar automáticamente por Cifrado de mensajes de Microsoft Purview. Si tiene un buzón de remitente activo, todavía puede ver el correo de OME.
No. Si usa Exchange Online con el servicio Active Directory Rights Management (AD RMS), no podrá habilitar estas nuevas funcionalidades de inmediato. En su lugar, primero debe migrar AD RMS a Azure Information Protection.
Los usuarios locales pueden enviar correo cifrado mediante Exchange Online reglas de flujo de correo. Debe enrutar el correo electrónico a través de Exchange. Para obtener más información, vea Parte 2: Configurar el correo para que fluya desde el servidor de correo electrónico a Microsoft 365.
¿Qué cliente de correo electrónico necesito usar para crear un mensaje cifrado? ¿Qué aplicaciones se admiten para enviar mensajes protegidos?
Puede crear mensajes protegidos desde Outlook 2016, Outlook 2013 para Windows y Mac, y desde Outlook en la Web. Para obtener más información sobre el envío de mensajes cifrados, vea Enviar, ver y responder a mensajes cifrados en Outlook para PC.
¿Qué clientes de correo electrónico se admiten para leer y responder a correos electrónicos protegidos?
Los usuarios de Microsoft 365 pueden leer y responder desde Outlook para Windows y Mac (2013 y 2016), Outlook en la Web y Outlook mobile (Android e iOS). También puede usar el cliente de correo nativo de iOS si su organización lo permite. Si no es un usuario de Microsoft 365, puede leer y responder a los mensajes cifrados en la web a través del explorador web.
Los usuarios de Microsoft 365 pueden usar Outlook para pc versiones 2019 y Microsoft 365 para crear correo protegido con la directiva de solo cifrado. Los mensajes que tienen aplicada la directiva de solo cifrado se pueden leer directamente en Outlook en la Web, en Outlook para iOS y Android, y Outlook para las versiones 2019 y Microsoft 365 de Outlook para PC.
Sí. El tamaño máximo del mensaje que puede enviar con Cifrado de mensajes de Microsoft Purview, incluidos los datos adjuntos, es de 25 MB. Para obtener más información, vea Límites de mensajes.
Sí. En algunos casos que tienen conectores configurados , como una implementación híbrida de Exchange, al incluir destinatarios en la línea BCC , los destinatarios de BCC se quitan antes de cifrar el correo. El procedimiento recomendado consiste en pasar a un Exchange Online o colocar todos los destinatarios en los campos To: o CC.
El portal de mensajes cifrado solo admite correo. El portal no admite otros tipos de mensajes, como el calendario o el correo de voz.
¿Qué tipos de archivo se admiten como datos adjuntos en correos electrónicos protegidos? ¿Heredan los datos adjuntos las directivas de protección y los permisos asociados a los correos electrónicos protegidos? ¿Qué hay de PDF?
Puede adjuntar cualquier tipo de archivo a un correo protegido. Las directivas de protección solo se aplican a un subconjunto de los formatos de archivo mencionados en Tipos de archivo admitidos. De forma predeterminada, Cifrado de mensajes de Microsoft Purview cifra las siguientes extensiones de archivos de Office:
- docx
- docm
- dotx
- dotm
- pptx
- pptm
- potx
- potm
- ppsx
- ppsm
- thmx
- xlsx
- xlsm
- xlsb
- xltx
- xltm
- xlam
- xps
Cifrado de mensajes de Microsoft Purview no admite las versiones 97-2003 de los siguientes programas de Office: Word (.doc), Excel (.xls) y PowerPoint (.ppt).
Además, si está habilitado en Exchange Online, el cifrado pdf le permite proteger documentos PDF confidenciales adjuntos a correos electrónicos. Al enviar un correo electrónico, el servicio de Office 365 cifra los datos adjuntos de archivos PDF para las versiones más recientes de Outlook, entre las que se incluyen:
- Escritorio de Outlook (nuevo)
- Outlook en la Web
- Outlook para Mac
- Outlook para iOS
- Outlook para Android
Para habilitar el cifrado de datos adjuntos pdf mediante una cuenta profesional o educativa que tenga el rol Information Rights Management como mínimo en el inquilino, ejecute el siguiente comando en Exchange Online PowerShell:
Set-IRMConfiguration -EnablePdfEncryption $true
La protección solo se hereda del correo a los datos adjuntos sin cifrar. Si se admite un formato de archivo, como un archivo Word, Excel o PowerPoint, el archivo siempre está protegido, incluso después de que el destinatario descargue los datos adjuntos.
Por ejemplo, supongamos que los datos adjuntos están protegidos por No reenviar. El destinatario original descarga el archivo, crea un mensaje a un nuevo destinatario y adjunta el archivo. Cuando el nuevo destinatario recibe el archivo, no puede abrirlo.
Not yet. No se admiten los datos adjuntos de SharePoint o OneDrive. Puede cifrar un mensaje de correo, pero no los datos adjuntos en la nube.
¿Qué clientes de correo electrónico admiten la versión preliminar de los datos adjuntos cifrados en correos electrónicos protegidos?
Cuando los datos adjuntos están protegidos con un correo protegido, puede obtener una vista previa de los documentos directamente mediante clientes de Outlook. Outlook admite la vista previa de documentos de Office (docx, xlsx, pptx, doc, xls, ppt). Outlook en la Web admite la vista previa de documentos de Office (docx, xlsx, pptx) y PDF.
Outlook en la Web admite la revocación de correo protegido. Consulte Cómo revocar un mensaje cifrado que envió para obtener más información.
¿Admite el portal de mensajes cifrados la versión preliminar de los datos adjuntos cifrados en correos electrónicos protegidos?
El portal de mensajes cifrados admite la versión preliminar de las copias de datos adjuntos cifradas agregadas al correo cifrado. Los tipos de archivo de soporte técnico incluyen archivos Word, Excel, PowerPoint y PDF.
Sí. Use reglas de flujo de correo en Exchange Online para cifrar automáticamente un mensaje en función de determinadas condiciones. Por ejemplo, puede crear directivas basadas en el identificador de destinatario, el dominio del destinatario o en el contenido del cuerpo o asunto del mensaje. Consulte Definición de reglas de flujo de correo para cifrar los mensajes de correo electrónico en Office 365.
Los administradores pueden configurar una regla de flujo de correo para quitar el cifrado del correo saliente. Solo puede configurar una regla para quitar el cifrado del correo entrante que se origina en la organización Exchange Online.
Para un buzón de Exchange Online, los administradores deben habilitar el descifrado de diario y configurar una regla de registro en diario de Exchange Online para generar una copia descifrada del correo en el buzón de registro en diario. La regla de registro en diario toma cualquier correo o dato adjunto que tenga cifrado y envíe el original más una copia descifrada al buzón de registro en diario. Solo puede configurar una regla de registro en diario que pueda descifrar el correo o los datos adjuntos cuando el elemento cifrado se origine en su organización.
Para habilitar Exchange Online registro en diario:
Set-IRMConfiguration -JournalReportDecryptionEnabled $true
¿Puedo cifrar automáticamente los mensajes mediante la configuración de directivas en Prevención de pérdida de datos (DLP) mediante el portal de cumplimiento Microsoft Purview?
Sí. Puede configurar reglas de flujo de correo en Exchange Online o mediante DLP en el portal de cumplimiento Microsoft Purview.
Sí, para el correo enviado desde un buzón de Exchange Online de su organización. Para obtener información sobre cómo personalizar los mensajes de correo electrónico y el portal de mensajes cifrados, consulte Incorporación de la marca de su organización a los mensajes cifrados.
¿En qué tipos de destinatarios funcionan los registros de actividad del portal de mensajes cifrados?
Los registros de actividad del portal de mensajes cifrados solo capturan eventos para destinatarios externos accediendo a los portales de mensajes cifrados. No se registran las actividades en los clientes de correo electrónico desencadenadas por destinatarios externos. Para los destinatarios internos, consulte la acción de auditoría de buzón MailItemsAccessed en Purview Audit (Premium): registros a los que se ha accedido a elementos de correo.
Hay un informe de cifrado en la portal de cumplimiento Microsoft Purview. Consulte Ver informes de seguridad de correo electrónico en el portal de cumplimiento Microsoft Purview.
Sí, la mayoría de los mensajes protegidos por Cifrado de mensajes de Microsoft Purview son reconocibles. Cifrado de mensajes de Microsoft Purview correo protegido que recibe de otra organización de Microsoft 365 que tiene la personalización de marca aplicada a través de una regla de flujo de correo no es reconocible por el servicio eDiscovery. En otras palabras, si el correo no es accesible a través del buzón del usuario, sino que aparece solo a través de un vínculo al portal de mensajes cifrados, el correo no se puede buscar. Consulte las actividades de eDiscovery que admiten elementos cifrados para obtener más información.
Cuando un mensaje de correo electrónico coincide con una regla de flujo de correo de cifrado, Exchange cifra el mensaje que lo envía.
Sí. Puede abrir mensajes cifrados para un buzón compartido. Cuando el correo se envía desde la misma organización, puede abrir el correo cuando haya iniciado sesión en un cliente de Outlook compatible. Si el correo se envía desde una organización externa, debe usar Outlook en la Web.
Los usuarios pueden abrir correos electrónicos protegidos en un buzón compartido donde el buzón compartido recibió un correo protegido como parte de un grupo de distribución.
Los usuarios pueden ver los datos adjuntos que heredan la protección del correo electrónico cuando usan Outlook para Windows, Outlook para Mac, Outlook para Android, Outlook para iOS y Outlook en la Web.
En la tabla siguiente se enumeran los clientes admitidos para buzones compartidos.
Plataforma | Leer correo | Visualización de datos adjuntos de correo electrónico |
---|---|---|
Outlook en la Web | Sí | Sí |
Outlook para Windows | Sí | Sí* |
Outlook para Mac | Sí | Sí |
Outlook para Android | Sí | Sí* |
Outlook para iOS | Sí | Sí* |
Nota
Android e iOS usan la aplicación móvil de Office para mostrar datos adjuntos cifrados y no mostrar datos adjuntos directamente en outlook mobile. Outlook para Windows puede mostrar datos adjuntos cifrados cuando el usuario está directamente assgined en un buzón compartido. (Consulte a continuación sobre la asignación de usuarios).
Actualmente hay dos limitaciones conocidas:
No puede abrir datos adjuntos a los correos electrónicos que recibe en dispositivos móviles mediante Outlook Mobile.
Hay dos maneras de permitir que un usuario vea el correo cifrado directamente en Outlook para Windows:
- Asigne directamente un usuario al buzón compartido, con los permisos de acceso completo y la asignación automática habilitadas. Para Outlook de 64 bits, no es necesario asignar directamente a los usuarios al buzón. La asignación automática está habilitada de forma predeterminada para Exchange.
- Asigne un grupo de seguridad habilitado para correo a un buzón compartido. Este método requiere la versión 2402 de Outlook y solo admite el correo generado después de junio de 2024.
Para asignar un usuario a un buzón compartido
Ejecute el
Add-MailboxPermission
cmdlet con elAutomapping
parámetro . En este ejemplo se concede permiso de acceso completo a Ayla a un buzón de soporte técnico.Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
Para asignar un grupo de seguridad habilitado para correo al buzón compartido
Para usar este método, debe cifrar el correo con las opciones de protección No reenviar o Cifrar solo . Solo se puede abrir el correo iniciado por el buzón compartido o el correo enviado dentro de una organización.
Ejecute el
Add-MailboxPermission
cmdlet para asignar el grupo de seguridad. En el ejemplo siguiente se proporciona al grupo de seguridad de la recepción de Contoso permiso de acceso completo a un buzón de soporte técnico.Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
¿Se admite el acceso delegado con la apertura de mensajes cifrados? ¿Incluso si un delegado tiene acceso completo al buzón de otro usuario?
Cuando se concede permiso de acceso completo a los delegados al buzón de un usuario, se admite el acceso delegado de correo cifrado en Outlook en la Web, Outlook para Mac, Outlook para iOS y Outlook para Android. Outlook para Windows no admite el acceso delegado.
Puede iniciar sesión en el portal de mensajes cifrados para recuperar el correo siempre que la organización del remitente esté activa y el correo no esté configurado para expirar.
En primer lugar, compruebe la carpeta de correo no deseado en el cliente de correo electrónico. La configuración de DKIM y DMARC para su organización puede hacer que estos correos electrónicos terminen filtrados como correo no deseado.
A continuación, compruebe la cuarentena en el portal de cumplimiento. A menudo, los mensajes que contienen un código de paso único, especialmente los primeros que recibe su organización, terminan en cuarentena.