Preguntas más frecuentes sobre el cifrado de mensajes

El cifrado de mensajes de Microsoft Purview combina funcionalidades de cifrado de correo electrónico y administración de derechos. Las funcionalidades de administración de derechos cuentan con tecnología de Azure Information Protection.

Puede usar el cifrado de mensajes de Microsoft Purview en las condiciones siguientes:

• Si no ha configurado Cifrado de mensajes de Office 365 (OME) o Information Rights Management (IRM) para Exchange.

• Si configura OME e IRM, puede usar estos pasos si también usa el servicio Azure Rights Management de Azure Information Protection.

• Si usa Exchange con el servicio Active Directory Rights Management (AD RMS), no podrá habilitar estas nuevas funcionalidades de inmediato. En su lugar, primero debe migrar AD RMS a Azure Information Protection . Cuando finalice la migración, puede configurar correctamente El cifrado de mensajes de Microsoft Purview.

  Si decide seguir usando AD RMS local con Exchange en lugar de migrar a Azure Information Protection, no puede usar el cifrado de mensajes de Microsoft Purview.

Para usar el cifrado de mensajes de Microsoft Purview, necesita uno de los siguientes planes:

• El cifrado de mensajes de Microsoft Purview se ofrece como parte de Office 365 Enterprise E3 y E5, Microsoft 365 Enterprise E3 y E5, Microsoft 365 Business Premium, Office 365 A1, A3 y A5 y Office 365 Government G3 y G5. No necesita licencias adicionales para recibir las nuevas funcionalidades de protección con tecnología de Azure Information Protection.

• También puede agregar el plan 1 de Azure Information Protection a los siguientes planes para recibir cifrado de mensajes de Microsoft Purview: Exchange Plan 1, Exchange Plan 2, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard o Office 365 Enterprise E1.

• Cada usuario que se beneficie del cifrado de mensajes de Microsoft Purview necesita una licencia para usar el cifrado de mensajes.

• Para obtener la lista completa, consulte las descripciones del servicio Exchange para El cifrado de mensajes de Microsoft Purview.

Sí. Microsoft recomienda completar los pasos para configurar BYOK antes de configurar El cifrado de mensajes de Microsoft Purview.

Para más información sobre BYOK, consulte Planeamiento e implementación de la clave de inquilino de Azure Information Protection.

No. El cifrado de mensajes de Microsoft Purview y la opción de proporcionar y controlar sus propias claves de cifrado, llamadas BYOK, de Azure Information Protection no estaban diseñadas para responder a las citaciones de cumplimiento de la ley. OME, con BYOK para Azure Information Protection, se diseñó para organizaciones centradas en el cumplimiento. Microsoft toma en serio las solicitudes de datos de los clientes. Como proveedor de servicios en la nube, siempre abogamos por la privacidad de los datos. En el caso de que recibamos una citación, siempre intentamos redirigir la solicitud directamente a usted para obtener la información. (Lea el blog de Brad Smith: Proteger los datos de los clientes frente al fisgoneo del gobierno). Publicamos periódicamente información detallada de la solicitud que recibimos. Para obtener más información sobre las solicitudes de datos que no son de Microsoft, consulte Responder a solicitudes gubernamentales y de cumplimiento de la ley para acceder a los datos de los clientes en el Centro de confianza de Microsoft. Además, consulte "Divulgación de datos del cliente" en los Términos de servicios en línea (OST).

El cifrado de mensajes de Microsoft Purview es una evolución de las soluciones IRM y OME heredadas existentes. En la tabla siguiente se proporcionan más detalles.

Comparación de OME, IRM y Cifrado de mensajes de Microsoft Purview heredados

Consulte Configuración del cifrado de mensajes de Microsoft Purview.

El cifrado de mensajes (OME) de Office 365 quedó en desuso el 1 de julio de 2023. Se reemplaza automáticamente por cifrado de mensajes de Microsoft Purview. Si tiene un buzón de remitente activo, todavía puede ver el correo de OME.

No. Si usa Exchange Online con el servicio Active Directory Rights Management (AD RMS), no podrá habilitar estas nuevas funcionalidades de inmediato. En su lugar, primero debe migrar AD RMS a Azure Information Protection .

Los usuarios locales pueden enviar correo cifrado mediante reglas de flujo de correo de Exchange Online. Debe enrutar el correo electrónico a través de Exchange. Para obtener más información, vea Parte 2: Configurar el correo para que fluya desde el servidor de correo electrónico a Microsoft 365.

Puede crear mensajes protegidos desde Outlook 2016, Outlook 2013 para Windows y Mac, y desde Outlook en la web. Para obtener más información sobre el envío de mensajes cifrados, vea Enviar, ver y responder a mensajes cifrados en Outlook para PC.

Los usuarios de Microsoft 365 pueden leer y responder desde Outlook para Windows y Mac (2013 y 2016), Outlook en la web y Outlook mobile (Android e iOS). También puede usar el cliente de correo nativo de iOS si su organización lo permite. Si no es un usuario de Microsoft 365, puede leer y responder a los mensajes cifrados en la web a través del explorador web.

Los usuarios de Microsoft 365 pueden usar Outlook para pc versiones 2019 y Microsoft 365 para crear correo protegido con la directiva de solo cifrado. Los mensajes que tienen aplicada la directiva de solo cifrado se pueden leer directamente en Outlook en la web, en Outlook para iOS y Android, y outlook para las versiones de PC 2019 y Microsoft 365.

Sí. El tamaño máximo de mensaje que puede enviar con el cifrado de mensajes de Microsoft Purview, incluidos los datos adjuntos, es de 25 MB. Para obtener más información, vea Límites de mensajes.

Sí. En algunos casos que tienen conectores configurados , como una implementación híbrida de Exchange, al incluir destinatarios en la línea BCC , los destinatarios de BCC se quitan antes de cifrar el correo. El procedimiento recomendado es pasar a Exchange Online o colocar todos los destinatarios en los campos Para: o CC .

El portal de mensajes cifrado solo admite correo. El portal no admite otros tipos de mensajes, como el calendario o el correo de voz.

Puede adjuntar cualquier tipo de archivo a un correo protegido. Las directivas de protección solo se aplican a un subconjunto de los formatos de archivo mencionados en Tipos de archivo admitidos. El cifrado de mensajes de Microsoft Purview solo admite las siguientes extensiones de archivos de Office:

• docx
• docm
• dotx
• dotm
• pptx
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• xlsx
• xlsm
• xlsb
• xltx
• xltm
• xlam
• xps

Microsoft Purview Message Encryption no admite las versiones 97-2003 de los siguientes programas de Office: Word (.doc), Excel (.xls) y PowerPoint (.ppt).

La protección solo se hereda del correo a los datos adjuntos sin cifrar. Si se admite un formato de archivo, como un archivo de Word, Excel o PowerPoint, el archivo siempre está protegido, incluso después de que el destinatario descargue los datos adjuntos. Por ejemplo, supongamos que los datos adjuntos están protegidos por No reenviar. El destinatario original descarga el archivo, crea un mensaje a un nuevo destinatario y adjunta el archivo. Cuando el nuevo destinatario recibe el archivo, no puede abrirlo.

¡La respuesta corta es sí! Si está habilitado en Exchange Online, el cifrado pdf le permite proteger documentos PDF confidenciales adjuntos a correos electrónicos. Al enviar un correo electrónico, el servicio de Office 365 cifra los datos adjuntos de archivos PDF para Outlook en la web, Outlook para Mac, Outlook para iOS y Outlook para Android. Puede cifrar los archivos PDF que envíe sin más pasos.

Outlook de 64 bits admite de forma nativa el cifrado de datos adjuntos de archivos PDF, mientras que Outlook de 32 bits no. Si usa Outlook de 32 bits, primero debe configurar reglas de flujo de correo de Exchange o directivas DLP para aplicar el cifrado a los datos adjuntos pdf. Al enviar un correo sin cifrar desde Outlook Desktop con datos adjuntos pdf, el cliente envía primero el mensaje con los datos adjuntos al servicio. Cuando el servicio recibe el correo sin cifrar, el servicio aplica la protección de cifrado de mensajes de Microsoft Purview mediante la directiva de prevención de pérdida de datos (DLP) o la regla de flujo de correo en Exchange Online. A continuación, Exchange Online cifra el mensaje y los datos adjuntos del archivo PDF.

Para habilitar el cifrado de datos adjuntos de PDF, ejecute el siguiente comando en PowerShell de Exchange Online:

Set-IRMConfiguration -EnablePdfEncryption $true

El cifrado PDF le permite proteger documentos PDF confidenciales a través de una comunicación segura o una colaboración segura. Para todos los clientes de Outlook, los mensajes y los datos adjuntos PDF no protegidos heredan la protección de cifrado de mensajes de Microsoft Purview de la directiva de prevención de pérdida de datos (DLP) o la regla de flujo de correo en Exchange Online. Además, si un usuario de Outlook en la web adjunta un documento PDF desprotegido y aplica protección al mensaje, el mensaje hereda la protección del mensaje. Los usuarios solo pueden abrir los datos adjuntos cifrados en aplicaciones que admiten archivos PDF protegidos (por ejemplo, el portal de mensajes cifrados y el Visor de Azure Information Protection).

Not yet. No se admiten los datos adjuntos de SharePoint o OneDrive. Puede cifrar un mensaje de correo, pero no los datos adjuntos en la nube.

Cuando los datos adjuntos están protegidos con un correo protegido, puede obtener una vista previa de los documentos directamente mediante clientes de Outlook. Outlook admite la vista previa de documentos de Office (docx, xlsx, pptx, doc, xls, ppt). Outlook en la web admite la vista previa de documentos de Office (docx, xlsx, pptx) y PDF.

Outlook en la web admite la revocación de correo protegido. Consulte Cómo revocar un mensaje cifrado que envió para obtener más información.

El portal de mensajes cifrados admite la versión preliminar de las copias de datos adjuntos cifradas agregadas al correo cifrado. Los tipos de archivo de soporte técnico incluyen archivos Word, Excel, PowerPoint y PDF.

Sí. Use reglas de flujo de correo en Exchange Online para cifrar automáticamente un mensaje en función de determinadas condiciones. Por ejemplo, puede crear directivas basadas en el identificador de destinatario, el dominio del destinatario o en el contenido del cuerpo o asunto del mensaje. Vea Definir reglas de flujo de correo para cifrar mensajes de correo electrónico en Office 365.

Los administradores pueden configurar una regla de flujo de correo para quitar el cifrado del correo saliente. Solo puede configurar una regla para quitar el cifrado del correo entrante que se origina en su organización de Exchange Online.

Para un buzón de Exchange Online, los administradores deben habilitar el descifrado de diario y configurar una regla de registro en diario de Exchange Online para generar una copia descifrada del correo en el buzón de registro en diario. La regla de registro en diario toma cualquier correo o dato adjunto que tenga cifrado y envíe el original más una copia descifrada al buzón de registro en diario. Solo puede configurar una regla de registro en diario que pueda descifrar el correo o los datos adjuntos cuando el elemento cifrado se origine en su organización.
Para habilitar el registro en diario de Exchange Online:

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Sí. Puede configurar reglas de flujo de correo en Exchange Online o mediante DLP en el portal de cumplimiento de Microsoft Purview.

Sí, para el correo enviado desde un buzón de Exchange Online en su organización. Para obtener información sobre cómo personalizar los mensajes de correo electrónico y el portal de mensajes cifrados, consulte Incorporación de la marca de su organización a los mensajes cifrados.

Los registros de actividad del portal de mensajes cifrados solo capturan eventos para destinatarios externos accediendo a los portales de mensajes cifrados. No se registran las actividades en los clientes de correo electrónico desencadenadas por destinatarios externos. Para los destinatarios internos, consulte la acción de auditoría de buzón MailItemsAccessed en Purview Audit (Premium): registros a los que se ha accedido a elementos de correo.

Hay un informe de cifrado en el portal de cumplimiento de Microsoft Purview. Consulte Ver informes de seguridad de correo electrónico en el portal de cumplimiento de Microsoft Purview.

Sí, la mayoría de los mensajes protegidos por el cifrado de mensajes de Microsoft Purview se pueden detectar. El servicio eDiscovery no puede detectar el correo protegido de Cifrado de mensajes de Microsoft Purview que recibe de otra organización de Microsoft 365 que tiene la personalización de marca aplicada a través de una regla de flujo de correo. En otras palabras, si el correo no es accesible a través del buzón del usuario, sino que aparece solo a través de un vínculo al portal de mensajes cifrados, el correo no se puede buscar. Consulte las actividades de eDiscovery que admiten elementos cifrados para obtener más información.

Cuando un mensaje de correo electrónico coincide con una regla de flujo de correo de cifrado, Exchange cifra el mensaje que lo envía.

Sí. Puede abrir mensajes cifrados para un buzón compartido. Cuando el correo se envía desde la misma organización, puede abrir el correo cuando haya iniciado sesión en un cliente de Outlook compatible. Si el correo se envía desde una organización externa, debe usar Outlook en la web.

• Los usuarios pueden abrir correos electrónicos protegidos en un buzón compartido donde el buzón compartido recibió un correo protegido como parte de un grupo de distribución.

• Los usuarios pueden ver los datos adjuntos que heredan la protección del correo electrónico cuando usan Outlook para Windows, Outlook para Mac, Outlook para Android, Outlook para iOS y Outlook en la web.

En la tabla siguiente se enumeran los clientes admitidos para buzones compartidos.

Actualmente hay dos limitaciones conocidas:

• No puede abrir datos adjuntos a los correos electrónicos que recibe en dispositivos móviles mediante Outlook Mobile.

• Hay dos maneras de permitir que un usuario vea el correo cifrado directamente en Outlook de 32 bits:

  1. Asigne directamente un usuario al buzón compartido, con los permisos de acceso completo y la asignación automática habilitadas. Para Outlook de 64 bits, no es necesario asignar directamente a los usuarios al buzón. La asignación automática está habilitada de forma predeterminada para Exchange.
  2. Asigne un grupo de seguridad habilitado para correo a un buzón compartido. Este método requiere la versión 2402 de Outlook y solo admite el correo generado después de junio de 2024.

Para asignar un usuario a un buzón compartido

1. Conéctese al PowerShell de Exchange Online.

2. Ejecute el Add-MailboxPermission cmdlet con el Automapping parámetro . En este ejemplo se concede permiso de acceso completo a Ayla a un buzón de soporte técnico.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

Para asignar un grupo de seguridad habilitado para correo al buzón compartido

Para usar este método, debe cifrar el correo con las opciones de protección No reenviar o Cifrar solo . Solo se puede abrir el correo iniciado por el buzón compartido o el correo enviado dentro de una organización.

1. Conéctese al PowerShell de Exchange Online.

2. Ejecute el Add-MailboxPermission cmdlet para asignar el grupo de seguridad. En el ejemplo siguiente se proporciona al grupo de seguridad de la recepción de Contoso permiso de acceso completo a un buzón de soporte técnico.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
   

Cuando se concede permiso de acceso completo a los delegados al buzón de un usuario, se admite el acceso delegado de correo cifrado en Outlook en la web, Outlook para Mac, Outlook para iOS y Outlook para Android. Outlook para Windows no admite el acceso delegado.

Puede iniciar sesión en el portal de mensajes cifrados para recuperar el correo siempre que la organización del remitente esté activa y el correo no esté configurado para expirar.

En primer lugar, compruebe la carpeta de correo no deseado en el cliente de correo electrónico. La configuración de DKIM y DMARC para su organización puede hacer que estos correos electrónicos terminen filtrados como correo no deseado.

A continuación, compruebe la cuarentena en el portal de cumplimiento. A menudo, los mensajes que contienen un código de paso único, especialmente los primeros que recibe su organización, terminan en cuarentena.