Exportar (0) Imprimir
Expandir todo
Personas que lo han encontrado útil: 2 de 2 - Valorar este tema

Planificar Information Rights Management en Office 2013

 

Se aplica a: Office 365 ProPlus, Office 2013

Última modificación del tema: 2013-12-18

Resumen: use Information Rights Management (IRM) en Office 2013 para especificar los permisos de acceso y uso de documentos y mensajes importantes.

Público: profesionales de TI

En este artículo se incluye un resumen de la tecnología IRM y cómo funciona en aplicaciones de Office, así como vínculos para obtener más información acerca de la instalación y configuración de los servidores y el software necesarios para implementar IRM en Office 2013.

ImportanteImportante:
Este artículo forma parte de Guía básica de contenido de identidad, autenticación y autorización de Office 2013 y está dirigido a profesionales de TI. Use esta guía como punto de partida para acceder a artículos, descargas, pósters y vídeos de utilidad para evaluar la identidad de Office 2013.
¿Necesita ayuda con las distintas aplicaciones de Office 2013? Encontrará esta información si busca en Office.com.

En este artículo

Information Rights Management (IRM) es una tecnología de nivel de archivo persistente de Microsoft. Usa los permisos y la autorización para evitar que personas no autorizadas impriman, reenvíen o copien información confidencial. Después de restringir el permiso para un documento o un mensaje con esta tecnología, las restricciones de uso se transmiten con el documento o un mensaje de correo electrónico como parte del contenido del archivo.

NotaNota:
La capacidad de crear contenido o mensajes de correo electrónico con permisos restringidos con IRM está disponible en Office Professional Plus 2013 y en las versiones independientes de Excel 2013, Outlook 2013, PowerPoint 2013, InfoPath 2013 y Word 2013. El contenido IRM creado en Office 2013 puede verse en Office 2003, Office 2007, Office 2010 o Office 2013.
Para obtener más información acerca de las características de IRM y Active Directory Rights Management Services (AD RMS) admitidas en Office 2013, Office 2010, Office 2007 y Office 2003, consulte las consideraciones de la implementación de AD RMS y Microsoft Office.

La compatibilidad con IRM en Office 2013 ayuda a las organizaciones y a los trabajadores de la información a satisfacer dos necesidades fundamentales:

  • Permisos restringidos para información confidencial   IRM ayuda a evitar el acceso no autorizado y el uso no permitido de la información confidencial. Las organizaciones confían en los firewalls, una serie de medidas relacionadas con la seguridad de inicio de sesión y otras tecnologías de red para proteger la propiedad intelectual confidencial. Una limitación básica del uso de estas tecnologías es que los usuarios que disponen de autorización para obtener acceso a la información pueden compartirla con otras personas no autorizadas. Por consiguiente, se puede producir una infracción de las directivas de seguridad.

  • Integridad, control y privacidad de la información   Los trabajadores de la información suelen trabajar con información confidencial. Con el uso de IRM, los empleados no dependen de la discreción de los demás para garantizar que el material confidencial permanezca dentro de la empresa. IRM elimina la posibilidad de que los usuarios reenvíen, copien o impriman información confidencial, porque permite deshabilitar estas funciones en documentos y mensajes con permisos restringidos.

Para los administradores de tecnologías de la información (TI), IRM permite habilitar la aplicación de las directivas corporativas existentes relacionadas con la confidencialidad de documentos, el flujo de trabajo y la conservación de correo electrónico. Para los consejeros delegados y los responsables de seguridad, IRM representa una reducción del riesgo de que la información clave de la empresa se revele a personas no autorizadas de forma accidental, por un descuido o con fines malintencionados.

Los usuarios de Office aplican permisos a mensajes o documentos usando opciones de la cinta de opciones; por ejemplo, usan el comando Restringir edición, que se encuentra en Información, Proteger documento. Las opciones de protección disponibles se basan en directivas de permisos que puede personalizar para la organización. Las directivas de permisos son grupos de derechos de IRM que se agrupan para aplicarlos como una directiva. Office 2013 también proporciona varios grupos predefinidos de derechos, como No reenviar en Outlook 2013.

NotaNota:
Para que IRM proteja un documento en Office 2013, debe disponer de un servidor RMS local o Office 365 con RMS Online. Puede seguir abriendo contenido protegido por IRM creado con una cuenta Microsoft en versiones anteriores de Office y editar estos documentos en caso de que tenga permiso para hacerlo, pero no puede crear nuevos documentos protegidos con una cuenta Microsoft.

Para habilitar IRM en la organización se necesita, normalmente, el acceso a un servidor de administración de derechos que ejecuta Rights Management Services (RMS) de Microsoft Windows para Windows Server 2003 o Active Directory Rights Management Services (AD RMS) para Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2. Además, se puede usar IRM con una cuenta individual de Microsoft para autenticar permisos, tal como se describe más adelante, en este artículo. Los permisos se aplican mediante la autenticación, normalmente usando el servicio de directorio de Active Directory (AD DS). Puede usar una cuenta Microsoft para autenticar y para conceder permisos si Active Directory no está implementado.

Los usuarios no necesitan que se instale una cuenta Microsoft para leer mensajes y documentos protegidos. Para los usuarios que ejecutan Windows XP o versiones anteriores, Excel viewer y Word viewer permiten a los usuarios de Windows que tengan los permisos correctos leer algunos documentos con permisos restringidos sin usar el software de Office. Los usuarios que ejecutan Windows XP o versiones anteriores pueden usar Outlook Web App o el Complemento Rights Management para Internet Explorer para leer mensajes de correo electrónico que tengan permisos restringidos sin usar el software de Outlook. Esta funcionalidad ya está disponible para los usuarios que ejecutan Windows 7, Windows 8, Windows 8.1, Windows Vista Service Pack 1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2. El software cliente de Active Directory Rights Management Services se incluye con estos sistemas operativos.

En Office 2013, las organizaciones pueden crear las directivas de permisos que aparecen en las aplicaciones de Office. Por ejemplo, puede definir una directiva de permisos con nombre Confidencial de la empresa, que especifique que solo los usuarios del dominio de la empresa pueden abrir los documentos o mensajes de correo electrónico que usen dicha directiva. No hay ningún límite para el número de directivas de permisos que se pueden crear.

NotaNota:
SharePoint Foundation admite el uso de IRM en documentos almacenados en las bibliotecas de documentos. Con IRM puede controlar las acciones que pueden realizar los usuarios en los documentos cuando los abren desde las bibliotecas de SharePoint Foundation. Por el contrario, si IRM se aplica a los documentos almacenados en los equipos cliente, el propietario de un documento puede elegir qué derechos asignar a cada usuario del documento. Para obtener más información sobre el uso de IRM con bibliotecas de documentos, consulte Planeación de las bibliotecas de documentos (SharePoint Foundation 2010).

Con AD RMS en Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012, los usuarios pueden compartir documentos protegidos por derechos entre compañías que tienen una relación de confianza federada. Para obtener más información, vea Introducción a Active Directory Rights Management Services y Federación de AD RMS.

También con AD RMS, Exchange Server 2012 ofrece una nueva funcionalidad de correo electrónico por IRM, con una protección de AD RMS para mensajes de correo de voz de mensajería unificada y reglas de protección de Outlook que automáticamente pueden aplicar protección de IRM a mensajes en Outlook 2013 antes de que abandonen el cliente de Outlook. Para obtener más información, consulte Novedades en Exchange 2013 y Information Rights Management.

Para obtener más información sobre Active Directory Rights Management Services.

En una instalación típica, Windows Server 2003 implementado con RMS o Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2 implementado con AD RMS permite usar los permisos de IRM con Office 2013. Si un servidor RMS no está configurado en el mismo dominio que los usuarios, se pueden usar las cuentas de Microsoft de los usuarios para autenticar los permisos en lugar de Active Directory. Los usuarios deben tener acceso a Internet para conectarse a los servidores de cuentas de Microsoft.

Puede usar cuentas Microsoft para asignar permisos a los usuarios que necesiten acceso al contenido de un archivo restringido. Si se usan cuentas Microsoft para la autenticación, conceda permiso para un archivo a cada usuario de forma específica. No se puede asignar ningún permiso de acceso para un archivo a grupos de usuarios.

La aplicación de permisos IRM a documentos o mensajes de correo electrónico necesita lo siguiente:

  • Acceso a un servidor de RMS para Windows Server 2003 o AD RMS para Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2, para autenticar permisos. Otra opción consiste en administrar la autenticación con el servicio de cuenta Microsoft en Internet.

  • Software cliente de Rights Management (RM). El software cliente de RM se incluye en Windows Vista y en versiones posteriores y está disponible como un complemento para Windows XP y Windows Server 2003.

  • Microsoft Office 2003, 2007 Microsoft Office system, Office 2010, o Office 2013. Solo versiones específicas de Office permiten a los usuarios crear permisos IRM.

Windows RMS o AD RMS controla las licencias y otras funciones de administración de servidor que se usan con IRM para proporcionar la administración de derechos. Un programa cliente habilitado para RMS, como Office 2013, permite a los usuarios crear y ver contenido protegido mediante derechos.

Para obtener más información sobre el funcionamiento de RMS y la instalación y configuración de un servidor RMS, consulte Active Directory Rights Management Services.

El software cliente de RM se incluye en Windows Vista, Windows 7, Windows 8 y Windows 8.1. Se necesita una instalación y una configuración por separado del software cliente de RMS necesario en Windows XP y Windows Server 2003 para que interactúe con RMS o AD RMS en el equipo que ejecuta Windows o el servicio de cuenta Microsoft en Internet.

Descargue el Service Pack de cliente de RMS para que los usuarios de Windows XP y Windows Server 2003 puedan ejecutar aplicaciones que restringen los permisos basados en tecnologías RMS.

Al igual que en Office 2003, Office 2007 y Office 2010, Office 2013 incluye grupos predefinidos de derechos que los usuarios pueden aplicar a documentos y mensajes, como Leer y Cambiar en Word 2013, Excel 2013 y PowerPoint 2013. También puede definir directivas de permisos IRM personalizadas para proporcionar distintos paquetes de derechos IRM a los usuarios de la organización.

Cree y administre plantillas de directiva de permisos a través del sitio de administración en el servidor de RMS o de AD RMS. Para obtener más información sobre cómo crear, configurar y publicar plantillas de directiva de permisos personalizadas, consulte la guía paso a paso para la implementación de plantillas de directiva de permisos de AD RMS. Para obtener más información sobre las reglas de protección de Exchange Server 2010 Outlook, consulte Reglas de protección de Outlook.

En las secciones siguientes se enumeran los derechos que puede incluir en las plantillas de directiva de permisos para Office 2013.

Cada derecho de permisos de IRM que figura en la tabla siguiente puede aplicarse con las aplicaciones de Office 2013 configuradas en una red que incluya un servidor que ejecute RMS o AD RMS.

Derechos de los permisos IRM

Derecho de IRM Descripción

Control total

Proporciona al usuario todos los derechos enumerados en esta tabla y el derecho a realizar cambios en los permisos relacionados con el contenido. La expiración no se aplica a usuarios con control total.

Ver

Permite al usuario abrir el contenido de IRM. Esto corresponde al acceso de lectura de la interfaz de usuario de Office 2013.

Editar

Permite al usuario configurar el contenido de IRM.

Guardar

Permite al usuario guardar un archivo.

Extraer

Permite al usuario realizar una copia de cualquier parte de un archivo y pegarla en el área de trabajo de otra aplicación.

Exportar

Permite al usuario guardar contenido en otro formato de archivo mediante el comando Guardar como. En función de la aplicación que usa el formato de archivo que seleccione, es posible que el contenido se guarde sin protección.

Imprimir

Permite al usuario imprimir el contenido de un archivo.

Permitir macros

Permite al usuario ejecutar macros en el contenido de un archivo.

Reenviar

Permite a un destinatario de correo electrónico reenviar un mensaje de correo electrónico de IRM y agregar o quitar los destinatarios de las barras Para: y Cc:.

Responder

Permite a los destinatarios de correo electrónico responder un mensaje de correo electrónico de IRM.

Responder a todos

Permite a los destinatarios de correo electrónico responder a todos los usuarios de las líneas Para: y Cc: de un mensaje de correo electrónico de IRM.

Ver permisos

Concede al usuario permiso para ver los derechos asociados a un archivo. Office ignora este derecho.

Office 2013 proporciona los siguientes grupos predefinidos de derechos que los usuarios pueden seleccionar cuando crean contenido de IRM. Las opciones están disponibles en el cuadro de diálogo Permiso para Word 2013, Excel 2013 y PowerPoint 2013. En la aplicación de Office, seleccione Archivo y después Información, presione el botón Proteger documento, seleccione Restringir acceso y después elija entre las opciones enumeradas, que la plantilla del servidor de Digital Rights Management ha rellenado. En la tabla siguiente se enumeran los grupos de permisos predefinidos.

Grupos de permisos predefinidos de lectura o cambio

Grupo de IRM predefinido Descripción

Lectura

Los usuarios que tienen permisos de lectura también cuentan con derechos de visualización.

Cambiar

Los usuarios con el permiso Cambiar tienen derechos para ver, editar, extraer y guardar.

En Outlook 2013, los usuarios pueden seleccionar el siguiente grupo predefinido de derechos cuando crean un elemento de correo electrónico. Para tener acceso a la opción desde el correo electrónico, seleccione Archivo, Información y después Establecer permisos. Elija entre las opciones enumeradas, que la plantilla del servidor Digital Rights Management rellenó. En la tabla siguiente se enumeran los grupos de permisos de correo electrónico predefinidos.

Grupo predefinido “No reenviar”

Grupo de IRM predefinido Descripción

No reenviar

En Outlook, el autor de un correo electrónico de IRM puede aplicar el permiso No reenviar a los usuarios en las barras Para: Cc: y Bcc:. Este permiso incluye los derechos para ver, editar, responder y responder a todos.

En Word 2013, Excel 2013 y PowerPoint 2013 pueden especificarse otros permisos. En Información, Proteger documento, elija Restricciones de edición. Para aplicar más opciones de restricción, elija Restringir permiso en la parte inferior del panel Restringir edición. Por ejemplo, los usuarios pueden especificar una fecha de expiración, limitar el permiso de otros usuarios para imprimir o copiar contenido, etc.

De forma predeterminada, Outlook permite que los mensajes puedan verse en un explorador que admita Rights Management.

Una vez completadas las plantillas de directiva de permisos, envíelas a un recurso compartido de servidor, donde todos los usuarios puedan tener acceso a ellas o copiarlas en una carpeta local del PC del usuario. La configuración de directiva de IRM que está disponible en el archivo de la plantilla de directiva de grupo de Office (Office15.admx) puede configurarse para que indique la ubicación en la que se almacenan las plantillas de directiva de derechos (ya sea de manera local o en un recurso compartido de servidor disponible). Para obtener más información, consulte Archivos de plantilla administrativa de Office 2013 (ADMX, ADML) y Herramienta de personalización de Office.

Puede bloquear muchas opciones para personalizar IRM con la plantilla de directiva de grupo de Office (Office15.admx). También puede usar la Herramienta de personalización de Office (OCT) para configurar opciones predeterminadas, lo que permite a los usuarios establecer la configuración. Además, existen opciones de configuración de IRM que solo se pueden configurar con las opciones de la clave del Registro.

En la siguiente tabla se enumeran las opciones que puede configurar para IRM en la directiva de grupo y utilizando OCT. En la directiva de grupo, estas opciones están disponibles en Configuración de usuario\Plantillas administrativas\Microsoft Office 2013\Administrar permisos restringidos. Las opciones de OCT se encuentran en las ubicaciones correspondientes de la página Modificar la configuración del usuario de OCT.

Configuración de IRM para la directiva de grupo o la OCT

Opción de IRM Descripción

Tiempo de espera de Active Directory en la consulta de una entrada para la expansión de grupos

Especifica el valor de tiempo de espera para consultar una entrada de Active Directory cuando expande un grupo.

Dirección URL de solicitud de permisos adicionales

Especifica la ubicación donde un usuario puede obtener más información acerca de cómo obtener acceso al contenido de IRM.

Permitir a los usuarios con versiones anteriores de Office leer con los exploradores…

Permite que usuarios sin Office 2013 puedan ver contenido con derechos administrados usando el complemento Rights Management para Windows Internet Explorer.

Expandir siempre los grupos de Office al restringir los permisos de los documentos

El nombre de grupo se expande automáticamente para mostrar a todos los miembros del grupo cuando los usuarios aplican permisos a un documento seleccionando un nombre de grupo en el cuadro de diálogo Permiso.

Requerir siempre que los usuarios se conecten para comprobar los permisos

Los usuarios que abren un documento de Office administrado con derechos deben conectarse a Internet o a una red de área local para confirmar por medio de RMS o de la cuenta Microsoft que tienen una licencia de IRM válida.

No permitir nunca a los usuarios especificar grupos al restringir el permiso a los documentos

Devuelve un error cuando los usuarios seleccionan un grupo en el cuadro de diálogo Permiso: "no se puede publicar contenido en listas de distribución. Solo se pueden especificar las direcciones de correo electrónico de los usuarios."

Impedir que los usuarios cambien permisos de contenido administrado con derechos

Si esta opción está habilitada, los usuarios pueden consumir contenido que ya incluye permisos de IRM, pero no pueden aplicar permisos de IRM al contenido nuevo ni configurar derechos en un documento.

Desactivar la interfaz de usuario de Information Rights Management

Deshabilita todas las opciones relacionadas con la administración de derechos dentro de la interfaz de usuario de todas las aplicaciones de Office.

Para obtener más información acerca de cómo personalizar estas opciones, consulte Configurar Information Rights Management en Office 2013.

Las opciones de configuración que se pueden establecer para IRM en el Registro figuran en las tablas siguientes.

La siguiente configuración del Registro de IRM se encuentra en HKCU\Software\Microsoft\Office\15.0\Common\DRM.

Opciones de clave del Registro de IRM

Entrada del Registro Tipo Valor Descripción

RequestPermission

DWORD

1 = La casilla está activada.

0 = La casilla está desactivada.

Esta clave del Registro alterna entre el valor predeterminado de la casilla de verificación Los usuarios pueden solicitar permisos adicionales a.

DoNotUseOutlookByDefault

DWORD

0 = Outlook se usa

1 = Outlook no se usa

El cuadro de diálogo Permiso usa Outlook para validar las direcciones de correo electrónico que se escriben en este cuadro de diálogo. Esto hace que se inicie una instancia de Outlook cuando se restringen permisos. Esta opción se deshabilita con la clave.

La siguiente configuración del Registro de IRM está ubicada en HKCU\Software\Microsoft\Office\15.0\Common\DRM\LicenseServers. No hay ninguna configuración de directiva de grupo correspondiente.

Configuración del Registro de IRM para servidores de licencias

Entrada del Registro Tipo Valor Descripción

LicenseServers

Clave/subárbol. Contiene valores DWORD que tienen el nombre de un servidor de licencias.

Se establece en la dirección URL del servidor. Si el valor de DWORD es 1, Office no solicitará la obtención de una licencia, solo la obtendrá.

Si el valor es cero o no hay entrada del Registro para dicho servidor, Office solicita una licencia.

Por ejemplo: si ‘http://contoso.com/_wmcs/licensing = 1’ es un valor para esta configuración, un usuario que intente obtener una licencia de este servidor para abrir un documento con derechos administrados no recibirá una solicitud de licencia.

La siguiente configuración del Registro de IRM está ubicada en HKCU\Software\Microsoft\Office\15.0\Common\Security. No hay ninguna configuración de directiva de grupo correspondiente.

Configuración del registro de IRM para la seguridad

Entrada del Registro Tipo Valor Descripción

DRMEncryptProperty

DWORD

1 = Los metadatos del archivo están cifrados.

0 = Los metadatos se almacenan en texto simple. El valor predeterminado es 0.

Especifica si desea cifrar todos los metadatos almacenados dentro de un archivo con derechos administrados.

Para formatos Open XML (por ejemplo, docx, xlsx, pptx, etc.), los usuarios pueden decidir si se cifran los metadatos de Office almacenados dentro de un archivo con derechos administrados. Los usuarios pueden cifrar todos los metadatos de Office. Esto incluye referencias de hipervínculos o dejar contenido como no cifrado, de modo que otras aplicaciones obtengan acceso a los datos.

Los usuarios pueden elegir cifrar los metadatos configurando una clave del Registro. Puede establecer una opción predeterminada para los usuarios mediante la implementación de la configuración del Registro. No hay ninguna opción para cifrar algunos de los metadatos: se cifran todos los metadatos o ninguno de ellos.

Además, la configuración del Registro DRMEncryptProperty no determina si se cifra el almacenamiento de metadatos de cliente que no son de Office, como el almacenamiento que se crea en SharePoint 2013.

Esta selección de cifrado no se aplica a Microsoft Office 2003 u otros formatos de archivo anteriores. Office 2013 administra formatos anteriores del mismo modo que Office 2007 y Microsoft Office 2003.

En Outlook 2013, los usuarios pueden crear y enviar mensajes de correo electrónico con permisos restringidos para evitar que los mensajes se reenvíen, se impriman, se copien o se peguen. Las presentaciones, los libros y los documentos de Office 2013 que se adjuntan a los mensajes con permiso restringido también se restringen automáticamente.

Como administrador de Outlook, puede configurar varias opciones para el correo electrónico de IRM, por ejemplo, deshabilitar IRM o configurar el almacenamiento en la memoria caché local de licencias.

Las siguientes opciones de configuración y características de IRM pueden resultar útiles al configurar la mensajería de correo electrónico con derechos administrados:

  • Configure el almacenamiento en caché automático para IRM.

  • Ayuda para aplicar un período de expiración a los mensajes de correo electrónico.

  • No use Outlook para validar direcciones de correo electrónico para permisos de IRM.

NotaNota:
Para deshabilitar IRM en Outlook, debe deshabilitar IRM para todas las aplicaciones de Office. No existe una opción independiente para deshabilitar IRM únicamente en Outlook.

Puede bloquear muchas opciones para personalizar IRM para Outlook con la plantilla de directiva de grupo de Outlook (Outlk15.admx) o la plantilla de directiva de grupo de Office (Office15.admx). O también puede establecer la configuración predeterminada para la mayoría de las opciones con la Herramienta de personalización de Office (OCT), que permite a los usuarios establecer la configuración. Las opciones de configuración de la OCT se encuentran en las ubicaciones correspondientes de la página Modificar configuración del usuario de la OCT.

Opciones de IRM de Outlook

Ubicación Opción de IRM Descripción

Microsoft Outlook 2013\Varios

No descargar información de licencia de permisos de derechos para correo electrónico de IRM durante la sincronización de la carpeta de Exchange

Habilite esta opción para evitar que la información de licencia se almacene en la memoria caché local. Si esta opción está habilitada, los usuarios deben conectarse a la red para recuperar información de licencia a fin de abrir los correos electrónicos con derechos administrados.

Microsoft Outlook 2010\Opciones de Outlook\Opciones de correo electrónico\Opciones avanzadas de correo electrónico

Al enviar un mensaje

Para aplicar una fecha de expiración de los correos electrónicos, habilite la opción e introduzca el número de días anteriores que deben transcurrir antes de que un mensaje expire. El período de expiración se aplica solo cuando los usuarios envían correo electrónico con derechos administrados. Después del período de expiración, no se puede obtener acceso al mensaje.

Para obtener más información acerca de cómo personalizar estas opciones, consulte Configurar Information Rights Management en Office 2013.

El cuadro de diálogo Permiso usa Outlook para validar las direcciones de correo electrónico que se escriben en este cuadro de diálogo. Esto hace que se inicie una instancia de Outlook cuando se restringen permisos. Esta opción se deshabilita con la clave del Registro que aparece en la siguiente tabla. No existe ninguna configuración de OCT o directiva de grupo para esta opción.

La siguiente configuración del Registro de IRM está ubicada en HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM.

Opciones de clave del Registro de IRM de Outlook

Entrada del Registro Tipo Valor Descripción

DoNotUseOutlookByDefault

DWORD

0 = Outlook se usa

1 = Outlook no se usa

Deshabilite la opción mediante el uso de esta clave.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft. Reservados todos los derechos.