Proteger el correo de voz en Exchange Server

  • Artículo

Se aplica a: Exchange Server 2013, Exchange Server 2016

Algunos sistemas de telefonía heredados de central de conmutación (PBX) e IP PBX permiten al autor de la llamada marcar un mensaje de correo de voz como privado, evitando que el destinatario deseado pueda reenviarlo. En sistemas de correo de voz integrados es posible tener acceso de diversos modos a un mensaje de voz, lo que hace más difícil evitar que otras personas tengan acceso a mensajes de voz marcados como privados.

La mensajería unificada (UM) se puede configurar para usar Active Directory Rights Management Services (AD RMS) para proteger los mensajes de voz de una organización. Esta característica se conoce como correo de voz protegido.

Cuando un mensaje de voz está protegido, no solo se impide que el destinatario reenvíe el mensaje, sino que la mensajería unificada garantiza que solo los destinatarios designados tengan acceso al contenido del mensaje. Puede tener acceso a los mensajes de voz protegidos mediante Microsoft Outlook 2010 o posterior, Outlook Web App o Outlook Voice Access.

Introducción al correo de voz protegido

La característica Correo de voz protegido está disponible con Exchange 2010 y versiones posteriores de mensajería unificada (UM). Se puede configurar en una directiva de buzón de mensajería unificada y toda la configuración de Correo de voz protegido se puede configurar mediante el Consola de administración de Exchange o el Shell en Exchange 2010 o mediante el Centro de administración de Exchange (EAC) o los cmdlets del Shell en Exchange 2013.

El correo de voz protegido se implementa aplicando Information Rights Management (IRM) a los mensajes de voz. Cuando los mensajes de voz están protegidos con mensajería unificada:

  • Los usuarios pueden responder a mensajes de voz protegidos.
  • Los destinatarios de un mensaje de voz no pueden reenviarlo.
  • Los usuarios no pueden guardar una copia del mensaje de voz.
  • Los usuarios no pueden guardar ni copiar el audio adjunto del mensaje de voz.
  • Solo el destinatario o los destinatarios deseados pueden abrir los mensajes de correo de voz.

Los mensajes de voz de contestador automático y los mensajes de voz interpersonales (los que se envían a un usuario mediante Outlook Voice Access) se pueden proteger mediante mensajería unificada. Sin embargo, la protección no se aplicará a los siguientes tipos de mensaje:

  • Mensajes de fax.
  • Mensajes que no son de voz. Por ejemplo, mensajes de correo electrónico o convocatorias de reunión, aunque se hayan creado con Outlook Voice Access (respuestas de voz).

Introducción a Active Directory Rights Management Services

AD RMS, un componente de Windows Server 2008 y versiones posteriores, está disponible para ayudar a proteger los archivos para que solo los usuarios que el remitente pretende ver un archivo puedan hacerlo. AD RMS protege los archivos especificando los derechos que un usuario necesita para tener acceso a ellos. Es posible configurar los derechos para permitir que los usuarios abran, modifiquen, impriman, reenvíen o realicen otras acciones con la información cuyos derechos se administran. Con AD RMS puede proteger datos al distribuirlos fuera de su red.

Un sistema AD RMS tiene un componente servidor y un componente cliente, que incluyen lo siguiente:

  • Servidor que tiene instalado Windows Server 2008 R2 o una versión posterior que ejecuta el rol de servidor Active Directory Rights Management Services, que controla los certificados y las licencias.
  • Un servidor de base de datos.
  • El cliente AD RMS. La versión más reciente del cliente de AD RMS se incluye como parte de los sistemas operativos Windows 7 y Windows 8.

El componente de servidor se compone de varios servicios web que se ejecutan en un servidor de Microsoft, como Windows Server 2008 o una versión posterior. El componente cliente puede ejecutarse en un sistema operativo cliente o servidor; asimismo, incluye funciones con las cuales una aplicación puede cifrar y descifrar contenido, recuperar plantillas y listas de revocación, y obtener licencias y certificados de un servidor.

Con AD RMS y el cliente AD RMS, se puede fortalecer la estrategia de seguridad de una organización protegiendo información mediante políticas constantes de uso que siguen unidas a la información con independencia de adónde se mueva. Puede usar AD RMS para ayudar a evitar que la información confidencial (como informes financieros, especificaciones de productos, datos de clientes y mensajes de correo electrónico y de voz confidenciales) entre intencionada o accidentalmente en las manos equivocadas. Para obtener información detallada, consulte Introducción a AD RMS.

En la mensajería unificada de Exchange, puede usar las características de Information Rights Management (IRM) para aplicar protección permanente a mensajes y datos adjuntos.

Al usar las características de IRM y correo de voz protegido, la organización y los usuarios pueden controlar los derechos de los destinatarios para tener acceso a los mensajes de correo electrónico y de correo de voz. IRM también puede usarse para restringir las acciones de los destinatarios como reenviar un mensaje, imprimir un mensaje o los datos adjuntos o extraer el contenido de un mensaje o los datos adjuntos mediante copiar y pegar.

Requisitos de IRM

Antes de poder implementar IRM en Exchange, instale y configure la infraestructura AD RMS. Para obtener información detallada, consulte Active Directory Rights Management Services. Para implementar IRM con el fin de admitir correo de voz protegido en la organización de Exchange, la organización debe cumplir con los requisitos siguientes.

Servidor Requisito
Clúster de AD RMS
  • Windows Server 2008 R2 Standard o Enterprise con SP1 o Windows Server 2012 Standard o Datacenter. Para obtener más información sobre los requisitos del sistema, consulte Requisitos del sistema de Exchange 2013.
  • Punto de conexión de servicio (SCP): las aplicaciones compatibles con Exchange 2013 y AD RMS usan el SCP registrado en Active Directory para detectar clústeres y direcciones URL de AD RMS. AD RMS le permite registrar el SCP dentro de la configuración de AD RMS. Si la cuenta usada para configurar AD RMS no es miembro del grupo de seguridad Administradores de empresa, el registro scp se puede realizar después de la instalación. Solo hay un SCP para AD RMS en un bosque de Active Directory.
  • Permisos: a los servidores del grupo de servidores de Exchange o a los servidores de Exchange individuales se les deben asignar permisos de lectura y ejecución a la canalización de certificación del servidor de AD RMS. La ruta de acceso predeterminada es \inetpub\wwwroot_wmcs\certification\ServerCertification.asmx en los servidores de AD RMS.
  • Superusuarios de AD RMS: para habilitar el descifrado de transporte, el descifrado de informes de diario, IRM en Outlook Web App e IRM para Exchange Search, debe agregar el buzón de entrega federada, un buzón de sistema creado por el programa de instalación de Exchange, al grupo de superusuarios de AD RMS en el clúster de AD RMS. Para obtener información, vea Add the Federation Mailbox to the AD RMS Super Users Group.

Configuración y prueba de IRM

Para configurar las características de IRM debe usar el Shell. Para configurar las características de IRM, use el cmdlet Set-IRMConfiguration. Para obtener más información sobre cómo configurar características de IRM, consulte Procedimientos de Information Rights Management.

Después de configurar el servidor de Exchange, puede usar el cmdlet Test-IRMConfiguration para realizar pruebas de un extremo a otro de la implementación de IRM. Este cmdlet comprueba la configuración IRM para una organización y debe ejecutarse antes de activar el correo de voz protegido. El cmdlet Test-IRMConfiguration realiza las siguientes pruebas:

  • Inspecciona la configuración de IRM para la organización de Exchange.
  • Comprueba el servidor de AD RMS para obtener información sobre la versión y la revisión.
  • Comprueba si un servidor exchange se puede activar para RMS mediante la recuperación de un certificado de cuenta de derechos y un certificado de licencia de cliente (CLC).
  • Obtiene plantillas de directiva de derechos de AD RMS desde el servidor de AD RMS.
  • Comprueba si el remitente especificado puede enviar mensajes protegidos con IRM.
  • Recupera una licencia de uso de superusuario para el destinatario especificado.
  • Obtiene una licencia previa para el destinatario especificado.

Características de usuario final y de soporte de cliente

El software de cliente de correo electrónico que se usa para escuchar un mensaje de correo de voz debe ser compatible con IRM y saber cómo leer un mensaje de voz protegido por mensajería unificada. Email clientes compatibles incluyen Microsoft Outlook 2010 o versiones posteriores, Outlook Web App y Outlook Voice Access. La siguiente tabla contiene una lista de clientes de correo electrónico e indica si son compatibles.

Cliente de correo electrónico Descripción
Outlook
  • Los mensajes de voz protegidos son compatibles en Outlook 2010 y versiones posteriores.
Outlook Web App
  • Outlook Web App en Exchange 2010 o versiones posteriores admite mensajes de Correo de voz protegido. Las versiones anteriores de Outlook Web App, conocidas como Outlook Web Access, no las admiten.
Outlook Voice Access
  • Outlook Voice Access en Exchange 2010 y versiones posteriores admite correo de voz protegido. Outlook Voice Access incluido con Exchange 2007 no admite correo de voz protegido.
  • El buzón del usuario debe residir en un servidor de buzones en Exchange 2010 o en una versión posterior.
Exchange ActiveSync
  • El correo de voz protegido es compatible con Exchange 2010 SP1 y versiones posteriores.
Otros clientes de correo electrónico
  • No se admite correo de voz protegido.

Estructura de mensajes de voz protegidos

En cada mensaje de correo de voz protegido intervienen realmente dos mensajes. El primer mensaje es el mensaje externo, que no está cifrado. Contiene un archivo de datos adjuntos llamado message.rpmsg. Los datos adjuntos contienen el mensaje de voz protegido por IRM y datos de control de administración de derechos internos. Los datos de control de administración de derechos incluyen una clave de contenido e información de derechos que especifican quién tiene acceso al mensaje de voz y cómo puede hacerlo.

Los mensajes de voz protegidos se muestran en la bandeja de entrada del usuario, en la carpeta de búsqueda Correo de voz. El usuario puede escuchar los mensajes de voz utilizando el reproductor de sonido integrado como si fuera un mensaje de voz normal, con la excepción de que el botón de reenviar está desactivado y se muestra una nota en la parte superior del mensaje indicando que está protegido y que no puede reenviarse.

En los clientes de correo electrónico que no admite el correo de voz protegido, se muestra el cuerpo del mensaje externo. Los administradores pueden incluir texto cuando el software del cliente no admita el correo de voz protegido usando las directivas de buzones de correo de mensajería unificada. Puede personalizar el texto predefinido que se incluye en el mensaje de correo electrónico configurando una directiva de buzones de correo de mensajería unificada. Por ejemplo, podría configurar la directiva de buzón de mensajería unificada con texto personalizado como:

No puede abrir este mensaje de correo de voz porque está protegido. Para ver o escuchar este mensaje de voz, inicie sesión en el buzón en https://mail.contoso.com o llame a +1 (425) 555-1234 para llamar a Outlook Voice Access.

Componer un mensaje de correo de voz protegido

Hay dos situaciones en las que se pueden crear mensajes de voz protegidos:

  • Respuesta de llamadas: la respuesta a llamadas se produce cuando un llamador llama a un usuario habilitado para mensajería unificada, pero el usuario no está disponible para responder a la llamada o la reenvía directamente al correo de voz. En este caso, el sistema de correo de voz reproducirá una serie de instrucciones después de que el autor de la llamada grabe su mensaje de voz.

    Podrá elegir entre diferentes opciones, como la posibilidad de marcar el mensaje de voz como privado presionando la tecla almohadilla (#). Si el autor de la llamada presiona la tecla #, puede seguir las instrucciones de la mensajería unificada para marcar el mensaje como privado, quitarle la marca de privado o marcarlo como mensaje de importancia alta. En el siguiente diagrama se exponen las opciones del menú a disposición del autor de la llamada al dejar un mensaje de voz privado para un usuario.

    Nota:

    En las llamadas de contestador automático, la mensajería unificada usa la configuración del correo de voz protegido de las directivas de buzones de correo de mensajería unificada del destinatario del mensaje, porque no se comprueba la identidad del autor de la llamada.

    Cree un correo de voz protegido mediante la respuesta a llamadas.

  • Outlook Voice Access: Outlook Voice Access permite a los usuarios habilitados para mensajería unificada acceder a su buzón mediante teléfonos analógicos, digitales o móviles marcando su número de Outlook Voice Access. Existen dos interfaces de usuario de mensajería unificada disponibles para los usuarios que tienen habilitada la mensajería unificada: la interfaz de usuario de teléfono (TUI) y la interfaz de usuario de voz (VUI).

    Los usuarios de Outlook Voice Access pueden buscar contactos en el directorio y enviarles mensajes de voz. Si se activa el correo de voz protegido para usuarios con mensajería unificada habilitada, el autor de la llamada puede marcar los mensajes como privados después de grabarlos. Alternativamente, los administradores pueden configurar una directiva de buzón de mensajería unificada para garantizar que todos los mensajes de voz enviados por usuarios autenticados están protegidos por mensajería unificada.

    Nota:

    Si se autentica el autor de la llamada, se aplican los ajustes de correo de voz protegido de su directiva de buzones de correo de mensajería unificada, independientemente de los ajustes del destinatario del mensaje de voz.

    Cree un correo de voz protegido mediante la interfaz de voz.

    Cree un correo de voz protegido mediante la entrada de touchtone.

Directivas de buzón de mensajería unificada

Puede crear una directiva de buzones de correo de mensajería unificada para aplicar un conjunto común de opciones de directiva de mensajería unificada, como opciones de directiva del PIN, restricciones de marcado y ajustes de correo de voz protegido para una serie de buzones de correo con mensajería unificada habilitada. Para más información sobre las directivas de buzón de mensajería unificada, consulte Administración de una directiva de buzón de mensajería unificada.

Puede usar el EAC o el cmdlet Set-UMMailboxPolicy en el Shell para configurar las opciones de correo de voz protegido. En la siguiente tabla se muestra la configuración del correo de voz protegido que puede definirse.

Parámetro de Shell ¿La configuración está disponible en el EAC? Descripción
ProtectAuthenticatedVoiceMail Yes El parámetro ProtectAuthenticatedVoiceMail especifica si los usuarios habilitados para mensajería unificada pueden enviar mensajes de voz protegidos cuando acceden a su buzón mediante Outlook Voice Access. La configuración predeterminada es None. Esto indica que no se aplica protección al componer el mensaje de voz y que el autor de la llamada no puede marcarlo como privado. Si el valor está establecido en Private, solo se protegen los mensajes marcados como Privados por el autor de la llamada. Si el valor se establece en All, cada mensaje de voz está protegido, independientemente de la opción elegida por el autor de la llamada.
ProtectUnauthenticatedVoiceMail El parámetro ProtectUnauthenticatedVoiceMail especifica si los servidores de buzones de correo que responden a llamadas a usuarios habilitados para mensajería unificada asociados a una directiva de buzón de mensajería unificada crean mensajes de voz protegidos. Esto también se aplica cuando se envía un mensaje desde un operador automático de mensajería unificada a un usuario habilitado para UM. La configuración predeterminada es None. Esto indica que no se aplica protección a los mensajes de voz y que el autor de la llamada no puede marcarlo como privado. Si el valor está establecido en Private, solo se protegen los mensajes marcados como Privados por el autor de la llamada. Si el valor se establece en All, cada mensaje de voz está protegido, independientemente de si el autor de la llamada ha marcado el mensaje como privado.
ProtectedVoiceMailText Yes El parámetro ProtectedVoiceMailText especifica el texto que se va a incluir en el cuerpo del mensaje externo de un mensaje de correo de voz protegido. El texto se mostrará en todos los clientes de correo electrónico que no admitan mensajes de correo de voz protegido. Tenga en cuenta que la mensajería unificada siempre proporciona un mensaje predeterminado cuando esta propiedad está establecida en Null o está vacía.
RequireProtectedPlayOnPhone El parámetro RequireProtectedPlayOnPhone especifica si los usuarios asociados a la directiva de buzón de mensajería unificada se verán obligados a escuchar el mensaje de voz protegido por teléfono (mediante Play On Phone). El valor predeterminado es $false. When the value is set to $true, the audio media player on Protected Voice Mail forms in Outlook or Outlook Web App will be shown as disabled. Tenga en cuenta que siempre se puede acceder al texto de vista previa del mensaje de voz. El usuario no puede reproducir el archivo de audio con ningún software de reproductor multimedia ni usar el reproductor multimedia incrustado para escuchar el mensaje de voz.
AllowVoiceResponseToOtherMessageTypes Yes El parámetro AllowVoiceResponseToOtherMessageTypes especifica si los autores de llamadas que se han autenticado en Outlook Voice Access para acceder a su correo electrónico podrán redactar una respuesta de voz a mensajes de correo electrónico y convocatorias de reunión.

Para obtener más información sobre cómo administrar la configuración del Correo de voz protegido, vea Procedimientos de correo de voz protegido o Set-UMMailboxPolicy.

Notificaciones de mensaje de texto y correo de voz protegido

Los usuarios que configuran la cuenta de mensajería unificada para enviar notificaciones de mensaje de texto (conocidas como notificaciones SMS) a su teléfono móvil cada vez que se reciben mensajes de voz recibirán también una transcripción (vista previa del correo de voz) como parte del mensaje de texto. Esto supone un problema de seguridad para los mensajes de voz protegidos, porque el contenido de los mensajes de voz debería estar siempre protegido.

Cuando la mensajería unificada crea una notificación de mensaje de texto para un mensaje de voz protegido, comprueba si el mensaje de voz está marcado como privado. Si lo está, no incluirá la transcripción del texto de audio en el mensaje de texto que se envía al teléfono móvil. El texto siguiente se incluirá en el mensaje de texto en su lugar:

Use Outlook Voice Access para acceder a este mensaje de correo de voz protegido.