Compartir a través de

Microsoft Entra configuración del contenido cifrado

Si protege elementos confidenciales como correos electrónicos y documentos mediante el cifrado del servicio de Azure Rights Management de Microsoft Purview Information Protection, hay algunas configuraciones de Microsoft Entra que pueden impedir el acceso autorizado a esto. contenido cifrado.

Del mismo modo, si los usuarios reciben correo electrónico cifrado de otra organización o colaboran con otras organizaciones que cifran documentos mediante el servicio Azure Rights Management, también denominado Azure RMS, es posible que los usuarios no puedan abrir ese correo electrónico o documento debido a cómo se configura su identificador de Microsoft Entra.

Por ejemplo:

  • Un usuario no puede abrir el correo electrónico cifrado enviado desde otra organización. O bien, un usuario informa de que los destinatarios de otra organización no pueden abrir un correo electrónico cifrado que les enviaron.

  • Su organización colabora con otra organización en un proyecto conjunto y los documentos del proyecto están protegidos mediante su cifrado, concediéndole acceso mediante grupos en Microsoft Entra identificador. Los usuarios no pueden abrir los documentos cifrados por los usuarios de la otra organización.

  • Los usuarios pueden abrir correctamente un documento cifrado cuando están en la oficina, pero no cuando intentan acceder a este documento de forma remota y se les solicita la autenticación multifactor (MFA).

Para asegurarse de que el acceso al servicio de cifrado no está bloqueado involuntariamente, use las secciones siguientes para ayudar a configurar el identificador de Microsoft Entra de la organización o retransmitir la información a un administrador de Microsoft Entra de otra organización. Sin acceso a este servicio, los usuarios no se pueden autenticar y no están autorizados para abrir contenido cifrado.

Configuración de acceso entre inquilinos y contenido cifrado

Importante

La configuración de acceso entre inquilinos de otra organización puede ser responsable de que los usuarios no puedan abrir el contenido cifrado por los usuarios o de que los usuarios no puedan abrir el contenido cifrado por la otra organización.

El mensaje que ven los usuarios indica qué organización bloqueó el acceso. Es posible que tenga que dirigir al administrador de Microsoft Entra de otra organización a esta sección.

De forma predeterminada, no hay nada que configurar para que la autenticación entre inquilinos funcione cuando los usuarios protegen el contenido mediante el cifrado del servicio Azure Rights Management. Sin embargo, la organización puede restringir el acceso mediante Microsoft Entra configuración de acceso entre inquilinos de identidades externas. Por el contrario, otra organización también puede configurar estas opciones para restringir el acceso con los usuarios de la organización. Esta configuración afecta a la apertura de los elementos cifrados, que incluyen correos electrónicos cifrados y documentos cifrados.

Por ejemplo, otra organización podría tener configuradas opciones que impiden que sus usuarios abran contenido cifrado por la organización. En este escenario, hasta que su administrador de Microsoft Entra vuelva a configurar su configuración entre inquilinos, un usuario externo que intenta abrir ese contenido ve un mensaje que le informa de que la organización bloquea el acceso con una referencia al administrador de inquilinos.

Mensaje de ejemplo para el usuario que inició sesión desde la organización fabrikam, Inc. cuando su identificador de Microsoft Entra local bloquea el acceso:

Mensaje de ejemplo cuando el inquilino de Microsoft Entra local bloquea el acceso al contenido cifrado.

Los usuarios verán un mensaje similar cuando sea la configuración de Microsoft Entra la que bloquee el acceso.

Desde la perspectiva del usuario que ha iniciado sesión, si es otra organización Microsoft Entra responsable de bloquear el acceso, la organización bloquea los cambios de mensaje en Access y muestra el nombre de dominio de esa otra organización en el cuerpo del mensaje. Por ejemplo:

Mensaje de ejemplo cuando otro inquilino de Microsoft Entra bloquea el acceso al contenido cifrado.

Siempre que la configuración de acceso entre inquilinos restrinja el acceso por parte de las aplicaciones, se deben configurar para permitir el acceso al servicio rights management, que tiene el siguiente identificador de aplicación:

00000012-0000-0000-c000-000000000000

Si no se permite este acceso, los usuarios no se pueden autenticar ni autorizar para abrir contenido cifrado. Esta configuración se puede establecer como una configuración predeterminada y como una configuración organizativa:

  • Para permitir el uso compartido de contenido cifrado con otra organización, cree una configuración de entrada que permita el acceso a Microsoft Rights Management Service (identificador: 00000012-0000-0000-c000-0000000000).

  • Para permitir el acceso al contenido cifrado que los usuarios reciben de otras organizaciones, cree una configuración de salida que permita el acceso a Microsoft Rights Management Service (id.: 00000012-0000-0000-c0000-00000000000)

Cuando se configuran estas opciones para el servicio de cifrado, la aplicación muestra Microsoft Rights Management Services.

Para obtener instrucciones sobre cómo configurar estas opciones de acceso entre inquilinos, consulte Configuración del acceso entre inquilinos para la colaboración B2B.

Si ha configurado Microsoft Entra directivas de acceso condicional que requieren autenticación multifactor (MFA) para los usuarios, consulte la sección siguiente sobre cómo configurar el acceso condicional para el contenido cifrado.

Directivas de acceso condicional y documentos cifrados

Si su organización ha implementado Microsoft Entra directivas de acceso condicional que incluyen Microsoft Rights Management Services y la directiva se extiende a usuarios externos que necesitan abrir documentos cifrados por su organización:

  • Para los usuarios externos que tienen una cuenta de Microsoft Entra en su propio inquilino, se recomienda usar la configuración de acceso entre inquilinos de identidades externas para configurar la configuración de confianza para las notificaciones de MFA de una, varias o todas las organizaciones Microsoft Entra externas.

  • Para los usuarios externos que no están cubiertos por la entrada anterior, por ejemplo, los usuarios que no tienen una cuenta de Microsoft Entra o que no han configurado la configuración de acceso entre inquilinos para la configuración de confianza, estos usuarios externos deben tener una cuenta de invitado en el inquilino.

Sin una de estas configuraciones, los usuarios externos no pueden abrir el contenido cifrado y ver un mensaje de error. El texto del mensaje podría informarles de que su cuenta debe agregarse como un usuario externo en el inquilino, con la instrucción incorrecta de este escenario para cerrar sesión e iniciar sesión de nuevo con una cuenta de usuario Microsoft Entra diferente.

Si no puede cumplir estos requisitos de configuración para los usuarios externos que necesitan abrir contenido cifrado por su organización, debe quitar Microsoft Rights Management Services de las directivas de acceso condicional o excluir usuarios externos de las directivas.

Para obtener más información, consulte la pregunta más frecuente: veo que Microsoft Rights Management Services aparece como una aplicación en la nube disponible para el acceso condicional, ¿cómo funciona esto?

Cuentas de invitado para que los usuarios externos abran documentos cifrados

Es posible que necesite cuentas de invitado en el inquilino de Microsoft Entra para que los usuarios externos abran documentos cifrados por su organización. Opciones para crear las cuentas de invitado:

  • Cree estas cuentas de invitado usted mismo. Puede especificar cualquier dirección de correo electrónico que estos usuarios ya utilicen. Por ejemplo, su dirección de Gmail.

    La ventaja de esta opción es que puedes restringir el acceso y los derechos a usuarios específicos especificando su dirección de correo electrónico en la configuración de cifrado. El inconveniente es la sobrecarga administrativa para la creación de la cuenta y la coordinación con la configuración de la etiqueta.

  • Use la integración de SharePoint y OneDrive con Microsoft Entra B2B para que las cuentas de invitado se creen automáticamente cuando los usuarios compartan vínculos.

    La ventaja de esta opción es que la carga administrativa es mínima, ya que las cuentas se crean automáticamente, y la configuración de las etiquetas es más sencilla. Para este escenario, debe seleccionar la opción de encriptación Agregar cualquier usuario autentificado porque no conocerá las direcciones de correo electrónico de antemano. El inconveniente es que esta configuración no permite restringir los derechos de acceso y uso a usuarios específicos.

Los usuarios externos también pueden utilizar una cuenta de Microsoft para abrir documentos encriptados cuando utilizan Windows y las Aplicaciones de Microsoft 365 (las que antes eran aplicaciones de Office 365) o la edición independiente de Office 2019. Más recientemente, las cuentas de Microsoft también son compatibles con la apertura de documentos cifrados en macOS (Aplicaciones de Microsoft 365, versión 16.42+), Android (versión 16.0.13029+) e iOS (versión 2.42+).

Por ejemplo, un usuario de su organización comparte un documento encriptado con un usuario externo a su organización, y la configuración de encriptación especifica una dirección de correo electrónico de Gmail para el usuario externo. Este usuario externo puede crear su propia cuenta de Microsoft que utiliza su dirección de correo electrónico de Gmail. A continuación, tras iniciar sesión con esta cuenta, pueden abrir el documento y editarlo, según las restricciones de uso especificadas para ellos. Para ver un ejemplo de este escenario, consulte Abrir y editar el documento protegido.

Nota:

La dirección de correo electrónico de la cuenta Microsoft debe coincidir con la dirección de correo electrónico especificada para restringir el acceso a la configuración de cifrado.

Cuando un usuario con una cuenta de Microsoft abre un documento encriptado de esta manera, se crea automáticamente una cuenta de invitado para el inquilino si no existe ya una cuenta de invitado con el mismo nombre. Cuando existe la cuenta de invitado, se puede usar para abrir documentos en SharePoint y OneDrive mediante Office para la Web, además de abrir documentos cifrados desde las aplicaciones de Office móviles y de escritorio compatibles.

Sin embargo, la cuenta de invitado automática no se crea inmediatamente en este escenario, debido a la latencia de replicación. Si especifica direcciones de correo electrónico personales como parte de la configuración de cifrado, se recomienda crear las cuentas de invitado correspondientes en Microsoft Entra id. A continuación, haga saber a estos usuarios que deben usar esta cuenta para abrir un documento cifrado desde su organización.

Sugerencia

Dado que no puede estar seguro de que los usuarios externos usarán una aplicación cliente de Office compatible, compartir vínculos desde SharePoint y OneDrive después de crear cuentas de invitado (para usuarios específicos) o al usar la integración de SharePoint y OneDrive con Microsoft Entra B2B (para cualquier usuario autenticado) es un método más confiable para admitir la colaboración segura con usuarios externos.

Configuración de acceso entre nubes y contenido cifrado

La configuración de acceso entre inquilinos permite el acceso entre nubes a documentos cifrados. Como resultado, los usuarios que forman parte de una organización en otro entorno en la nube pueden abrir archivos de Word, Excel y PowerPoint cifrados por su organización. Por ejemplo, estos usuarios pueden estar en Microsoft Azure Government o Microsoft Azure China (operado por 21Vianet).

Escenarios admitidos

Los siguientes escenarios se admiten durante la versión preliminar pública:

  • Las organizaciones de la nube comercial de Microsoft Azure pueden permitir el acceso a organizaciones en la nube de Microsoft Azure Government o en la nube de Microsoft Azure China (operada por 21Vianet) sin ponerse en contacto con Microsoft.
  • Las organizaciones de la nube de Microsoft Azure China (operada por 21Vianet) pueden permitir el acceso a las organizaciones de la nube comercial de Microsoft Azure sin ponerse en contacto con Microsoft.
  • Los archivos cifrados Word, Excel y PowerPoint se pueden compartir con los usuarios de otro entorno en la nube y visualizarse en dispositivos Windows, MacOS y móviles. Este escenario no se aplica a los archivos compartidos a través de vínculos de uso compartido de SharePoint o OneDrive, sino a métodos como datos adjuntos de correo electrónico directos, unidad USB, recurso compartido de archivos o compartidos y descargados de SharePoint.
  • Los archivos PDF cifrados y los archivos cifrados genéricamente (extensión .pfile) se pueden compartir con los usuarios de otro entorno en la nube y visualizarse mediante el Visor de Microsoft Purview Information Protection en Windows.
  • El usuario puede ser, pero no es necesario que sea, un invitado de su organización.
  • Los usuarios y dominios externos se pueden configurar para las etiquetas de confidencialidad que aplican cifrado cuando se usan permisos definidos por el administrador o que los usuarios especifican cuando las etiquetas están configuradas para permisos definidos por el usuario.

Escenarios no admitidos

  • Email no se admite, incluidos todos los clientes de Outlook.
  • Actualmente no se admiten visores de PDF, como Microsoft Edge o Adobe Acrobat.

Requisitos

  • Aplicaciones Microsoft 365 versión 2402 o posterior o Microsoft Office 2024.
  • Microsoft Purview Information Protection cliente 3.1.310.0 o posterior.
  • Los administradores de ambos lados deben:
    • Configuración del acceso entre inquilinos para habilitar el acceso entre nubes
    • Adición de la organización asociada como organización permitida
  • Los usuarios que abren archivos cifrados deben tener asignada una dirección de correo electrónico.

Configuración de acceso entre inquilinos: habilitar la colaboración entre nubes

Se requiere un paso único para habilitar la colaboración en diferentes entornos de nube:

  1. En el centro de administración de Microsoft Entra, vaya a Identidades externasConfiguración de acceso entre inquilinos>.
  2. Seleccione Configuración de la nube de Microsoft.
  3. Seleccione el entorno de nube que necesita habilitar para la colaboración:
    • Las organizaciones de la nube comercial ven Microsoft Azure Government y Microsoft Azure China (operados por 21Vianet).
    • Las organizaciones en una nube soberana solo ven Microsoft Azure Commercial Cloud.
  4. Seleccione el entorno en la nube donde se hospeda la organización de asociados y seleccione Guardar.

Nota:

Ambas organizaciones deben completar este paso y seleccionar la nube de asociados.

Configuración de acceso entre inquilinos: Configuración de la organización

Para configurar las opciones de la organización:

  1. En el centro de administración de Microsoft Entra, vaya a Identidades externasConfiguración de acceso entre inquilinos>.
  2. Seleccione Configuración de la organización.
  3. Seleccione Agregar organización.
  4. Escriba el identificador de inquilino de Microsoft Entra de la organización asociada.
  5. Seleccione Agregar.

El identificador de inquilino se muestra en la sección Información general del centro de administración de Microsoft Entra y la organización asociada debe proporcionarlo.

Configuración de acceso entre inquilinos: Confiar en notificaciones de MFA externas

Si los usuarios externos no están invitados como invitados, la configuración de confianza entrante debe configurarse para confiar en las notificaciones de MFA externas. Si se invita a los usuarios como invitados y confía en las notificaciones de MFA externas, se recomienda excluir a los usuarios externos del registro de MFA en su organización.

Revise Administrar la configuración de acceso entre inquilinos para la colaboración B2B para obtener detalles de configuración.

Configuración de acceso entre inquilinos: configuración de acceso entrante y saliente

Los pasos anteriores son suficientes para permitir que ambas organizaciones consuman contenido protegido de la organización asociada. Si desea restringir el collab entre nubes para permitir solo el descifrado de documentos, excepto otros servicios, o para establecer la relación unidireccional, revise la configuración de acceso entre inquilinos y el contenido cifrado.

Cambios en el uso compartido basado en dominio

Cuando el escenario de cifrado se limita al mismo entorno de nube, la especificación de un único dominio para la configuración de cifrado de etiquetas da como resultado la autenticación y autorización de todos los usuarios de la organización propietaria del dominio especificado, independientemente del dominio de correo electrónico de los usuarios. Para obtener más información sobre este acceso basado en dominio, consulte la nota de Restricción del acceso al contenido mediante etiquetas de confidencialidad para aplicar el cifrado.

Sin embargo, la funcionalidad entre nubes se basa en los datos insertados en los tokens de acceso de Entra. La característica usa dos notificaciones opcionales: verified_primary_email y verified_secondary_email.

Durante la autorización, estas notificaciones se extraen y evalúan con respecto a los permisos definidos en la etiqueta. Cuando el servicio rights management evalúa el acceso basado en dominio, solo puede evaluar los sufijos de correo electrónico proporcionados en el token de acceso. Esto da como resultado un escenario en el que los permisos definidos por el administrador o los permisos definidos por el usuario deben contener un nombre de dominio que se asigne exactamente al sufijo de correo electrónico de un usuario.

Problemas comunes entre nubes

Los usuarios externos ven "El acceso está bloqueado por la organización" cuando intentan abrir archivos cifrados

La configuración de acceso entre inquilinos no está configurada correctamente en uno o ambos lados. Revise la sección Configuración de acceso entre inquilinos y contenido cifrado de esta página y los ejemplos específicos de la nube cruzada.

AADSTS90072: Los usuarios de Nonguest ven "La cuenta de usuario {user@contoso.com} del proveedor de identidades 'microsoftonline.com' no existe en..."

Este error indica que las notificaciones de MFA externas no son de confianza. Para obtener más información sobre la configuración, consulte Administración de la configuración de acceso entre inquilinos para la colaboración B2B.

Pasos siguientes

Para ver las configuraciones adicionales que puede que necesite realizar, consulte Restricción del acceso a un inquilino. Específico de la configuración de la infraestructura de red para el servicio Azure Rights Management, consulte Firewalls e infraestructura de red.

Si usa etiquetas de confidencialidad para cifrar documentos y correos electrónicos, es posible que le interese soporte técnico para usuarios externos y contenido etiquetado para comprender qué configuración de etiquetas se aplica a todos los inquilinos. Para obtener instrucciones de configuración para la configuración de cifrado de etiquetas, consulte Restricción del acceso al contenido mediante etiquetas de confidencialidad para aplicar el cifrado.

¿Le interesa saber cómo y cuándo se accede al servicio de cifrado? Consulte Tutorial sobre cómo funciona el servicio: Primer uso, cifrado de contenido, consumo de contenido.

  • Last updated on