Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los derechos de uso que puede configurar para que se apliquen automáticamente cuando los usuarios, administradores o servicios configurados seleccionan una etiqueta de confidencialidad de Microsoft Purview Information Protection.
Los derechos de uso se seleccionan al configurar etiquetas de confidencialidad o plantillas de administración de derechos para el cifrado. Por ejemplo, puede seleccionar roles que configuren una agrupación lógica de derechos de uso o configurar los derechos individuales por separado. Como alternativa, los usuarios pueden seleccionar y aplicar los propios derechos de uso.
Importante
Use este artículo para comprender cómo se diseñan los derechos de uso para que las aplicaciones lo interpreten.
Las aplicaciones pueden variar en la forma en que implementan los derechos de uso y se recomienda consultar la documentación de la aplicación y realizar sus propias pruebas para comprobar el comportamiento de la aplicación antes de realizar la implementación en producción.
Derechos de uso y descripciones
En la tabla siguiente se enumeran y describen los derechos de uso que admite Rights Management y cómo se usan e interpretan. Se enumeran por su nombre común, que normalmente es cómo puede ver el derecho de uso mostrado o al que se hace referencia, como una versión más fácil de usar del valor de palabra única que se usa en el código (el valor Codificación en la directiva ).
En esta tabla:
Constante de API o Valor es el nombre del SDK para una llamada a la API del SDK de MSIPC o Microsoft Information Protection, que se usa al escribir una aplicación que comprueba un derecho de uso o agrega un derecho de uso a una directiva.
Los nombres de las plantillas de AD RMS se incluyen para los clientes que realizan o migran desde la solución de administración de derechos local, Active Rights Management Services.
| Derecho de uso | Descripción | Implementación |
|---|---|---|
| Nombre común: Editar contenido, Editar Codificación en la directiva: DOCEDIT |
Permite al usuario modificar, reorganizar, dar formato o ordenar el contenido dentro de la aplicación, lo que incluye Office en la Web. No concede el derecho de guardar la copia editada. | Derechos personalizados de Office: como parte de las opciones Cambiar y Control total . Nombre en el portal de Microsoft Purview: Editar contenido, Editar (DOCEDIT) Nombre en plantillas de AD RMS: Editar Constante o valor de API: MSIPC: No aplicable. SDK de MIP: DOCEDIT |
| Nombre común: Guardar Codificación en la directiva: EDIT |
Permite al usuario guardar el elemento en la ubicación actual. En Office en la Web, también permite al usuario editar el contenido. En las aplicaciones de Office, este derecho permite al usuario guardar el contenido del archivo en una nueva ubicación y con un nuevo nombre si el formato de archivo seleccionado tiene compatibilidad integrada con Rights Management. La lista de formatos de archivo disponibles está restringida a los que admiten Rights Management. Esta restricción garantiza que el cifrado original no se pueda quitar del archivo. |
Derechos personalizados de Office: como parte de las opciones Cambiar y Control total . Nombre en el portal de Microsoft Purview: Guardar (EDITAR) Nombre en plantillas de AD RMS: Guardar Constante o valor de API: MSIPC: IPC_GENERIC_WRITE L"EDIT"SDK de MIP: EDIT |
| Nombre común: Comentario Codificación en la directiva: COMMENT |
Habilita la opción para agregar anotaciones o comentarios al contenido. Este derecho está disponible en el SDK, está disponible como una directiva ad hoc en el módulo de PowerShell PurviewInformationProtection y se ha implementado en algunas aplicaciones de proveedor de software. Sin embargo, no se usa ampliamente y no es compatible con las aplicaciones de Office. |
Derechos personalizados de Office: no implementados. Nombre en el portal de Microsoft Purview: no implementado. Nombre en plantillas de AD RMS: no implementado. Constante o valor de API: MSIPC: IPC_GENERIC_COMMENT L"COMMENTSDK de MIP: COMMENT |
| Nombre común: Guardar como, Exportar Codificación en la directiva: EXPORT |
Habilita la opción para guardar el contenido en un nombre de archivo diferente (Guardar como). Este derecho también permite al usuario realizar otras opciones de exportación en aplicaciones, como Enviar a OneNote. |
Derechos personalizados de Office: como parte de la opción Control total . Nombre en el portal de Microsoft Purview: Guardar como, Exportar (EXPORTAR) Nombre en plantillas de AD RMS: Exportar (guardar como) Constante o valor de API: MSIPC: IPC_GENERIC_EXPORT L"EXPORT"SDK de MIP: EXPORT |
| Nombre común: Reenviar Codificación en la directiva: FORWARD |
Permite que la opción reenvíe un mensaje de correo electrónico y agregue destinatarios a las líneas To y Cc . Este derecho no se aplica a los documentos; solo mensajes de correo electrónico. No permite que el reenviador conceda derechos a otros usuarios como parte de la acción de reenvío. Al conceder este derecho, conceda también el derecho Editar contenido, Editar (nombre común) y, además, conceda el derecho Guardar (nombre común) para asegurarse de que el mensaje de correo electrónico cifrado no se entrega como datos adjuntos. Especifique también estos derechos al enviar un correo electrónico a otra organización que use el cliente de Outlook o la aplicación web de Outlook. O bien, para los usuarios de su organización que están exentos de usar el cifrado de Rights Management porque ha implementado controles de incorporación. |
Derechos personalizados de Office: denegados al usar la directiva no reenviar estándar. Nombre en el portal de Microsoft Purview: Reenviar (FORWARD) Nombre en plantillas de AD RMS: Reenviar Constante o valor de API: MSIPC: IPC_EMAIL_FORWARD L"FORWARD"SDK de MIP: FORWARD |
| Nombre común: Control total Codificación en la directiva: OWNER |
Concede todos los derechos al elemento y se pueden realizar todas las acciones disponibles. Incluye la capacidad de quitar el cifrado y volver a cifrar un documento. Tenga en cuenta que este derecho de uso no es el mismo que el propietario de Rights Management. | Derechos personalizados de Office: como la opción personalizada Control total . Nombre en el portal de Microsoft Purview: Control total (PROPIETARIO) Nombre en plantillas de AD RMS: Control total Constante o valor de API: MSIPC: IPC_GENERIC_ALL L"OWNER"SDK de MIP: OWNER |
| Nombre común: Imprimir Codificación en la directiva: PRINT |
Permite que las opciones impriman el contenido. | Derechos personalizados de Office: como la opción Imprimir contenido en permisos personalizados. No es una configuración por destinatario. Nombre en el portal de Microsoft Purview: Imprimir (IMPRIMIR) Nombre en plantillas de AD RMS: Imprimir Constante o valor de API: MSIPC: IPC_GENERIC_PRINT L"PRINT"SDK de MIP: PRINT |
| Nombre común: Respuesta Codificación en la directiva: REPLY |
Habilita la opción Responder en un cliente de correo electrónico, sin permitir cambios en las líneas Para o Cc . Al conceder este derecho, conceda también el derecho Editar contenido, Editar (nombre común) y, además, conceda el derecho Guardar (nombre común) para asegurarse de que el mensaje de correo electrónico cifrado no se entrega como datos adjuntos. Especifique también estos derechos al enviar un correo electrónico a otra organización que use el cliente de Outlook o la aplicación web de Outlook. O bien, para los usuarios de su organización que están exentos de usar la protección de Rights Management porque ha implementado controles de incorporación. | Derechos personalizados de Office: no aplicables. Nombre en plantillas de AD RMS: Respuesta Constante o valor de API: MSIPC: IPC_EMAIL_REPLYSDK de MIP: REPLY |
| Nombre común: Responder a todos Codificación en la directiva: REPLYALL |
Habilita la opción Responder a todo en un cliente de correo electrónico, pero no permite al usuario agregar destinatarios a las líneas A o Cc . Al conceder este derecho, conceda también el derecho Editar contenido, Editar (nombre común) y, además, conceda el derecho Guardar (nombre común) para asegurarse de que el mensaje de correo electrónico cifrado no se entrega como datos adjuntos. Especifique también estos derechos al enviar un correo electrónico a otra organización que use el cliente de Outlook o la aplicación web de Outlook. O bien, para los usuarios de su organización que están exentos de usar el servicio de Azure Rights Management porque ha implementado controles de incorporación. | Derechos personalizados de Office: no aplicables. Nombre en el portal de Microsoft Purview: Responder a todos (RESPONDER TODO) Nombre en plantillas de AD RMS: Responder a todos Constante o valor de API: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL"SDK de MIP: REPLYALL |
| Nombre común: Ver, Abrir, Leer Codificación en la directiva: VIEW |
Permite al usuario abrir el documento y ver el contenido. Además: - En Microsoft 365 Copilot y otras aplicaciones de inteligencia artificial, permite al LLM hacer referencia al elemento con un vínculo pero sin resumir el contenido, por lo que el usuario puede abrir y ver el contenido fuera de la aplicación de inteligencia artificial. En Excel, este derecho no es suficiente para ordenar los datos, lo que requiere el siguiente derecho: Editar contenido, Editar. Para filtrar datos en Excel, necesita los dos derechos siguientes: Editar contenido, Editar y Copiar. |
Derechos personalizados de Office: como la opción Leer directiva personalizada, Ver . Nombre en el portal de Microsoft Purview: Ver, Abrir, Leer (VER) Nombre en plantillas de AD RMS: Lectura Constante o valor de API: MSIPC: IPC_GENERIC_READ L"VIEW"SDK de MIP: VIEW |
| Nombre común: Copiar Codificación en la directiva: EXTRACT |
Permite que las opciones copien datos (incluidas las capturas de pantalla) del elemento en el mismo elemento u otro elemento. Además: - En Microsoft 365 Copilot y otras aplicaciones de inteligencia artificial, permite al LLM acceder y resumir el contenido del usuario solicitante. - En algunas aplicaciones, este derecho también permite guardar todo el documento sin cifrar. En Microsoft Teams y aplicaciones similares de uso compartido de pantalla, el moderador debe tener este derecho para presentar correctamente un documento cifrado. Si el moderador no tiene este derecho, los asistentes no pueden ver el documento y se muestran como desasocuados para ellos. |
Derechos personalizados de Office: como la opción Permitir a los usuarios con acceso de lectura copiar la directiva personalizada de contenido . Nombre en el portal de Microsoft Purview: Copiar (EXTRACT) Nombre en plantillas de AD RMS: Extracción Constante o valor de API: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT"SDK de MIP: EXTRACT |
| Nombre común: Ver derechos Codificación en la directiva: VIEWRIGHTSDATA |
Permite al usuario ver la directiva que se aplica al documento. No es compatible con las aplicaciones de Office ni con el cliente de Microsoft Purview Information Protection. | Derechos personalizados de Office: no implementados. Nombre en el portal de Microsoft Purview: Derechos de vista (VIEWRIGHTSDATA). Nombre en plantillas de AD RMS: Ver derechos Constante o valor de API: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"SDK de MIP: VIEWRIGHTSDATA |
| Nombre común: Cambiar derechos Codificación en la directiva: EDITRIGHTSDATA |
Permite al usuario cambiar la directiva que se aplica al documento. Incluye la eliminación del cifrado. No es compatible con las aplicaciones de Office o el cliente de Microsoft Purview Information Protection. | Derechos personalizados de Office: no implementados. Nombre en el portal de Microsoft Purview: Editar derechos (EDITRIGHTSDATA). Nombre en plantillas de AD RMS: Editar derechos Constante o valor de API: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"SDK de MIP: EDITRIGHTSDATA |
| Nombre común: Permitir macros Codificación en la directiva: OBJMODEL |
Habilita la opción para ejecutar macros o realizar otro acceso remoto o mediante programación al contenido de un documento. | Derechos personalizados de Office: como la opción de directiva personalizada Permitir acceso mediante programación . No es una configuración por destinatario. Nombre en el portal de Microsoft Purview: Permitir macros (OBJMODEL) Nombre en plantillas de AD RMS: Permitir macros Constante o valor de API: MSIPC: No implementado. SDK de MIP: OBJMODEL |
Derechos incluidos en los niveles de permisos
Algunas aplicaciones agrupan los derechos de uso en niveles de permisos para facilitar la selección de los derechos de uso que se suelen usar juntos. Estos niveles de permisos ayudan a abstraer un nivel de complejidad de los usuarios, por lo que pueden elegir opciones basadas en roles. Por ejemplo, visor y Editor restringidos. Aunque estas opciones suelen mostrar a los usuarios un resumen de los derechos, es posible que no incluyan todos los derechos que aparecen en la tabla anterior.
Use la tabla siguiente para obtener una lista de estos niveles de permisos y una lista completa de los derechos de uso que contienen. Los derechos de uso se enumeran por su nombre común.
| Nivel de permisos | Aplicaciones | Derechos de uso incluidos |
|---|---|---|
| Visor | Portal Microsoft Purview Microsoft Purview Information Protection cliente |
Ver, Abrir, Leer; Ver derechos; Respuesta [1]; Responder a todos [1]; Permitir macros [2] Nota: En el caso de los correos electrónicos, use Reviewer en lugar de este nivel de permiso para asegurarse de que se recibe una respuesta de correo electrónico como un mensaje de correo electrónico en lugar de como datos adjuntos. El revisor también es necesario cuando envía un correo electrónico a otra organización que usa el cliente de Outlook o la aplicación web de Outlook. O bien, para los usuarios de su organización que están exentos de usar el servicio de Azure Rights Management porque ha implementado controles de incorporación. |
|
Editor restringidos ( Anteriormente Revisor[3]) |
Portal Microsoft Purview Microsoft Purview Information Protection cliente |
Ver, Abrir, Leer; Salvar; Editar contenido, Editar; Ver derechos; Respuesta: Responder a todos; Adelante; Permitir macros [2] |
|
Editor (Anteriormente coautor[3]) |
Portal Microsoft Purview Microsoft Purview Information Protection cliente |
Ver, Abrir, Leer; Salvar; Editar contenido, Editar; Copiar; Ver derechos; Permitir macros [2]; Guardar como, Exportar [4]; Impresión; Respuesta; Responder a todos; Adelante |
|
Owner ( Anteriormente copropietario[3]) |
Portal Microsoft Purview Microsoft Purview Information Protection cliente |
Ver, Abrir, Leer; Salvar; Editar contenido, Editar; Copiar; Ver derechos; Cambiar derechos; Permitir macros; Guardar como, Exportar; Impresión; Respuesta; Responder a todos; Adelante; Control total |
Nota al pie 1
No se incluye en el portal de Microsoft Purview.
Nota al pie 2
No se incluye en el cuadro de diálogo de permisos personalizados en Word, Excel y PowerPoint para Windows (versión 2408+).
Nota al pie 3
El portal de Microsoft Purview y el cuadro de diálogo de permisos personalizados en Word, Excel y PowerPoint para Windows (versión 2411+) han actualizado la nomenclatura de nivel de permisos. El revisor ahora se denomina Editor restringido, el coautor ahora se denomina Editor y el copropietario ahora se denomina propietario. Otras aplicaciones siguen usando la nomenclatura de nivel de permisos original.
Nota al pie 4
No se incluye en el portal de Microsoft Purview.
Opción para correos electrónicos No reenviar
Los clientes y servicios de Exchange (por ejemplo, el cliente de Outlook, Outlook en la Web, las reglas de flujo de correo de Exchange y las acciones DLP para Exchange) tienen una opción adicional de protección de derechos de información para los correos electrónicos: No reenviar.
Aunque esta opción parece para los usuarios (y los administradores de Exchange) como si se tratara de una plantilla de Rights Management predeterminada que pueden seleccionar, No reenviar no es una plantilla. En su lugar, la opción No reenviar es un conjunto de derechos de uso que los usuarios aplican dinámicamente a sus destinatarios de correo electrónico.
Cuando se aplica la opción No reenviar a un correo electrónico, el correo electrónico se cifra y los destinatarios deben autenticarse. A continuación, los destinatarios no pueden reenviarlo, imprimirlo ni copiar desde él. Por ejemplo, en el cliente de Outlook, el botón Reenviar no está disponible, las opciones de menú Guardar como e Imprimir no están disponibles y no se pueden agregar ni cambiar destinatarios en los cuadros Para, Cc o Cco .
Los documentos de Office sin cifrar adjuntos al correo electrónico heredan automáticamente las mismas restricciones. Los derechos de uso aplicados a estos documentos son Editar contenido, Editar; Guardar; Ver, Abrir, Leer; y Permitir macros. Si desea derechos de uso diferentes para los datos adjuntos, o si los datos adjuntos no son un documento de Office que admita este cifrado heredado, cifre el archivo antes de adjuntarlo al correo electrónico. A continuación, puede asignar los derechos de uso específicos que necesita para el archivo.
Diferencia entre no reenviar y no conceder el derecho de uso de reenvío
Hay una distinción importante entre aplicar la opción No reenviar y aplicar una plantilla de administración de derechos que no concede el derecho de uso de reenvío a un correo electrónico: la opción No reenviar usa una lista dinámica de usuarios autorizados que se basa en los destinatarios elegidos por el usuario del correo electrónico original; mientras que los derechos de la plantilla tienen una lista estática de usuarios autorizados que el administrador ha especificado anteriormente. ¿Cuál es la diferencia? Veamos un ejemplo:
Un usuario quiere enviar por correo electrónico información a personas específicas del departamento de marketing que no deben compartirse con nadie más. ¿Deben proteger el correo electrónico con una plantilla de administración de derechos que restrinja los derechos (ver, responder y guardar) al departamento de marketing? ¿O deben elegir la opción No reenviar ? Ambas opciones provocarían que los destinatarios no pudieran reenviar el correo electrónico.
Si aplicaron la plantilla, los destinatarios podrían compartir la información con otros usuarios del departamento de marketing. Por ejemplo, un destinatario podría usar el Explorador para arrastrar y colocar el correo electrónico en una ubicación compartida o una unidad USB. Ahora, cualquier persona del departamento de marketing (y el propietario del correo electrónico) que tenga acceso a esta ubicación puede ver la información en el correo electrónico.
Si aplicaron la opción No reenviar , los destinatarios no podrán compartir la información con nadie más en el departamento de marketing moviendo el correo electrónico a otra ubicación. En este escenario, solo los destinatarios originales (y el propietario del correo electrónico) podrán ver la información en el correo electrónico.
Nota:
Use No reenviar cuando sea importante que solo los destinatarios que elija el remitente vean la información en el correo electrónico. Use una plantilla para los correos electrónicos para restringir los derechos a un grupo de personas que el administrador especifica de antemano, independientemente de los destinatarios elegidos por el remitente.
Opción de solo cifrado para correos electrónicos
Cuando Exchange Online usa Cifrado de mensajes de Microsoft Purview, está disponible una nueva opción Cifrar correo electrónico para cifrar los datos sin restricciones adicionales.
Esta opción está disponible para los inquilinos que usan Exchange Online y se pueden seleccionar de la siguiente manera:
- En Outlook en la Web con la opción Cifrar o una etiqueta de confidencialidad configurada para Permitir a los usuarios asignar permisos y la opción Cifrar solo
- Como otra opción de protección de derechos para una regla de flujo de correo
- Como acción DLP de Microsoft Purview
-
Desde la aplicación outlook para escritorios y dispositivos móviles:
- Con una etiqueta de confidencialidad configurada para Permitir a los usuarios asignar permisos y la opción Solo cifrado , para Windows, macOS, iOS y Android cuando se usan etiquetas de confidencialidad con las versiones mínimas enumeradas en la tabla para las funcionalidades de etiquetas de confidencialidad en Outlook.
- Con la opción Cifrar en Windows y macOS, para las versiones enumeradas en la tabla de versiones admitidas para Aplicaciones Microsoft 365 por canal de actualización.
Para obtener más información sobre la opción de solo cifrado, vea la siguiente entrada de blog cuando se anunció por primera vez desde el equipo de Office: Cifrar solo se implementa en Office 365 cifrado de mensajes.
Cuando se selecciona esta opción, el correo electrónico se cifra y los destinatarios deben autenticarse. A continuación, los destinatarios tienen todos los derechos de uso excepto Guardar como, Exportar y Control total. Esta combinación de derechos de uso significa que los destinatarios no tienen restricciones, salvo que no pueden quitar el cifrado. Por ejemplo, un destinatario puede copiar del correo electrónico, imprimirlo y reenviarlo.
De forma similar, de forma predeterminada, los documentos de Office sin cifrar adjuntos al correo electrónico heredan los mismos permisos. Estos documentos son cifrados automáticamente y, cuando se descargan, los destinatarios pueden guardarlos, editarlos, copiarlos e imprimirlos desde las aplicaciones de Office. Cuando un destinatario guarda el documento, se puede guardar en un nombre nuevo e incluso en un formato diferente. Sin embargo, solo los formatos de archivo que admiten el cifrado de Rights Management están disponibles para que el documento no se pueda guardar sin el cifrado original. Si desea derechos de uso diferentes para los datos adjuntos, o si los datos adjuntos no son un documento de Office que admita este cifrado heredado, cifre el archivo antes de adjuntarlo al correo electrónico. A continuación, puede asignar los derechos de uso específicos que necesita para el archivo.
Como alternativa, puede cambiar esta herencia de cifrado de documentos especificando Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true con Exchange Online PowerShell. Use esta configuración cuando no necesite conservar el cifrado original para el documento después de autenticar al usuario. Cuando los destinatarios abren el mensaje de correo electrónico, el documento no se cifra.
Nota:
Si ve referencias a DecryptAttachmentFromPortal, este parámetro ahora está en desuso para Set-IRMConfiguration. A menos que haya establecido previamente este parámetro, no está disponible.
Cifrado automático de documentos PDF con Exchange Online
Cuando Exchange Online usa Cifrado de mensajes de Microsoft Purview, puede cifrar automáticamente los documentos PDF cuando se adjuntan a un correo electrónico cifrado. El documento hereda los mismos permisos que los del mensaje de correo electrónico. Para habilitar esta configuración, establezca EnablePdfEncryption $True con Set-IRMConfiguration.
Los destinatarios pueden usar Microsoft Edge para ver el documento PDF cifrado. Como alternativa, los destinatarios pueden leer el documento PDF cifrado en el portal de OME.
Emisor de Rights Management y propietario de Rights Management
Cuando un elemento se cifra mediante el servicio Azure Rights Management, la cuenta que cifra ese contenido se convierte automáticamente en emisor de Rights Management para ese contenido. Esta cuenta se registra como el campo emisor en los registros de uso.
Al emisor de Rights Management siempre se le concede el derecho de uso control total para el elemento y, además:
Si la configuración de cifrado incluye una fecha de expiración, el emisor de Rights Management todavía puede abrir y editar el documento o correo electrónico después de esa fecha.
El emisor de administración de derechos siempre puede acceder al documento o correo electrónico sin conexión.
El emisor de administración de derechos puede seguir abriendo un documento después de que se revoque.
De forma predeterminada, esta cuenta también es el propietario de Rights Management para ese contenido, que es el caso cuando un usuario que creó el elemento inicia el cifrado. Pero hay algunos escenarios en los que un administrador o servicio puede cifrar el contenido en nombre de los usuarios. Por ejemplo:
Un administrador cifra en bloque los archivos de un recurso compartido de archivos: la cuenta de administrador de Microsoft Entra id. cifra los documentos para los usuarios.
El conector de Rights Management cifra los documentos de Office en una carpeta Windows Server: la cuenta de entidad de servicio en Microsoft Entra id. que se crea para el conector de Rights Management cifra los documentos para los usuarios.
En estos escenarios, el emisor de Rights Management puede asignar el propietario de Rights Management a otra cuenta mediante los SDK de Microsoft Information Protection o PowerShell. Por ejemplo, al usar el cmdlet Set-LabelFile de PowerShell con el cliente Microsoft Purview Information Protection, puede especificar el parámetro Owner para asignar el propietario de Rights Management a otra cuenta.
Cuando el emisor de Rights Management cifra en nombre de los usuarios, la asignación del propietario de Rights Management garantiza que el propietario del elemento original tenga el mismo nivel de control para su contenido cifrado que si iniciara el cifrado por sí mismo.
Por ejemplo, el usuario que creó el documento puede imprimirlo, aunque ahora esté etiquetado con la configuración de cifrado que no incluya el derecho de uso de impresión. El mismo usuario siempre puede acceder a su documento, independientemente de la configuración de acceso sin conexión o la fecha de expiración que se hayan configurado en la configuración de cifrado. Además, dado que el propietario de Rights Management tiene el derecho de uso control total, este usuario también puede volver a cifrar el documento para conceder acceso a usuarios adicionales (momento en el que el usuario se convierte en el emisor de Rights Management, así como en el propietario de Rights Management), e incluso puede quitar el cifrado. Sin embargo, solo el emisor de Rights Management puede realizar un seguimiento y revocar un documento.
El propietario de Rights Management para un elemento se registra como el campo owner-email en los registros de uso.
Nota:
El propietario de Rights Management es independiente del propietario del sistema de archivos de Windows. A menudo son los mismos, pero pueden ser diferentes, incluso si no se usan los SDK o PowerShell.
Licencia de uso de administración de derechos
Cuando un usuario abre un elemento cifrado por el servicio Azure Rights Management, se concede al usuario una licencia de uso de Rights Management para ese contenido. Esta licencia de uso es un certificado que contiene los derechos de uso del usuario para el elemento y la clave de cifrado que se usó para cifrar el contenido. La licencia de uso también contiene una fecha de expiración si se ha establecido y cuánto tiempo es válida la licencia de uso.
Un usuario debe tener una licencia de uso válida para abrir el contenido además de su certificado de cuenta de derechos (RAC), que es un certificado que se concede cuando se inicializa el entorno de usuario y, a continuación, se renueva cada 31 días.
Mientras dure la licencia de uso, el usuario no se vuelve a autenticar ni vuelve a autenticar para el contenido. Esto permite al usuario seguir abriendo el elemento cifrado sin conexión a Internet. Cuando expire el período de validez de la licencia de uso, la próxima vez que el usuario acceda al elemento cifrado, el usuario debe volver a autenticarse y volver a autenticarse.
Cuando los elementos se cifran mediante una etiqueta de confidencialidad que define la configuración de cifrado, puede cambiar esta configuración en la etiqueta de confidencialidad sin tener que volver a cifrar el contenido. Si el usuario ya ha accedido al contenido, los cambios surten efecto después de que haya expirado su licencia de uso. Sin embargo, cuando los usuarios aplican permisos por sí mismos (también conocidos como permisos definidos por el usuario, permisos personalizados o una directiva de derechos ad hoc) y estos permisos deben cambiar después de cifrar el elemento, ese contenido debe cifrarse de nuevo con los nuevos permisos. Los permisos definidos por el usuario para un mensaje de correo electrónico se implementan con la opción No reenviar.
El período de validez de licencia de uso predeterminado para un inquilino es de 30 días y puede configurar este valor mediante el cmdlet de PowerShell Set-AipServiceMaxUseLicenseValidityTime. Puede configurar una configuración más restrictiva para cuando se aplique el cifrado mediante una etiqueta de confidencialidad configurada para asignar permisos ahora, o bien una plantilla de administración de derechos:
Al configurar una etiqueta de confidencialidad, el período de validez de la licencia de uso toma su valor de la configuración Permitir acceso sin conexión .
Para obtener más información e instrucciones para configurar esta configuración para una etiqueta de confidencialidad, consulte la tabla de recomendaciones de las instrucciones sobre cómo configurar permisos ahora para una etiqueta de confidencialidad.
Al configurar una plantilla de administración de derechos mediante PowerShell, el período de validez de la licencia de uso toma su valor del parámetro LicenseValidityDuration en los cmdlets Set-AipServiceTemplateProperty y Add-AipServiceTemplate .
Para obtener más información e instrucciones para configurar esta configuración mediante PowerShell, consulte la ayuda de cada cmdlet.