Migración de etiquetas de Azure Information Protection a etiquetas de confidencialidad unificadas

Migre las etiquetas de Azure Information Protection a la plataforma de etiquetado unificada para que pueda usarlas como etiquetas de confidencialidad por clientes y servicios que admiten el etiquetado unificado.

Nota

Si la suscripción de Azure Information Protection es bastante nueva, es posible que no tenga que migrar etiquetas porque el inquilino ya está en la plataforma de etiquetado unificado. Para obtener más información, consulte ¿Cómo puedo determinar si mi inquilino está en la plataforma de etiquetado unificado?

Después de migrar las etiquetas, no verá ninguna diferencia con el cliente clásico de Azure Information Protection, ya que este cliente sigue descargando las etiquetas con la directiva de Azure Information Protection de la Azure Portal. Sin embargo, ahora puede usar las etiquetas con el cliente de etiquetado unificado de Azure Information Protection y otros clientes y servicios que usan etiquetas de confidencialidad.

Antes de leer las instrucciones para migrar las etiquetas, es posible que le resulte útil las siguientes preguntas más frecuentes:

Roles administrativos que admiten la plataforma de etiquetado unificado

Si usa roles de administrador para la administración delegada en su organización, es posible que tenga que realizar algunos cambios en la plataforma de etiquetado unificado:

El rol de Azure AD administrador de Azure Information Protection (anteriormente administrador Information Protection) no es compatible con la plataforma de etiquetado unificado. Si este rol administrativo se usa en su organización para administrar Azure Information Protection, agregue los usuarios que tienen este rol a los roles de Administrador de cumplimiento, Administrador de datos de cumplimiento o Administrador de seguridad. Si necesita ayuda con este paso, consulte Concesión de acceso a los usuarios a la portal de cumplimiento Microsoft Purview. También puede asignar estos roles en el portal de Azure AD y en el portal de cumplimiento Microsoft Purview.

Como alternativa, para usar roles, en el portal de cumplimiento Microsoft Purview, puede crear un nuevo grupo de roles para estos usuarios y agregar roles de administrador de etiquetas de confidencialidad u Configuración de la organización a este grupo.

Si no proporciona a estos usuarios acceso al portal de cumplimiento Microsoft Purview mediante una de estas configuraciones, no podrán configurar Azure Information Protection en el Azure Portal después de migrar las etiquetas.

Los administradores globales del inquilino pueden seguir administrando etiquetas y directivas tanto en el Azure Portal como en el portal de cumplimiento Microsoft Purview después de migrar las etiquetas.

Antes de empezar

La migración de etiquetas tiene muchas ventajas, pero es irreversible. Antes de migrar, asegúrese de que conoce los siguientes cambios y consideraciones:

Compatibilidad con el cliente para el etiquetado unificado

Asegúrese de que tiene clientes que admiten etiquetas unificadas y, si es necesario, prepárese para la administración en el Azure Portal (para los clientes que no admiten etiquetas unificadas) y la portal de cumplimiento Microsoft Purview (para el cliente que admite etiquetas unificadas).

Configuración de directivas

Las directivas, incluida la configuración de directivas y quién tiene acceso a ellas (directivas con ámbito), junto con toda la configuración de cliente avanzada, no se migran. Las opciones para configurar estas opciones después de la migración de etiquetas incluyen lo siguiente:

Importante

No todas las configuraciones de una etiqueta migrada son compatibles con el portal de cumplimiento Microsoft Purview. Use la tabla de la configuración de etiqueta que no se admite en la sección portal de cumplimiento Microsoft Purview para ayudarle a identificar esta configuración y el curso de acción recomendado.

Plantillas de protección

  • Las plantillas que usan una clave basada en la nube y que forman parte de una configuración de etiquetas también se migran con la etiqueta. Otras plantillas de protección no se migran.

  • Si tiene etiquetas configuradas para una plantilla predefinida, edite estas etiquetas y seleccione la opción Establecer permisos para aplicar la misma configuración de protección que tenía en la plantilla. Las etiquetas con plantillas predefinidas no bloquearán la migración de etiquetas, pero esta configuración de etiqueta no se admite en el portal de cumplimiento Microsoft Purview.

    Sugerencia

    Para ayudarle a volver a configurar estas etiquetas, es posible que le resulte útil tener dos ventanas del explorador: una ventana en la que seleccione el botón Editar plantilla de la etiqueta para ver la configuración de protección y la otra ventana para configurar las mismas opciones al seleccionar Establecer permisos.

  • Una vez migrada una etiqueta con la configuración de protección basada en la nube, el ámbito resultante de la plantilla de protección es el ámbito definido en el Azure Portal (o mediante el módulo de PowerShell AIPService) y el ámbito definido en el portal de cumplimiento deMicrosoft Purview.

Mostrar nombres

Para cada etiqueta, solo se muestra en Azure Portal el nombre para mostrar de la etiqueta. Este nombre se puede editar. Los usuarios ven este nombre de etiqueta en sus aplicaciones.

El portal de cumplimiento Microsoft Purview muestra este nombre para mostrar para una etiqueta y el nombre de la etiqueta. El nombre de la etiqueta es el nombre inicial que se especifica cuando se crea la etiqueta por primera vez y el servicio back-end usa esta propiedad con fines de identificación. Al migrar las etiquetas, el nombre para mostrar sigue siendo el mismo y se cambia el nombre de la etiqueta al identificador de etiqueta del Azure Portal.

Nombres para mostrar en conflicto

Antes de migrar, asegúrese de que no tendría nombres para mostrar en conflicto una vez completada la migración. Los nombres para mostrar en el mismo lugar de la jerarquía de etiquetado deben ser únicos.

Por ejemplo, considere la siguiente lista de etiquetas:

  • Public
  • General
  • Confidencial
    • Confidencial\RR. HH.
    • Confidencial\Finanzas
  • Secreto
    • Secreto\RR. HH.
    • Secreto\Finanzas

En esta lista, Public, General, Confidential y Secret son todas las etiquetas primarias y no pueden tener nombres duplicados. Además, Confidential\HR y Confidential\Finance están en el mismo lugar de la jerarquía y tampoco pueden tener nombres duplicados.

Sin embargo, las subetiquetas en distintos elementos primarios, como Confidential\HR y Secret\HR , no están en el mismo lugar de la jerarquía y, por tanto, pueden tener los mismos nombres individuales.

Cadenas localizadas en etiquetas

Las cadenas localizadas de las etiquetas no se migran. Defina nuevas cadenas localizadas para las etiquetas migradas mediante & PowerShell de cumplimiento de seguridad y el parámetro LocaleSettings para Set-Label.

Edición de etiquetas migradas en el portal de cumplimiento Microsoft Purview

Después de la migración, al editar una etiqueta migrada en el Azure Portal, el mismo cambio se refleja automáticamente en el portal de cumplimiento Microsoft Purview.

Sin embargo, al editar una etiqueta migrada en el portal de cumplimiento Microsoft Purview, debe volver al Azure Portal, Azure Information Protection: panel etiquetado unificado y seleccionar Publicar.

Esta acción adicional es necesaria para que los clientes de Azure Information Protection (clásico) recojan los cambios de etiqueta.

Configuración de etiquetas que no se admiten en el portal de cumplimiento Microsoft Purview

Use la tabla siguiente para identificar qué opciones de configuración de una etiqueta migrada no son compatibles con el portal de cumplimiento Microsoft Purview. Si tiene etiquetas con esta configuración, cuando se complete la migración, use las instrucciones de administración de la columna final antes de publicar las etiquetas en el portal de cumplimiento Microsoft Purview.

Si no está seguro de cómo están configuradas las etiquetas, consulte la configuración en Azure Portal. Si necesita ayuda con este paso, consulte Configuración de la directiva de Azure Information Protection.

Los clientes de Azure Information Protection (clásico) pueden usar toda la configuración de etiqueta que se muestra sin ningún problema porque siguen descargando las etiquetas del Azure Portal.

Configuración de etiquetas Compatible con los clientes de etiquetado unificado Guía para el portal de cumplimiento Microsoft Purview
Estado de habilitado o deshabilitado

Este estado no está sincronizado con el portal de cumplimiento Microsoft Purview
No aplicable Lo equivalente es si la etiqueta se ha publicado o no.
Color de etiqueta que selecciona de la lista o especifica mediante código RGB No hay ninguna opción de configuración para colores de etiqueta. En su lugar, puede configurar los colores de las etiquetas en el Azure Portal o usar PowerShell.
Protección basada en la nube o protección basada en HYOK mediante una plantilla predefinida No No hay ninguna opción de configuración para plantillas predefinidas. No se recomienda publicar una etiqueta con esta configuración.
Protección basada en la nube mediante permisos definidos por el usuario en Word, Excel y PowerPoint El portal de cumplimiento Microsoft Purview admite una opción de configuración para los permisos definidos por el usuario.

Si publica una etiqueta con esta configuración, compruebe los resultados de la aplicación de la etiqueta de la tabla siguiente.
Protección basada en HYOK mediante permisos definidos por el usuario para Outlook (no reenviar) No No hay ninguna opción de configuración para HYOK. No se recomienda publicar una etiqueta con esta configuración. Si lo hace, los resultados de aplicar la etiqueta se mostrarán en la tabla siguiente.
Nombre de fuente personalizado, tamaño y color de fuente personalizado por código RGB para marcas visuales (encabezado, pie de página, marca de agua) La configuración de distintivos visuales se limita a una lista de colores y tamaños de fuente. Puede publicar esta etiqueta sin cambios, aunque no puede ver los valores configurados en el portal de cumplimiento Microsoft Purview.

Para cambiar estas opciones, use el cmdlet New-Label Office 365 Security & Compliance Center. Para facilitar la administración, considere la posibilidad de cambiar el color a una de las opciones enumeradas en el portal de cumplimiento Microsoft Purview.

Nota: El portal de cumplimiento Microsoft Purview admite una lista predefinida de definiciones de fuente. Las fuentes y colores personalizados solo se admiten a través del cmdlet New-Label .

Si está trabajando con el cliente clásico, realice estos cambios en la etiqueta en el Azure Portal.
Variables en marcas visuales (encabezado, pie de página) Esta configuración de etiqueta es compatible con los clientes de AIP y el etiquetado integrado de Office para aplicaciones selectas.

Si está trabajando con el etiquetado integrado mediante una aplicación que no admite esta configuración y publica esta etiqueta sin cambios, las variables se muestran como texto en los clientes, en lugar de mostrar el valor dinámico.

Para obtener más información, vea la documentación de Microsoft 365.
Distintivos visuales por aplicación Esta configuración de etiqueta solo es compatible con los clientes de AIP y no con el etiquetado integrado de Office.

Si está trabajando con etiquetas integradas y publica esta etiqueta sin cambios, la configuración de marcado visual se muestra como texto variable en lugar de las marcas visuales que ha configurado para mostrar en cada aplicación.
Protección "Sólo para mí" El portal de cumplimiento Microsoft Purview no permite guardar la configuración de cifrado que aplique ahora, sin especificar ningún usuario. En el Azure Portal, esta configuración da como resultado una etiqueta que aplica la protección "Just for me".

Como alternativa, cree una etiqueta que aplique el cifrado y especifique un usuario con los permisos y, a continuación, edite la plantilla de protección asociada mediante PowerShell. En primer lugar, use el cmdlet New-AipServiceRightsDefinition (vea el ejemplo 3) y, a continuación, Set-AipServiceTemplateProperty con el parámetro RightsDefinitions .
Condiciones y configuración asociada

Incluye etiquetado recomendado y automático, y su información sobre herramientas
No aplicable Vuelva a configurar las condiciones usando el etiquetado automático como configuración independiente de la configuración de etiquetas.

Comparación del comportamiento de la configuración de protección para una etiqueta

Use la tabla siguiente para identificar cómo se comporta de forma diferente la misma configuración de protección de una etiqueta, en función de si la usa el cliente clásico de Azure Information Protection, el cliente de etiquetado unificado de Azure Information Protection o las aplicaciones de Office que tienen el etiquetado integrado (también conocido como "etiquetado nativo de Office"). Las diferencias en el comportamiento de las etiquetas pueden cambiar la decisión de si se deben publicar las etiquetas, especialmente cuando se tiene una combinación de clientes en la organización.

Si no está seguro de cómo están configuradas las opciones de protección, vea sus opciones en el panel Protección, en el Azure Portal. Si necesita ayuda con este paso, consulte Para configurar un etiqueta para los valores de protección.

Las configuraciones de las protecciones que se comportan de la misma manera no se muestran en la tabla con estas excepciones:

  • Cuando se usan aplicaciones de Office con etiquetado integrado, las etiquetas no son visibles en el Explorador de archivos, a menos que también instale el cliente de etiquetado unificado de Azure Information Protection.
  • Cuando se usan aplicaciones de Office con etiquetado integrado, si la protección se aplicó antes independientemente de una etiqueta, esa protección se conserva [1].
Configuración de protección de una etiqueta Cliente clásico de Azure Information Protection Cliente de etiquetado unificado de Azure Information Protection Aplicaciones de Office con etiquetado integrado
HYOK (AD RMS) con una plantilla Visible en Word, Excel, PowerPoint, Outlook y el Explorador de archivos

Cuando se aplica esta etiqueta:

- La protección HYOK se aplica a documentos y correos electrónicos.
Visible en Word, Excel, PowerPoint, Outlook y el Explorador de archivos

Cuando se aplica esta etiqueta:

- No se aplica protección y, en caso de que se aplicara anteriormente mediante una etiqueta, se quita [2].

- Si la protección se aplicó anteriormente independientemente de una etiqueta, se conserva.
Visible en Word, Excel, PowerPoint y Outlook

Cuando se aplica esta etiqueta:

- No se aplica protección y, en caso de que se aplicara anteriormente mediante una etiqueta, se quita [2].

- Si la protección se aplicó anteriormente independientemente de una etiqueta, se conserva [1].
HYOK (AD RMS) con permisos definidos por el usuario para Word, Excel, PowerPoint y el Explorador de archivos Visible en Word, Excel, PowerPoint y el Explorador de archivos

Cuando se aplica esta etiqueta:

- La protección HYOK se aplica a documentos y correos electrónicos.
Visible en Word, Excel y PowerPoint

Cuando se aplica esta etiqueta:

- No se aplica protección y, en caso de que se aplicara anteriormente mediante una etiqueta, se quita [2].

- Si la protección se aplicó anteriormente independientemente de una etiqueta, se conserva.
Visible en Word, Excel y PowerPoint

Cuando se aplica esta etiqueta:

- No se aplica protección y, en caso de que se aplicara anteriormente mediante una etiqueta, se quita [2].

- Si la protección se aplicó anteriormente independientemente de una etiqueta, se conserva.
HYOK (AD RMS) con permisos definidos por el usuario para Outlook Visible en Outlook

Cuando se aplica esta etiqueta:

- Se aplica a los correos electrónicos la opción No reenviar mediante la protección HYOK.
Visible en Outlook

Cuando se aplica esta etiqueta:

- No se aplica protección y, en caso de que se aplicara anteriormente mediante una etiqueta, se quita [2].

- Si la protección se aplicó anteriormente independientemente de una etiqueta, se conserva.
Visible en Outlook

Cuando se aplica esta etiqueta:

- No se aplica protección y, en caso de que se aplicara anteriormente mediante una etiqueta, se quita [2].

- Si la protección se aplicó anteriormente independientemente de una etiqueta, se conserva [1].
Nota al pie 1

En Outlook, la protección se conserva con una excepción: cuando se ha protegido un correo electrónico con la opción de solo cifrado (Cifrar), se quita esa protección.

Nota al pie 2

La protección se quita si el usuario tiene un rol o derecho de uso que admita esta acción:

Si el usuario no tiene ninguno de estos roles o derechos de uso, la etiqueta no se aplica y se conserva la protección original.

Migración de etiquetas de Azure Information Protection

Use las instrucciones siguientes para migrar el inquilino y las etiquetas de Azure Information Protection para usar el almacén de etiquetado unificado.

Debe ser administrador de cumplimiento, administrador de datos de cumplimiento, administrador de seguridad o Administrador global para migrar las etiquetas.

  1. Si aún no lo ha hecho, abra una nueva ventana del explorador e inicie sesión en Azure Portal. Después, vaya al panel Azure Information Protection.

    Por ejemplo, en el cuadro de búsqueda de recursos, servicios y documentos: Comience a escribir information y seleccione Azure Information Protection.

  2. En la opción de menú Administrar, seleccione Etiquetado unificado.

  3. En el panel Azure Information Protection: etiquetado unificado, seleccione Activar y siga las instrucciones en línea.

    Si la opción para activar no está disponible, compruebe el estado de etiquetado unificado: si ve Activado, el inquilino ya usa el almacén de etiquetado unificado y no es necesario migrar las etiquetas.

Los clientes y servicios que admiten el etiquetado unificado ya pueden usar las etiquetas migradas correctamente. Sin embargo, primero debe publicar estas etiquetas en el portal de cumplimiento Microsoft Purview.

Importante

Si edita las etiquetas fuera del Azure Portal, para clientes de Azure Information Protection (clásico), vuelva a este panel de etiquetado unificado de Azure Information Protection y seleccione Publicar.

Copiar directivas

Después de migrar las etiquetas, puede seleccionar una opción para copiar directivas. Si selecciona esta opción, se envía una copia única de las directivas con su configuración de directiva y cualquier configuración de cliente avanzada al portal de cumplimiento Microsoft Purview.

Las directivas copiadas correctamente con su configuración y etiquetas se publican automáticamente en los usuarios y grupos que se asignaron a las directivas de la Azure Portal. Tenga en cuenta que para la directiva global, esto significa que todos los usuarios. Si no está listo para que se publiquen las etiquetas migradas en las directivas copiadas, una vez copiadas las directivas, puede quitar las etiquetas de las directivas de etiqueta en el centro de etiquetado de administración.

Antes de seleccionar la opción Copiar directivas (versión preliminar) en el panel Azure Information Protection: etiquetado unificado, tenga en cuenta lo siguiente:

  • La opción Copiar directivas (versión preliminar) no está disponible hasta que se active el etiquetado unificado para el inquilino.

  • No puede elegir de forma selectiva las directivas y la configuración que se van a copiar. Todas las directivas (directiva global y cualquier directiva con ámbito) se seleccionan automáticamente para copiarse y se copian todas las configuraciones que se admiten como configuración de directiva de etiqueta. Si ya tiene una directiva de etiqueta con el mismo nombre, se sobrescribirá con la configuración de directiva en el Azure Portal.

  • Algunas opciones avanzadas de configuración de cliente no se copian porque para el cliente de etiquetado unificado de Azure Information Protection, se admiten como configuración avanzada de etiquetas en lugar de como configuración de directiva. Puede configurar estas opciones avanzadas de etiqueta con PowerShell & de cumplimiento de seguridad. La configuración avanzada del cliente que no se copia:

  • A diferencia de la migración de etiquetas en la que se sincronizan los cambios posteriores en las etiquetas, la acción Copiar directivas no sincroniza los cambios posteriores en las directivas o la configuración de directiva. Puede repetir la acción de la directiva de copia después de realizar cambios en la Azure Portal, y las directivas existentes y su configuración se sobrescribirán de nuevo. O bien, use los cmdlets Set-LabelPolicy o Set-Label con el parámetro AdvancedSettings de PowerShell de cumplimiento de seguridad & .

  • La acción Copiar directivas comprueba lo siguiente para cada directiva antes de copiarla:

    • Los usuarios y grupos asignados a la directiva están actualmente en Azure AD. Si falta una o varias cuentas, la directiva no se copia. No se comprueba la pertenencia a grupos.

    • La directiva global contiene al menos una etiqueta. Dado que los centros de etiquetado de administración no admiten directivas de etiquetas sin etiquetas, no se copia una directiva global sin etiquetas.

  • Si copia directivas y, a continuación, las elimina del centro de etiquetado de administración, espere al menos dos horas antes de volver a usar la acción Copiar directivas para garantizar el tiempo suficiente para que la eliminación se replique.

  • Las directivas copiadas de Azure Information Protection no tendrán el mismo nombre, sino que se denominarán con un prefijo de AIP_. Los nombres de directiva no se pueden cambiar posteriormente.

Para más información sobre cómo configurar las opciones de directiva, la configuración avanzada de cliente y la configuración de etiquetas para el cliente de etiquetado unificado de Azure Information Protection, consulte Configuraciones personalizadas para el cliente de etiquetado unificado de Azure Information Protection de la guía de administración.

Nota:

La compatibilidad de Azure Information Protection con las directivas de copia se encuentra actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Clientes y servicios que admiten etiquetado unificado

Para confirmar si los clientes y servicios que usa admiten el etiquetado unificado, consulte su documentación para comprobar si pueden usar etiquetas de confidencialidad publicadas desde el portal de cumplimiento Microsoft Purview.

Los clientes que admiten actualmente el etiquetado unificado incluyen
Entre los servicios que admiten actualmente el etiquetado unificado se incluyen

Portales de administración que se usarán después de migrar las etiquetas

Una vez que haya migrado las etiquetas en el Azure Portal, continúe administrandolas en una de las siguientes ubicaciones, en función de los clientes que haya instalado:

Remoto Descripción
Solo clientes y servicios de etiquetado unificados Si solo tiene instalados clientes de etiquetado unificados, administre las etiquetas en el portal de cumplimiento Microsoft Purview, que es donde los clientes de etiquetado unificado descargan las etiquetas y su configuración de directiva.

Para obtener instrucciones, consulte Creación y configuración de etiquetas de confidencialidad y sus directivas.
Solo cliente clásico Si ha migrado las etiquetas, pero aún tiene instalado el cliente clásico, siga usando el Azure Portal para editar las etiquetas y la configuración de directiva. El cliente clásico sigue descargando etiquetas y configuraciones de directivas de Azure.
Tanto el cliente clásico de AIP como los clientes de etiquetado unificado Si tiene instalados los dos clientes, use el portal de cumplimiento Microsoft Purview o el Azure Portal para realizar cambios de etiqueta.

Para que los clientes clásicos recojan los cambios de etiqueta realizados en el portal de cumplimiento Microsoft Purview, vuelva al Azure Portal para publicarlos. En el Azure Portal panel de etiquetado unificado de Azure Information Protection>, seleccione Publicar.

Siga usando Azure Portal para los informes centrales y el analizador.

Pasos siguientes

Guía y sugerencias de nuestro equipo de experiencia del cliente:

Acerca de las etiquetas de confidencialidad:

Implemente el cliente de etiquetado unificado de AIP:

Si aún no lo ha hecho, instale azure Information Protection cliente de etiquetado unificado.

Para más información, consulte: