Habilitar etiquetas de confidencialidad para archivos en SharePoint y OneDrive

Guía de licencias de Microsoft 365 para la seguridad y el cumplimiento.

Habilite el etiquetado integrado para archivos de Office y archivos PDF compatibles en SharePoint y OneDrive para que los usuarios puedan aplicar las etiquetas de confidencialidad en Office para la Web. Cuando esta característica está habilitada, los usuarios ven el botón Confidencialidad en la cinta de opciones para que puedan aplicar etiquetas y ver cualquier nombre de etiqueta aplicado en la barra de estado.

Para SharePoint, los usuarios también pueden ver y aplicar etiquetas de confidencialidad desde el panel de detalles. Este método también está disponible en la pestaña Archivos de Teams.

La habilitación de esta característica también hace que SharePoint y OneDrive puedan procesar el contenido de los archivos de Office y, opcionalmente, los documentos PDF cifrados mediante una etiqueta de confidencialidad. La etiqueta se puede aplicar en Office para la Web o en aplicaciones de escritorio de Office y cargarse o guardarse en SharePoint y OneDrive. Hasta que no habilite esta característica, estos servicios no podrán procesar archivos cifrados, lo que significa que la coautoría, la exhibición de documentos electrónicos, la prevención de pérdida de datos, la búsqueda y otras características de colaboración no funcionarán para estos archivos.

Después de habilitar las etiquetas de confidencialidad para estos archivos en SharePoint y OneDrive, para los archivos nuevos y modificados que tienen una etiqueta de confidencialidad que aplica el cifrado con una clave basada en la nube (y no usa el cifrado de clave doble:

• Para los archivos Word, Excel y PowerPoint, y los archivos PDF cargados, SharePoint y OneDrive reconocen la etiqueta y ahora pueden procesar el contenido del archivo cifrado.

• Cuando los usuarios descargan o acceden a estos archivos desde SharePoint o OneDrive, la etiqueta de confidencialidad y cualquier configuración de cifrado de la etiqueta se aplican y permanecen con el archivo, dondequiera que se almacene. Asegúrese de proporcionar instrucciones al usuario para usar solo etiquetas para proteger documentos. Para obtener más información, consulte Opciones de Information Rights Management (IRM) y etiquetas de confidencialidad.

• Cuando los usuarios cargan archivos etiquetados y cifrados en SharePoint o OneDrive, deben tener al menos derechos de uso de View para esos archivos. Por ejemplo, pueden abrir los archivos fuera de SharePoint. Si no tienen este derecho de uso mínimo, la carga se realiza correctamente, pero el servicio no reconoce la etiqueta y no puede procesar el contenido del archivo.

• Use Office para la Web (Word, Excel, PowerPoint) para abrir y editar archivos de Office que tengan etiquetas de confidencialidad que apliquen cifrado. Se aplican los permisos asignados con el cifrado. También puede usar el etiquetado automático para estos documentos.

• Los usuarios externos pueden acceder a documentos etiquetados con cifrado mediante cuentas de invitado. Para obtener más información, consulte Compatibilidad con usuarios externos y contenido etiquetado.

• eDiscovery admite la búsqueda de texto completo para estos archivos y las directivas de prevención de pérdida de datos (DLP) admiten contenido en estos archivos.

Nota:

Si el cifrado se ha aplicado con una clave local (una topología de administración de claves a menudo denominada "mantener su propia clave" o HYOK), o mediante el uso del cifrado de clave doble, el comportamiento del servicio para procesar el contenido del archivo no cambia. Por lo tanto, para estos archivos, la coautoría, la exhibición de documentos electrónicos, la prevención de pérdida de datos, la búsqueda y otras características de colaboración no funcionarán.

El comportamiento de SharePoint y OneDrive tampoco cambia para los archivos existentes en estas ubicaciones que están etiquetados con cifrado mediante una sola clave basada en Azure. Para que estos archivos se beneficien de las nuevas funcionalidades después de habilitar las etiquetas de confidencialidad para los archivos de Office en SharePoint y OneDrive, los archivos deben descargarse y cargarse de nuevo o editarse.

Después de habilitar etiquetas de confidencialidad para archivos de Office en SharePoint y OneDrive, hay tres nuevos eventos de auditoría disponibles para supervisar las etiquetas de confidencialidad que se aplican a los documentos de SharePoint y OneDrive:

• Etiqueta de confidencialidad aplicada al archivo
• Se ha cambiado la etiqueta de confidencialidad aplicada al archivo
• Etiqueta de confidencialidad eliminada del sitio

Vea el siguiente vídeo (sin audio) para ver las nuevas funcionalidades en acción:

Siempre tiene la opción de deshabilitar las etiquetas de confidencialidad para archivos de Office en SharePoint y OneDrive (no participar) en cualquier momento.

Si actualmente está protegiendo documentos en SharePoint mediante SharePoint Information Rights Management (IRM), asegúrese de comprobar la sección Administración de derechos de información (IRM) y etiquetas de confidencialidad de SharePoint en esta página.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Requisitos

Estas nuevas funcionalidades solo funcionan con etiquetas de confidencialidad .

Use la versión 19.002.0121.0008 o posterior de la aplicación Sincronización de OneDrive en Windows y la versión 19.002.0107.0008 o posterior en Mac. Ambas versiones se publicaron el 28 de enero de 2019 y actualmente se publican en todos los anillos. Para obtener más información, consulte las notas de la versión de OneDrive. Después de habilitar las etiquetas de confidencialidad para archivos de Office en SharePoint y OneDrive, se pedirá a los usuarios que ejecuten una versión anterior de la aplicación de sincronización que la actualicen.

Tipos de archivo compatibles

Después de habilitar las etiquetas de confidencialidad para SharePoint y OneDrive, se admiten los siguientes tipos de archivo de Office para escenarios de etiquetado de confidencialidad.

Aplicar una etiqueta de confidencialidad en Office en la Web o en SharePoint:

• Word: .docx, .docm
• Excel: .xlsx, .xlsm, .xlsb
• PowerPoint: .pptx, .ppsx

Carga de un documento etiquetado y, a continuación, extracción y visualización de esa etiqueta de confidencialidad:

• Word: doc, .docx, .docm, .dot, .dotx, .dotm
• Excel: .xls, .xlt, .xla, .xlc, .xlm, .xlw, .xlsx, .xltx, .xlsm, .xltm, .xlam, .xlsb
• PowerPoint: .ppt, .pot, .pps, .ppa, .pptx, .ppsx, .ppsxm, .potx, .ppam, .pptm, .potm, .ppsm

Adición de compatibilidad con PDF

Puede habilitar la compatibilidad con archivos PDF para los siguientes escenarios:

• Aplicar una etiqueta de confidencialidad en Office en la Web
• Carga de un documento etiquetado y, a continuación, extracción y visualización de esa etiqueta de confidencialidad
• Búsqueda, eDiscovery y prevención de pérdida de datos
• Directivas de etiquetado automático y etiquetas de confidencialidad predeterminadas para bibliotecas de documentos de SharePoint

Importante

Tenga en cuenta que habilitar la compatibilidad con PDF puede aumentar el número de archivos que se etiquetan automáticamente con las directivas de etiquetado automático existentes, que admiten un máximo de 25 000 archivos al día.

Para activar la compatibilidad desde el portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview, realice una de las siguientes acciones, en función del portal que use:

• Inicio de sesión en el portal> de Microsoft Purview> Information Protection Sensitivity labels>Policies>Auto-labeling policies

• Inicie sesión en el portal de cumplimiento Microsoft Purview>Solutions>Information Protection>Auto-labeling

A continuación, si ve un mensaje Proteger archivos PDF con etiquetado automático, seleccione este banner para confirmar que desea activar la protección de PDF para archivos en SharePoint y OneDrive.

Como alternativa, puede activar la compatibilidad con PDF mediante PowerShell cuando use el cmdlet Set-SPOTenant con el parámetro EnableSensitivityLabelforPDF :

Set-SPOTenant -EnableSensitivityLabelforPDF $true

Este parámetro PDF requiere una versión mínima de 16.0.24211.12000 para el Shell de administración de SharePoint Online. Si necesita más información sobre cómo instalar este módulo de PowerShell o ejecutar los cmdlets, consulte la sección de esta página para habilitar la compatibilidad con etiquetas de confidencialidad.

Para Microsoft 365 Multi-Geo: de forma similar a las instrucciones para ejecutar el comando de PowerShell para habilitar la compatibilidad con etiquetas de confidencialidad, debe conectarse a cada una de las ubicaciones geográficas y, a continuación, ejecutar el comando para habilitar la compatibilidad con archivos PDF.

Compatibilidad con etiquetas configuradas para permisos definidos por el usuario

En versión preliminar, ahora hay compatibilidad limitada con las etiquetas configuradas para los permisos definidos por el usuario. Esta configuración de cifrado hace referencia a la configuración Permitir que los usuarios asignen permisos cuando apliquen la etiqueta y la casilla En Word, PowerPoint y Excel, se selecciona pedir a los usuarios que especifiquen permisos:

• Cuando un documento se etiqueta con permisos definidos por el usuario y se carga en SharePoint o OneDrive, estos servicios ahora pueden procesar el documento para que se pueda abrir y editar en Office para la Web, y el nombre de la etiqueta se muestra en la columna Confidencialidad.

• Las etiquetas con esta configuración ahora se muestran en Office para la Web. Sin embargo, actualmente, los usuarios no pueden aplicar estas etiquetas en Office para la Web y, si estas etiquetas están seleccionadas, los usuarios ven un mensaje que les indica que apliquen la etiqueta mediante una aplicación de escritorio.

• Si los usuarios necesitan cambiar las etiquetas configuradas para los permisos definidos por el usuario, asegúrese de que ha habilitado la coautoría para los archivos cifrados con etiquetas de confidencialidad.

• El contenido actualmente no se puede inspeccionar para la búsqueda, la prevención de pérdida de datos o eDiscovery.

Para admitir autoguardado y coautoría para estos archivos cifrados mediante una aplicación de escritorio, debe haber habilitado la coautoría para los archivos cifrados con etiquetas de confidencialidad y para el Aplicaciones Microsoft 365 para empresas:

• Windows: versión mínima de 16.0.16327 desde canal actual y canal actual (versión preliminar) o versión mínima de 16.0.16414 desde el canal beta
• macOS: versión mínima de 16.51 desde el canal actual (versión preliminar) o desde el canal beta

Nota:

Si usa versiones anteriores y la coautoría está habilitada para el inquilino, Autoguardar y coautoría se deshabilitarán temporalmente para los documentos después de que los usuarios apliquen una etiqueta de confidencialidad configurada con permisos definidos por el usuario o los usuarios cambien los permisos. Después de cerrar el documento y esperar 10 minutos, estas características están disponibles de nuevo.

Cuando se usan estas versiones mínimas admitidas para archivos en SharePoint o OneDrive, se produce un cambio en el comportamiento del cifrado:

• Si un archivo existente etiquetado con permisos definidos por el usuario se vuelve a etiquetar con una etiqueta de confidencialidad que no aplica cifrado, el cifrado original se quita en lugar de conservarse. Para obtener más información, consulte Qué ocurre con el cifrado existente cuando se aplica una etiqueta.

Esta vista previa de las etiquetas configuradas para permisos definidos por el usuario se aplica automáticamente a los inquilinos. Para no participar, póngase en contacto con Soporte técnico de Microsoft y solicite desactivar esta versión preliminar.

Limitaciones

• SharePoint y OneDrive no pueden procesar algunos archivos etiquetados y cifrados desde aplicaciones de escritorio de Office cuando estos archivos contienen datos de PowerQuery, datos almacenados por complementos personalizados o elementos XML personalizados, como propiedades de página de portada, esquemas de tipo de contenido, panel de información de documento personalizado y XSN personalizado. Esta limitación también se aplica a los archivos que incluyen una bibliografía y a los archivos que tienen un identificador de documento agregado cuando se cargan.

  Para estos archivos, aplique una etiqueta sin cifrado para que se puedan abrir más adelante en Office en la Web o indique a los usuarios que abran los archivos en sus aplicaciones de escritorio. Los archivos etiquetados y cifrados solo en Office en la Web no se ven afectados.

• SharePoint y OneDrive no aplican automáticamente etiquetas de confidencialidad a los archivos existentes que se han cifrado mediante las etiquetas de estilo anterior que solían publicarse desde el Azure Portal. Para que las características funcionen después de habilitar etiquetas de confidencialidad para archivos en SharePoint y OneDrive, descargue estos archivos y cárguelos en su ubicación original en SharePoint o OneDrive.

• Los usuarios no pueden aplicar etiquetas de confidencialidad configuradas para permisos definidos por el usuario mientras usan Office para la Web.

• SharePoint y OneDrive no pueden procesar archivos cifrados cuando la etiqueta que aplicó el cifrado tiene cualquiera de las siguientes configuraciones para el cifrado:

  • El acceso del usuario al contenido expira establecido en un valor distinto de Nunca.

  • Cifrado de clave doble seleccionado.

    En el caso de las etiquetas con cualquiera de estas configuraciones de cifrado, las etiquetas no se muestran a los usuarios en Office para la Web. Si son etiquetas primarias, esto significa que los usuarios no verán las subetiquetas de esa etiqueta, incluso si las subetiquetas no están configuradas para aplicar el cifrado.

    Además, las nuevas funcionalidades no se pueden usar con documentos etiquetados que ya tienen esta configuración de cifrado. Por ejemplo, estos documentos no se devolverán en los resultados de búsqueda, aunque se actualicen.

• Por motivos de rendimiento, al cargar o guardar un documento en SharePoint y la etiqueta del archivo no aplica el cifrado, la columna Confidencialidad de la biblioteca de documentos puede tardar un tiempo en mostrar el nombre de la etiqueta. Tenga en cuenta este retraso si usa scripts o automatización que dependen del nombre de etiqueta de esta columna.

• Si un documento está etiquetado mientras está desprotegido en SharePoint, la columna Confidencialidad de la biblioteca de documentos no mostrará el nombre de la etiqueta hasta que el documento esté protegido y se abra a continuación en SharePoint.

• Si una aplicación o servicio que usa un nombre de entidad de seguridad de servicio descarga un documento etiquetado y cifrado desde SharePoint o OneDrive y, a continuación, se vuelve a cargar con una etiqueta que aplica una configuración de cifrado diferente, se producirá un error en la carga. Un escenario de ejemplo es Microsoft Defender for Cloud Apps cambia una etiqueta de confidencialidad en un archivo de Confidencial a Extremadamente confidencial o de Confidencial a General.

  No se produce un error en la carga si la aplicación o el servicio ejecuta primero el cmdlet Unlock-SPOSensitivityLabelEncryptedFile , como se explica en la sección Quitar cifrado para un documento etiquetado . O bien, antes de la carga, se elimina el archivo original o se cambia el nombre del archivo.

• Es posible que los usuarios experimenten retrasos al poder abrir documentos cifrados en el siguiente escenario guardar como: Con una versión de escritorio de Office, un usuario elige Guardar como para un documento que tiene una etiqueta de confidencialidad que aplica el cifrado. El usuario selecciona SharePoint o OneDrive para la ubicación y, a continuación, intenta abrir inmediatamente ese documento en Office para la Web. Si el servicio sigue procesando el cifrado, el usuario ve un mensaje que indica que el documento debe abrirse en su aplicación de escritorio. Si lo intentan de nuevo en un par de minutos, el documento se abre correctamente en Office para la Web.

• En el caso de los documentos cifrados, la impresión no se admite en Office para la Web.

• En el caso de los documentos cifrados en Office para la Web, no se impiden las capturas de pantalla. Sin embargo, cuando los documentos se etiquetan y cifran, y no se concede elderecho de uso de copia, Office en la Web impide copiar en el Portapapeles de la misma manera que las aplicaciones de escritorio impiden esta acción.

• De forma predeterminada, las aplicaciones de escritorio y las aplicaciones móviles de Office no admiten la coautoría de archivos etiquetados con cifrado. Estas aplicaciones continúan abriendo archivos etiquetados y cifrados en modo de edición exclusivo. Para cambiar el comportamiento predeterminado, consulte Habilitación de la coautoría para archivos cifrados con etiquetas de confidencialidad.

• Si un administrador cambia la configuración de una etiqueta publicada que ya se ha aplicado a los archivos descargados en el cliente de sincronización de los usuarios, es posible que los usuarios no puedan guardar los cambios que realicen en el archivo en su carpeta De sincronización de OneDrive. Este escenario se aplica a los archivos etiquetados con cifrado y también cuando el cambio de etiqueta es de una etiqueta que no aplicó el cifrado a una etiqueta que aplica el cifrado. Los usuarios ven un círculo rojo con un error de icono de cruz blanca y se les pide que guarden los cambios nuevos como una copia independiente. En su lugar, pueden cerrar y volver a abrir el archivo o usar Office para la Web.

• Las etiquetas de confidencialidad configuradas para el etiquetado automático se admiten para Office en la Web cuando la configuración de etiquetas para condiciones es solo para tipos de información confidencial. El etiquetado automático no se admite para Office en la Web cuando las condiciones incluyen clasificadores entrenables.

• Los usuarios pueden experimentar problemas de guardado después de desconectarse o en modo de suspensión cuando, en lugar de usar Office para la Web, usan las aplicaciones móviles y de escritorio para Word, Excel o PowerPoint. Para estos usuarios, cuando reanudan la sesión de la aplicación de Office e intentan guardar los cambios, ven un mensaje de error de carga con una opción para guardar una copia en lugar de guardar el archivo original.

• Los documentos cifrados de las siguientes maneras no se pueden abrir en Office para la Web:

  • Cifrado que usa una clave local ("mantenga su propia clave" o HYOK)
  • Cifrado que se aplicó mediante el cifrado de doble clave
  • Cifrado que se aplicó independientemente de una etiqueta, por ejemplo, aplicando directamente una plantilla de protección de Rights Management.

• Las etiquetas configuradas para otros idiomas no se admiten y solo muestran el idioma original.

• Si elimina una etiqueta que se ha aplicado a un documento en SharePoint o OneDrive, en lugar de quitar la etiqueta de la directiva de etiquetas aplicable, el documento cuando se descargue no se etiquetará ni cifrará. En comparación, si el documento etiquetado se almacena fuera de SharePoint o OneDrive, el documento permanece cifrado si se elimina la etiqueta. Tenga en cuenta que, aunque puede eliminar etiquetas durante una fase de prueba, es muy raro eliminar una etiqueta en un entorno de producción.

Habilitación de etiquetas de confidencialidad para SharePoint y OneDrive (participación)

Puede habilitar las nuevas funcionalidades mediante el portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview, o bien mediante PowerShell. Consulte las secciones siguientes para obtener instrucciones.

Al igual que con todos los cambios de configuración de nivel de inquilino para SharePoint y OneDrive, el cambio tarda aproximadamente 15 minutos en surtir efecto.

Uso del portal para habilitar la compatibilidad con etiquetas de confidencialidad

Esta opción es la manera más sencilla de habilitar etiquetas de confidencialidad para SharePoint y OneDrive, y debe iniciar sesión como administrador global para el inquilino.

1. En función del portal que use, vaya a una de las siguientes ubicaciones:

   • Inicio de sesión en el portal> de Microsoft Purview>Information Protectionetiquetas de confidencialidad de tarjetas.

     Si no se muestra la tarjeta de solución Information Protection, seleccione Ver todas las soluciones y, a continuación, seleccione Information Protection en la sección Seguridad de datos.

   • Iniciar sesión en las etiquetas de protección> dela informaciónde portal de cumplimiento Microsoft Purview >Solutions>

2. Si ve un mensaje para activar la capacidad de procesar contenido en archivos en línea de Office, seleccione Activar ahora:

   

   El comando se ejecuta inmediatamente y, cuando la página se actualiza a continuación, ya no verá el mensaje o el botón.

Nota:

Si tiene Microsoft 365 Multi-Geo, debe usar PowerShell para habilitar estas funcionalidades para todas las ubicaciones geográficas. Consulte la siguiente sección para obtener detalles.

Uso de PowerShell para habilitar la compatibilidad con etiquetas de confidencialidad

Como alternativa al uso del portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview, puede habilitar la compatibilidad con etiquetas de confidencialidad mediante el cmdlet Set-SPOTenant de SharePoint Online PowerShell.

Si tiene Microsoft 365 Multi-Geo, debe usar PowerShell para habilitar esta compatibilidad con todas las ubicaciones geográficas.

Preparación del Shell de administración de SharePoint Online

Antes de ejecutar el comando de PowerShell para habilitar etiquetas de confidencialidad para archivos de Office en SharePoint y OneDrive, asegúrese de que ejecuta la versión 16.0.19418.12000 o posterior del Shell de administración de SharePoint Online. Si ya tiene la versión más reciente, puede ir al siguiente procedimiento para ejecutar el comando de PowerShell.

1. Si tiene instalada una versión anterior de Shell de SharePoint Online Management de la galería de PowerShell, puede actualizar el módulo ejecutando el siguiente cmdlet.

   Update-Module -Name Microsoft.Online.SharePoint.PowerShell
   

2. Como alternativa, si ha instalado una versión anterior del Shell de administración de SharePoint Online desde el Centro de descarga de Microsoft, también puede ir a Agregar o quitar programas y desinstalar el Shell de administración de SharePoint Online.

3. En un explorador web, vaya a la página del centro de descargas y Descargue el Shell más reciente de administración de SharePoint Online.

4. Seleccione el idioma y, a continuación, haga clic en Descargar.

5. Elija entre el archivo .msi x64 y x86. Descargue el archivo x64 si ejecuta la versión de 64 bits de Windows o el archivo x86 si ejecuta la versión de 32 bits. Si no lo sabe, consulte ¿Qué versión del sistema operativo Windows estoy ejecutando?

6. Después de descargar el archivo, ejecute el archivo y siga los pasos descritos en la configuración del programa de instalación.

Ejecute el comando de PowerShell para habilitar la compatibilidad con etiquetas de confidencialidad.

Para habilitar las nuevas funcionalidades, use el cmdlet Set-SPOTenant con el parámetro EnableAIPIntegration :

1. Con una cuenta profesional o educativa que tenga privilegios de administrador global o administrador de SharePoint en Microsoft 365, conéctese a SharePoint. Para saber cómo hacerlo, consulte Introducción al Shell de administración de SharePoint Online.

   Nota:

   Si tiene Microsoft 365 Multi-Geo, use el parámetro -Url con Connect-SPOService y especifique la dirección URL del sitio del Centro de administración de SharePoint Online para una de las ubicaciones geográficas.

2. Ejecute el siguiente comando y presione Y para confirmar:

   Set-SPOTenant -EnableAIPIntegration $true
   

3. Para Microsoft 365 Multi-Geo: repita los pasos 1 y 2 para cada una de las ubicaciones geográficas restantes.

Publicación y cambio de etiquetas de confidencialidad

Cuando use etiquetas de confidencialidad con SharePoint y OneDrive, tenga en cuenta que debe permitir el tiempo de replicación al publicar nuevas etiquetas de confidencialidad o actualizar las etiquetas de confidencialidad existentes. Esto es especialmente importante para las etiquetas nuevas que aplican el cifrado.

Por ejemplo: crea y publica una nueva etiqueta de confidencialidad que aplica el cifrado y aparece muy rápidamente en la aplicación de escritorio de un usuario. El usuario aplica esta etiqueta a un documento y, a continuación, la carga en SharePoint o OneDrive. Si la replicación de etiquetas no se ha completado para el servicio, las nuevas funcionalidades no se aplicarán a ese documento durante la carga. Como resultado, el documento no se devolverá en la búsqueda ni en la exhibición de documentos electrónicos, y el documento no se puede abrir en Office para la Web.

Para obtener más información sobre el plazo de las etiquetas, consulte Cuándo esperar que las nuevas etiquetas y los cambios entren en vigor.

Como medida de seguridad, se recomienda publicar etiquetas nuevas para algunos usuarios de prueba primero, esperar al menos una hora y, a continuación, comprobar el comportamiento de las etiquetas en SharePoint y OneDrive. Espere al menos un día antes de que la etiqueta esté disponible para más usuarios agregando más usuarios a la directiva de etiqueta existente o agregando la etiqueta a una directiva de etiqueta existente para los usuarios estándar. Cuando los usuarios estándar ven la etiqueta, ya se ha sincronizado con SharePoint y OneDrive.

SharePoint Information Rights Management (IRM) y etiquetas de confidencialidad

SharePoint Information Rights Management (IRM) es una tecnología anterior para proteger los archivos en el nivel de lista y biblioteca mediante la aplicación de cifrado y restricciones cuando se descargan los archivos. Esta tecnología de protección anterior está diseñada para evitar que los usuarios no autorizados abran el archivo mientras está fuera de SharePoint.

En comparación, las etiquetas de confidencialidad proporcionan la configuración de protección de marcas visuales (encabezados, pies de página, marcas de agua) además del cifrado. La configuración de cifrado admite toda la gama de derechos de uso para restringir lo que los usuarios pueden hacer con el contenido y se admiten las mismas etiquetas de confidencialidad en muchos escenarios. El uso del mismo método de protección con una configuración coherente entre cargas de trabajo y aplicaciones da como resultado una estrategia de protección coherente.

Sin embargo, puede usar ambas soluciones de protección juntos y el comportamiento es el siguiente:

• Si carga un archivo con una etiqueta de confidencialidad que aplica el cifrado, SharePoint no puede procesar el contenido de estos archivos, por lo que la coautoría, la exhibición de documentos electrónicos, dlp y la búsqueda no se admiten para estos archivos.

• Si etiqueta un archivo con Office para la Web, se aplicará cualquier configuración de cifrado de la etiqueta. Para estos archivos, se admiten la coautoría, eDiscovery, DLP y la búsqueda.

• Si descarga un archivo etiquetado mediante Office para la Web, la etiqueta se conservará y se aplicará cualquier configuración de cifrado de la etiqueta en lugar de la configuración de restricción de IRM.

• Si descarga un archivo Office o PDF que no está cifrado con una etiqueta de confidencialidad, se aplica la configuración de IRM.

• Si ha habilitado cualquiera de las opciones de configuración de biblioteca de IRM adicionales, que incluyen impedir que los usuarios carguen documentos que no admiten IRM, se aplican estas opciones.

Con este comportamiento, puede estar seguro de que todos los archivos de Office y PDF están protegidos contra el acceso no autorizado si se descargan, incluso si no están etiquetados. Sin embargo, los archivos etiquetados que se cargan no se beneficiarán de las nuevas funcionalidades.

Búsqueda para documentos por etiqueta de confidencialidad

Use la propiedad administrada InformationProtectionLabelId para buscar todos los documentos de SharePoint o OneDrive que tengan una etiqueta de confidencialidad específica. Use la sintaxis siguiente: InformationProtectionLabelId:<GUID>

Por ejemplo, para buscar todos los documentos etiquetados como "Confidencial", y esa etiqueta tiene un GUID de "8faca7b8-8d20-48a3-8ea2-0f96310a848e", en el cuadro de búsqueda, escriba:

InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e

Búsqueda no encontrará documentos etiquetados en un archivo comprimido, como un archivo .zip.

Para obtener los GUID de las etiquetas de confidencialidad, use el cmdlet Get-Label :

1. En primer lugar, conéctese a Office 365 Security & Compliance PowerShell.

   Por ejemplo, en una sesión de PowerShell que se ejecuta como administrador, inicie sesión con una cuenta de administrador global:

2. A continuación, ejecute el siguiente comando:

   Get-Label |ft Name, Guid
   

Para obtener más información sobre el uso de propiedades administradas, vea Administrar el esquema de búsqueda en SharePoint.

Eliminación del cifrado de un documento etiquetado

Puede haber raras ocasiones en las que un administrador de SharePoint necesita quitar el cifrado de un documento almacenado en SharePoint. Cualquier usuario que tenga asignado el derecho de uso de Rights Management de Exportación o Control total para ese documento puede quitar el cifrado que aplicó el servicio Azure Rights Management de Microsoft Purview Information Protection. Por ejemplo, los usuarios con cualquiera de estos derechos de uso pueden reemplazar una etiqueta que aplica el cifrado por una etiqueta sin cifrado. Un superusuario también podría descargar el archivo y guardar una copia local sin el cifrado.

Como alternativa, un administrador global o administrador de SharePoint puede ejecutar el cmdlet Unlock-SPOSensitivityLabelEncryptedFile , que quita la etiqueta de confidencialidad y el cifrado. Este cmdlet se ejecuta incluso si el administrador no tiene permisos de acceso al sitio o al archivo, o si el servicio de Azure Rights Management no está disponible.

Por ejemplo:

Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"

Requisitos:

• Shell de administración de SharePoint Online versión 16.0.20616.12000 o posterior.

• El cifrado se ha aplicado mediante una etiqueta de confidencialidad con la configuración de cifrado definida por el administrador (la configuración Asignar permisos ahora etiqueta). No se admite el cifrado de doble clave para este cmdlet.

El texto de justificación se agrega al evento de auditoría de La etiqueta de confidencialidad eliminada del archivo y la acción de descifrado también se registra en el registro de uso para Azure Rights Management.

Cómo deshabilitar etiquetas de confidencialidad para SharePoint y OneDrive (no participar)

Si deshabilita estas nuevas funcionalidades, los archivos que cargó después de habilitar las etiquetas de confidencialidad para SharePoint y OneDrive seguirán estando protegidos por la etiqueta porque la configuración de la etiqueta se sigue aplicando. Al aplicar etiquetas de confidencialidad a nuevos archivos después de deshabilitar estas nuevas funcionalidades, la búsqueda de texto completo, la exhibición de documentos electrónicos y la coautoría ya no funcionarán.

Para deshabilitar estas nuevas funcionalidades, debe usar PowerShell. Con el Shell de administración de SharePoint Online y el cmdlet Set-SPOTenant , especifique el mismo parámetro EnableAIPIntegration como se describe en la sección Uso de PowerShell para habilitar la compatibilidad con etiquetas de confidencialidad . Pero esta vez, establezca el valor del parámetro en false y presione Y para confirmar:

Set-SPOTenant -EnableAIPIntegration $false

Si tiene Microsoft 365 Multi-Geo, debe ejecutar este comando para cada una de las ubicaciones geográficas.

Pasos siguientes

Después de habilitar las etiquetas de confidencialidad para los archivos de SharePoint y OneDrive, considere la posibilidad de etiquetar automáticamente los archivos mediante cualquiera de los métodos de etiquetado siguientes o ambos:

• Aplicar una etiqueta de confidencialidad predeterminada para bibliotecas de documentos, para archivos nuevos y editados en SharePoint. Para obtener más información, vea Configurar una etiqueta de confidencialidad predeterminada para una biblioteca de documentos de SharePoint.
• Directivas de etiquetado automático que usan la inspección de contenido para archivos en SharePoint y OneDrive. Para más información, consulte Aplicar automáticamente una etiqueta de confidencialidad al contenido.

¿Necesita compartir los documentos etiquetados y cifrados con personas fuera de su organización? Consulte Compartir documentos cifrados con usuarios externos.