Aplicar automáticamente una etiqueta de confidencialidad al contenido

Guía de licencias de Microsoft 365 para la seguridad y el cumplimiento.

Nota:

Para obtener información sobre cómo aplicar automáticamente una etiqueta de confidencialidad en el mapa de datos, consulte Etiquetado en el mapa de datos de Microsoft Purview.

Cuando crea una etiqueta de confidencialidad, puede asignar automáticamente dicha etiqueta a archivos o correos electrónicos cuando se cumplan las condiciones especificadas.

La capacidad de aplicar automáticamente etiquetas de confidencialidad al contenido es importante por estos motivos:

  • No es necesario enseñar a los usuarios cuándo usar cada una de las clasificaciones.

  • No es necesario depender de los usuarios para clasificar todo el contenido correctamente.

  • Los usuarios ya no necesitan conocer las directivas de gobierno de datos; en su lugar, pueden centrarse en su trabajo.

Hay dos métodos diferentes para aplicar automáticamente una etiqueta de confidencialidad en contenido de Microsoft 365:

  • Etiquetado del lado del cliente cuando los usuarios editan documentos o redactan mensajes de correo electrónico (y responden a ellos o los reenvían): use una etiqueta configurada para el etiquetado automático para archivos o correos electrónicos (Word, Excel, PowerPoint y Outlook).

    Este método permite recomendar una etiqueta a los usuarios, así como aplicar una etiqueta automáticamente. Pero en ambos casos, el usuario decide si acepta o rechaza la etiqueta, para ayudar a garantizar el etiquetado correcto del contenido. Este etiquetado del lado del cliente tiene un retraso mínimo para los documentos porque la etiqueta se puede aplicar incluso antes de que se guarde el documento. Sin embargo, no todas las aplicaciones cliente son compatibles con el etiquetado automático. Esta funcionalidad es compatible con el etiquetado integrado con algunas versiones de Office, y también con el cliente de etiquetado unificado de Azure Information Protection.

    Para obtener instrucciones de configuración, consulte Cómo configurar el etiquetado automático en aplicaciones de Office en esta página.

  • Etiquetas del lado de servicio cuando el contenido ya está guardado (en SharePoint o en OneDrive) o enviado por correo electrónico (procesado por Exchange Online): use una directiva de etiquetado automático.

    También se conoce a este método como etiquetado automático para datos en reposo (documentos en SharePoint y OneDrive) y datos en tránsito (correo electrónico enviado o recibido por Exchange). En el caso de Exchange, no incluye correos electrónicos en reposo (buzones).

    Ya que este etiquetado lo aplican los servicios en lugar de las aplicaciones, no tiene que preocuparse por qué aplicaciones tienen los usuarios y qué versión. Por lo tanto, esta funcionalidad está disponible inmediatamente en toda la organización y es adecuada para aplicar las etiquetas a cualquier escala. Las directivas de etiquetado automático no admiten el etiquetado recomendado, ya que el usuario no interactúa con el proceso de etiquetado. En su lugar, el administrador ejecuta las directivas en el modo de simulación para ayudarle a garantizar el etiquetado correcto del contenido antes de aplicar la etiqueta.

    Vea las instrucciones de configuración en Cómo configurar directivas de etiquetado automático para SharePoint, OneDrive y Exchange en esta página.

    Específico para el etiquetado automático para SharePoint y OneDrive:

    • Se admiten documentos PDF y archivos de Office para Word (.docx), PowerPoint (.pptx) y Excel (.xlsx).
      • Estos archivos se pueden etiquetar automáticamente en reposo antes o después de que se creen las políticas de etiquetado automático. Los archivos no se pueden etiquetar automáticamente si forman parte de una sesión abierta (el archivo está abierto).
      • Actualmente, los datos adjuntos a elementos de lista no son compatibles y no se etiquetarán automáticamente.
    • Máximo 25 000 archivos etiquetados automáticamente en su espacio empresarial por día
    • Máximo de 100 directivas de etiquetado automático por inquilino, cada una destinada a hasta 100 ubicaciones (sitios de SharePoint o usuarios o grupos individuales de OneDrive) al especificar ubicaciones específicas mediante las opciones Incluido o Excluido . Si mantiene la configuración predeterminada de Todos, esta configuración está exenta del máximo de 100 ubicaciones.
    • Los valores ya existentes para modificados, modificados por y la fecha no se cambian como resultado de las directivas de etiquetado automático tanto para el modo de simulación y como cuando se aplican etiquetas.
    • Cuando la etiqueta aplica el cifrado de, el issuer Management y el propietario de Rights Management es la cuenta en la que se modificó por última vez el archivo.

    Específico para el etiquetado automático para Exchange:

    • Los datos adjuntos de PDF y los datos adjuntos de Office se examinan en busca de las condiciones que especifique en la directiva de etiquetado automático. Cuando hay una coincidencia, el correo electrónico se etiqueta, pero no los datos adjuntos.
      • En el caso de los archivos PDF, si la etiqueta aplica cifrado, estos archivos se cifran mediante el Cifrado de mensajes cuando el espacio empresarial está habilitado para datos adjuntos de PDF.
      • Para estos archivos de Office, son compatibles Word, PowerPoint y Excel. Si la etiqueta aplica cifrado y estos archivos no están cifrados, ahora se cifran mediante Mensaje de cifrado. La configuración de cifrado se hereda del correo electrónico.
    • Para etiquetar y proteger los correos electrónicos que contienen mensajes de correo de voz de Teams, consulte las instrucciones de configuración de Habilitación del correo de voz protegido en su organización.
    • Si tiene reglas de flujo de correo de Exchange o directivas de prevención de pérdida de datos (DLP) de Microsoft Purview que aplican el cifrado IRM: cuando estas reglas o directivas y una directiva de etiquetado automático identifican contenido, se aplica la etiqueta. Si esa etiqueta aplica el cifrado, la configuración de IRM de las reglas de flujo de correo de Exchange o de las directivas DLP se pasa por alto. Sin embargo, si esa etiqueta no aplica el cifrado, la configuración de IRM de las reglas de flujo de correo o de las directivas DLP se aplica además de la etiqueta.
    • El correo electrónico que tiene cifrado IRM sin etiqueta se reemplazará por una etiqueta con cualquier configuración de cifrado cuando haya una coincidencia mediante el etiquetado automático.
    • El correo electrónico entrante se etiqueta cuando hay una coincidencia con las condiciones de etiquetado automático. Para que este resultado se aplique a remitentes fuera de su organización, la ubicación de Exchange debe establecerse en Todos incluidos y Ninguno excluido. Si la etiqueta está configurada para el cifrado:
      • Ese cifrado siempre se aplica cuando el remitente es de su organización.
      • De forma predeterminada, ese cifrado no se aplica cuando el remitente está fuera de la organización, pero se puede aplicar configurando opciones adicionales para el de correo electrónico y especificando un propietario de Rights Management.
    • Cuando la etiqueta aplica el cifrado, el emisor de propietario de Rights Management y Rights Management es la persona que envía el correo electrónico cuando el remitente es de su propia organización. Cuando el remitente está fuera de la organización, puede especificar un propietario de Rights Management para el correo electrónico entrante etiquetado y cifrado por la directiva.
    • Si la etiqueta está configurada para aplicar marcas dinámicas, tenga en cuenta que, para el correo electrónico entrante, esta configuración puede dar lugar a que se muestren los nombres de personas ajenas a la organización.

Nota:

Para algunos clientes nuevos ofrecemos la configuración automática de ajustes de etiquetado automático predeterminados para el etiquetado del lado cliente y el etiquetado del lado servicio. Incluso si no es elegible para esta configuración automática, es posible que le resulte útil hacer referencia a su configuración. Por ejemplo, puede configurar manualmente las etiquetas ya existentes y crear sus propias directivas de etiquetado automático con la misma configuración para ayudar a acelerar la implementación del etiquetado.

Para obtener más información, consulte Etiquetas y directivas predeterminadas para Microsoft Purview Information Protection.

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Comparar el etiquetado automático de las aplicaciones de Office con las directivas de etiquetado automático

Use la siguiente tabla para ayudarle a identificar las diferencias en el comportamiento de los dos métodos de etiquetado automático complementarios:

Característica o comportamiento Configuración de etiqueta: etiquetado automático para archivos y mensajes de correo electrónico Directiva: etiquetado automático
Dependencia de la aplicación Sí (versiones mínimas) No*
Restringir por ubicación No
Condiciones: opciones de uso compartido y opciones adicionales para el correo electrónico No
Condiciones: excepciones No
Compatibilidad con archivos PDF No
Compatibilidad con imágenes No
Recomendaciones, información sobre herramientas de directiva y sustituciones de usuarios No
Modo de simulación No
Datos adjuntos de Exchange verificados por condiciones No
Aplicar marcas visuales Sí (solo correo electrónico)
Reemplazar el cifrado IRM aplicado sin una etiqueta Sí, si el usuario tiene el uso mínimo adecuado de exportar Sí (solo correo electrónico)
Etiquetar correo electrónico entrante No
Asignar un propietario de Rights Management para los correos electrónicos enviados desde otra organización No
En el caso de los correos electrónicos, reemplace la etiqueta ya existente que tenga la misma o menor prioridad. No Sí (configurable)

* El etiquetado automático no está disponible actualmente en todas las regiones debido a una dependencia de Azure de back-end. Si el inquilino no puede admitir esta funcionalidad, la página Etiquetado automático no está visible en el portal de cumplimiento Microsoft Purview. Para obtener más información, vea Disponibilidad de dependencia de Azure por país.

Forma en que se evalúan varias condiciones cuando se aplican en más de una etiqueta

Las etiquetas se ordenan para su evaluación según su posición que especifique en el portal de cumplimiento: la etiqueta situada en primer lugar tiene la posición más baja (menos confidencial, por lo que la prioridad más baja) y la etiqueta situada en último lugar tiene la posición más alta (más confidencial, por lo que la prioridad más alta). Se selecciona la etiqueta con el número de pedido más alto.

Este comportamiento también es cierto para el etiquetado automático del lado servicio (directivas de etiquetado automático) cuando las subetiquetas comparten la misma etiqueta primaria: si después de la evaluación y ordenación, más de una subetiqueta de la misma etiqueta primaria cumple las condiciones de etiquetado automático, se selecciona y se aplica la subetiqueta con el número de orden más alto.

Sin embargo, el comportamiento es un poco diferente para el etiquetado automático del lado cliente (configuración de etiquetado automático en la etiqueta). Si varias subetiquetas de la misma etiqueta primaria coinciden con las condiciones:

  • Si un archivo aún no está etiquetado, siempre se selecciona la subetiqueta de orden más alta configurada para el etiquetado automático, en lugar de la subetiqueta de orden más alta configurada para el etiquetado recomendado. Si ninguna de estas subetiquetas está configurada para el etiquetado automático, pero solo para el etiquetado recomendado, se selecciona y se recomienda la subetiqueta de orden más alto.

  • Si un archivo ya está etiquetado con una subetiqueta del mismo elemento primario, no se realiza ninguna acción y la subetiqueta existente permanece. Este comportamiento se aplica incluso si la subetiqueta existente era una etiqueta predeterminada o se aplica automáticamente.

Para obtener más información sobre la prioridad de la etiqueta, vea Prioridad de etiqueta (asuntos de pedido).

Consideraciones sobre las configuraciones de etiqueta

Las siguientes consideraciones se aplican al etiquetado del lado cliente y al etiquetado del lado servicio.

Recuerde, no se puede aplicar una etiqueta principal (una etiqueta con subetiquetas) al contenido. Asegúrese de que no configura una etiqueta principal para que se aplique automáticamente o se recomiende en las aplicaciones de Office y no seleccione una etiqueta principal para una directiva de etiquetado automático. Si lo hace, la etiqueta principal no se aplicará al contenido.

Para usar el etiquetado automático con subetiquetas, asegúrese de que publica la etiqueta principal y la subetiqueta.

Para obtener más información sobre las etiquetas principales y las subetiquetas, consulte Subetiquetas (agrupación de etiquetas).

Etiquetado del ámbito que excluye archivos o correos electrónicos

Para aplicar automáticamente una etiqueta de confidencialidad al contenido, el ámbito de la etiqueta debe incluir Elementos. Si refina aún más esta selección, debe incluir Archivos si desea aplicar automáticamente una etiqueta a los documentos y Correos electrónicos para aplicar automáticamente una etiqueta a los correos electrónicos.

Para obtener más información sobre cómo refinar el ámbito de la etiqueta Elementos , consulte Etiquetas de ámbito solo para archivos o correos electrónicos.

¿Se invalidará una etiqueta ya existente?

Nota:

Una configuración agregada recientemente para las directivas de etiquetado automático de correo electrónico le permite especificar que una etiqueta de confidencialidad coincidente siempre invalidará una etiqueta existente.

Comportamiento predeterminado si el etiquetado automático invalidará una etiqueta existente:

  • Cuando el contenido se ha etiquetado manualmente, esa etiqueta no se reemplazará por el etiquetado automático.

  • El etiquetado automático reemplazará una etiqueta de confidencialidad de menor prioridad que se aplicó automáticamente, pero no una etiqueta de prioridad más alta.

    Sugerencia

    Por ejemplo, la etiqueta de confidencialidad en la parte superior de la lista de la portal de cumplimiento Microsoft Purview se denomina Public con un número de pedido (prioridad) de 0 y la etiqueta de confidencialidad en la parte inferior de la lista se denomina Extremadamente confidencial con un número de pedido (prioridad de 4). La etiqueta Extremadamente confidencial puede invalidar la etiqueta Público pero no al revés.

Solo para las directivas de etiquetado automático de correo electrónico, puede seleccionar una configuración para invalidar siempre una etiqueta de confidencialidad existente, independientemente de cómo se haya aplicado.

Etiqueta ya existente Reemplazar por la configuración de etiqueta: etiquetado automático para archivos y correos electrónicos Invalidar con directiva: etiquetado automático
Aplicado manualmente, cualquier prioridad Word, Excel, PowerPoint: No

Outlook: No
SharePoint y OneDrive: no

Exchange: no de forma predeterminada, pero configurable
Etiqueta aplicada automáticamente o predeterminada de la directiva, prioridad más baja Word, Excel, PowerPoint: Sí *

Outlook: Sí *
SharePoint y OneDrive: Sí

Exchange: Sí
Etiqueta aplicada automáticamente o predeterminada de la directiva, prioridad más alta Word, Excel, PowerPoint: No

Outlook: No
SharePoint y OneDrive: no

Exchange: no de forma predeterminada, pero configurable

* Hay una excepción para las subetiquetas que comparten la misma etiqueta primaria

La configuración configurable para las directivas de etiquetado automático de correo electrónico se encuentra en la página Configuración adicional para el correo electrónico. Esta página se muestra después de seleccionar una etiqueta de confidencialidad para una directiva de etiquetado automático que incluye la ubicación de Exchange.

Cómo configurar el etiquetado automático para las aplicaciones de Office

Para el etiquetado integrado en las aplicaciones de Office, compruebe las versiones mínimas necesarias para el etiquetado automático en las aplicaciones de Office.

El cliente de etiquetado unificado de Azure Information Protection admite el etiquetado automático solo para tipos de información confidencial integrados y personalizados, y no admite ningún clasificador avanzado, como clasificadores entrenables, coincidencia de datos exacta (EDM), entidades con nombre o credenciales.

Los ajustes de etiquetado automático para las aplicaciones de Office están disponibles al crear o editar una etiqueta de confidencialidad. Asegúrese de que Elementos está seleccionado para el ámbito de la etiqueta. A continuación, asegúrese de que los archivos también están seleccionados para etiquetar automáticamente los documentos y que los correos electrónicos están seleccionados para etiquetar automáticamente los correos electrónicos. Por ejemplo:

Opciones de ámbito de etiqueta de confidencialidad para elementos que incluyen archivos y Email.

A medida que se desplace por la configuración, verá la página Etiquetado automático para archivos y mensajes de correo electrónico, en la que puede elegir entre una lista de tipos de información confidencial o clasificadores que se pueden entrenar:

Condiciones de etiqueta para el etiquetado automático en las aplicaciones de Office

Cuando esta etiqueta de confidencialidad se aplica automáticamente, el usuario ve una notificación en su aplicación de Office. Por ejemplo:

Notificación de que un documento tenía una etiqueta aplicada automáticamente.

Configuración de tipos de información confidencial para una etiqueta

Al seleccionar la opción Tipos de información confidencial , verá la misma lista de tipos de información confidencial que al crear una directiva de prevención de pérdida de datos (DLP). Por ejemplo, puede aplicar automáticamente una etiqueta extremadamente confidencial a cualquier contenido que incluya información personal de los clientes, como los números de tarjeta de crédito, de la seguridad social o de pasaporte:

Tipos de información confidencial para el etiquetado automático en aplicaciones de Office.

De forma similar a cuando configure directivas DLP, puede restringir la condición cambiando el recuento de instancias y la precisión de la coincidencia. Por ejemplo:

Opciones para la precisión de la coincidencia y el recuento de instancias.

Puede obtener más información sobre los niveles de confianza en la documentación de DLP: Más información sobre los niveles de confianza.

Importante

Los tipos de información confidencial tienen dos formas diferentes de definir los parámetros máximos de recuento de instancias únicas. Para obtener más información, consulte Valores admitidos de recuento de instancias para SIT.

Además, de la misma manera que ocurre con la configuración de directiva DLP, puede elegir si una condición debe detectar todos los tipos de información confidencial o solo uno de ellos. Y para hacer que las condiciones sean más flexibles o complejas, puede agregar grupos y usar operadores lógicos entre los grupos.

Tipo de información confidencial personalizado con coincidencia exacta de datos

Puede configurar una etiqueta de confidencialidad para que use tipos de información confidencial basados en coincidencias exactas de datos para tipos de información confidencial personalizados. Sin embargo, actualmente, también debe especificar al menos un tipo de información confidencial que no use la EDM. Por ejemplo, uno de los tipos de información confidencial incorporados, como el Número de tarjeta de crédito.

Si configura una etiqueta de confidencialidad solo con la EDM para sus condiciones de tipo de información confidencial, el ajuste de etiquetado automático se desactiva automáticamente para la etiqueta.

Configurar clasificadores capacitados para una etiqueta

Si usa esta opción con Aplicaciones de Microsoft 365 para Windows versión 2106 o inferior, o Aplicaciones de Microsoft 365 para Mac versión 16.50 o inferior, cerciórese de haber publicado en su espacio empresarial al menos otra etiqueta de confidencialidad que esté configurada para el etiquetado automático y la opción tipos de información confidencial. Este requisito no es necesario cuando se usan versiones posteriores en estas plataformas.

Al seleccionar la opción Clasificadores entrenables , seleccione uno o varios clasificadores entrenados previamente o personalizados:

Opciones para clasificadores capacitados y etiquetas de confidencialidad.

Los clasificadores previamente entrenados disponibles a menudo se actualizan, por lo que puede haber más entradas para seleccionar que las que se muestran en esta captura de pantalla.

Para más información sobre estos clasificadores, consulte Más información sobre clasificadores que se pueden entrenar (versión preliminar).

Recomendación para que el usuario aplique una etiqueta de confidencialidad

Si lo prefiere, puede recomendar a los usuarios que apliquen la etiqueta. Con esta opción, los usuarios pueden aceptar la clasificación y cualquier protección asociada, o descartar la recomendación si la etiqueta no es adecuada para su contenido.

Opción para recomendar una etiqueta de confidencialidad a los usuarios.

Cuando se usa el etiquetado integrado con las versiones de escritorio de Word, los usuarios tienen una opción adicional para Mostrar contenido confidencial con el símbolo del sistema de etiquetas recomendado. Cuando selecciona este botón, el panel Editor recorre al usuario por cada detección. A continuación, el usuario puede quitar los datos confidenciales o dejarlos con una mejor comprensión de por qué se recomendó la etiqueta de confidencialidad. Cuando tienen esta información adicional, los usuarios tienen más confianza para seleccionar el botón Aplicar confidencialidad . Por ejemplo:

Solicite aplicar una etiqueta recomendada y mostrar contenido confidencial.

En este ejemplo se muestra el mensaje de etiqueta recomendado predeterminado, pero al igual que con el etiquetado automático, puede personalizar este texto para que sea más significativo o específico para los usuarios. Por ejemplo, incluya el nombre de su organización o haga referencia al departamento de TI para aumentar la visibilidad y proporcionar a los usuarios más confianza en que no se trata de un mensaje genérico que podría no ser aplicable a ellos.

Sugerencia

Aunque recomendar una etiqueta de confidencialidad interrumpe el flujo de trabajo de un usuario, es una manera muy eficaz de educar a los usuarios en el momento sobre la información confidencial con la que trabajan. Para verlo en acción, watch el vídeo: Clasificar automáticamente & proteger documentos & datos

El etiquetado recomendado es especialmente eficaz cuando se combina con esta opción para guiar a los usuarios a través de cada instancia de contenido confidencial que se detecta. Puede dar lugar a un etiquetado más preciso, no solo para el elemento inmediato, sino también para los elementos futuros que requieren etiquetado manual o para los elementos modificados que ahora podrían necesitar volver a etiquetar.

La implementación de etiquetado automático y recomendado en las aplicaciones de Office depende de si está usando el etiquetado que está integrado en Office o el cliente de etiquetado unificado de Azure Information Protection. Sin embargo, en ambos casos:

  • No puede usar el etiquetado automático para documentos y mensajes de correo electrónico que se etiquetaron previamente de forma manual o de forma automática con una confidencialidad más alta. Recuerde, solo se puede aplicar una etiqueta de confidencialidad a un documento o correo electrónico, (además de una sola etiqueta de retención).

  • No puede usar el etiquetado recomendado para documentos o correos electrónicos que anteriormente se etiquetaron con una confidencialidad más alta. Cuando el contenido ya está etiquetado con una confidencialidad más alta, el usuario no verá el mensaje con la recomendación y la sugerencia de directiva.

Específico para las etiquetas integradas:

Específico del cliente de etiquetado unificado de Azure Information Protection:

  • El etiquetado automático y recomendado se aplica a Word, Excel y PowerPoint al guardar un documento, y a Outlook al enviar un correo electrónico.

  • Para que Outlook sea compatible con el etiquetado recomendado, en primer lugar debe configurar una configuración de directiva avanzada.

  • La información confidencial se detecta en el texto del cuerpo de los documentos y correos electrónicos, y en los encabezados y pies de página, pero no en la línea de asunto o en los datos adjuntos de correo electrónico.

Convertir la configuración de etiquetas en una directiva de etiquetado automático

Si la etiqueta incluye tipos de información confidencial para las condiciones configuradas, verá una opción al final del proceso de creación o edición de etiquetas para crear de forma automática una directiva de etiquetado automático basada en la misma configuración de etiquetado automático.

Sin embargo, si la etiqueta contiene clasificadores entrenables como condición de etiqueta:

  • Cuando las condiciones de etiqueta contienen clasificadores que solo se pueden entrenar, no verá la opción de crear automáticamente una directiva de etiquetado automático.

  • Cuando las condiciones de etiqueta contienen clasificadores entrenables y tipos de información de confidencialidad, se creará una directiva de etiquetado automático solo para los tipos de información confidencial.

Aunque una directiva de etiquetado automático se crea de forma automática al rellenarse automáticamente los valores que tendría que seleccionar manualmente si crea la directiva desde cero, puede ver y editar los valores antes de guardarlos.

De forma predeterminada, todas las ubicaciones de SharePoint, OneDrive y Exchange se incluyen en la directiva de etiquetado automático y, cuando se guarda la directiva, se ejecuta en modo de simulación. No existe comprobación de que haya habilitado etiquetas de confidencialidad para los archivos de Office en SharePoint y OneDrive, que es uno de los requisitos previos para que el etiquetado automático se aplique al contenido de SharePoint y OneDrive.

Cómo configurar directivas de etiquetado automático para SharePoint, OneDrive y Exchange

Nota:

No use directivas de etiquetado automático de Exchange para enviar correos electrónicos cifrados para distribuciones de correo masivo. Estas directivas no están diseñadas para este propósito y pueden dar lugar a errores de envío y recibos de no entrega. En este escenario, la configuración de etiqueta para enviar automáticamente correos electrónicos es más adecuada.

Asegúrese de tener en cuenta los requisitos previos antes de configurar las directivas de etiquetado automático.

Requisitos previos para las directivas de etiquetado automático

  • Modo de simulación:

    • Se debe activar la auditoría de Microsoft 365. Si necesita activar la auditoría o no está seguro de si la auditoría ya está activada, consulte Activar o desactivar la búsqueda de registros de auditoría.
    • Para ver el contenido del archivo o correo electrónico en la vista de origen, debe tener el rol Visor de contenido de clasificación de datos, que se incluye en el grupo de roles Visor de contenido del Explorador de contenido, o Information Protection y Information Protection grupos de roles Investigadores. Sin el rol necesario, no verá el panel de vista previa al seleccionar un elemento de la pestaña Elementos para revisar . Los administradores globales no tienen este rol de forma predeterminada.
  • Para etiquetar automáticamente archivos en SharePoint y OneDrive:

    • Tiene etiquetas de confidencialidad habilitadas para los archivos de Office en SharePoint y OneDrive.
    • En el momento en el que se ejecuta la directiva de etiquetado automático, el archivo no debe estar abierto por otro proceso o usuario. Un archivo desprotegido para edición entra en esta categoría.
    • Si tiene previsto usar tipos de información confidencial:
      • Los tipos de información confidencial que seleccione solo se aplicarán al contenido que se crea o modifica después de crear o modificar estos tipos de información. Esta restricción se aplica a todos los tipos de información confidencial personalizados y a los nuevos tipos de información integrados.
      • Para probar los nuevos tipos de información confidencial, créelos antes de crear su directiva de etiquetado automático y, después, cree nuevos documentos con datos de ejemplo para probarlos.
    • Si tiene previsto usar propiedades de documento como condición (la propiedad Document es ), esta opción usa propiedades administradas de SharePoint. La preparación para las directivas DLP se aplica igualmente cuando se usa esta condición con directivas de etiquetado automático.
  • Crear y publicar una o más etiquetas de confidencialidad (para al menos un usuario) que pueda seleccionar para las directivas de etiquetado automático. Para estas etiquetas:

    • No importa que la opción de etiquetado automático en aplicaciones de Office esté activada o desactivada, ya que la configuración de la etiqueta es complementaria a las directivas de etiquetado automático, como se explica en la introducción.
    • Si las etiquetas que quiere usar para el etiquetado automático están configuradas para usar marcas visuales (encabezados, pies de página, marcas de agua), tenga en cuenta que no se aplican a los documentos.
    • Si las etiquetas aplican cifrado:
      • Cuando la directiva de etiquetado automático incluye ubicaciones para SharePoint o OneDrive, la etiqueta debe configurarse para la configuración Asignar permisos ahora y El acceso del usuario al contenido expira debe establecerse en Nunca.
      • Cuando la directiva de etiquetado automático solo es para Exchange, la etiqueta se puede configurar para Asignar permisos ahora o Permitir a los usuarios asignar permisos (para las opciones No reenviar o Solo cifrar). No se puede aplicar automáticamente una etiqueta configurada para aplicar la protección S/MIME.

Más información sobre el modo de simulación

El modo de simulación se admite para las directivas de etiquetado automático y se teje en el flujo de trabajo. No puede etiquetar automáticamente documentos y mensajes de correo electrónico hasta que la directiva haya ejecutado al menos una simulación.

El modo de simulación admite hasta 1 000 000 de archivos coincidentes. Si más de este número de archivos coinciden con una directiva de etiquetado automático, no se puede activar la directiva para aplicar las etiquetas. En este caso, debe volver a configurar la directiva de etiquetado automático para que coincidan menos archivos y volver a ejecutar la simulación. Este máximo de 1 000 000 de archivos coincidentes solo se aplica al modo de simulación y no a una directiva de etiquetado automático que ya está aplicando etiquetas de confidencialidad.

Flujo de trabajo para una directiva de etiquetado automático:

  1. Crear y configurar una directiva de etiquetado automático.

  2. Ejecute la directiva en modo simulación, que puede tardar 12 horas en completarse. La simulación completada desencadena una notificación por correo electrónico que se envía al usuario configurado para recibir alertas de actividad.

  3. Revise los resultados y, si es necesario, perfeccione su directiva. Por ejemplo, es posible que deba editar las reglas de directiva para reducir falsos positivos o quitar algunos sitios para que el número de archivos coincidentes no supere 1 000 000. Vuelva a ejecutar el modo de simulación y espere a que se complete de nuevo.

  4. Si es necesario, repita el paso 3.

  5. Implementar en producción

La implementación simulada se ejecuta como el parámetro WhatIf para PowerShell durante un momento dado. Puede ver los resultados indicados como si la directiva de etiquetado automático aplicara la etiqueta seleccionada utilizando las reglas definidas. Si es necesario, puede refinar las reglas mayor precisión y volver a ejecutar la simulación. Sin embargo, como el etiquetado automático para Exchange se aplica a los correos electrónicos enviados y recibidos, en lugar de a los mensajes de correo electrónico almacenados en los buzones, no espere que los resultados de la simulación sean coherentes, salvo que pueda enviar y recibir exactamente los mismos mensajes de correo electrónico.

El modo de simulación también le permite aumentar gradualmente el ámbito de la directiva de etiquetado automático antes de la implementación. Por ejemplo, puede empezar con una única ubicación, como un sitio de SharePoint, con una única biblioteca de documentos. Después, con cambios iterativos, aumente el ámbito a varios sitios y a otra ubicación, como OneDrive.

Por último, puede usar el modo de simulación para ofrecer una aproximación del tiempo necesario para ejecutar la directiva de etiquetado automático, para ayudarle a planear y programar cuándo ejecutarla sin el modo de simulación.

Nota:

Si los resultados de la simulación no incluyen los archivos que espera, en función de las condiciones de directiva automática configuradas y el contenido del archivo actual, es posible que se deba a que los archivos se actualizaron después de que se ejecutara la simulación. Compruebe si los archivos se actualizaron y vuelva a ejecutar la simulación para confirmar que se etiquetarán.

Creación de una directiva de etiquetado automático

  1. En el portal de cumplimiento Microsoft Purview, vaya a Soluciones>De protección> de la información Etiquetadoautomático:

    Página de etiquetado automático.

    Nota:

    Si no ve la opción Etiquetado automático , esta funcionalidad no está disponible actualmente en su región debido a una dependencia de Azure de back-end. Para obtener más información, vea Disponibilidad de dependencia de Azure por país.

  2. Seleccione + Crear directiva de etiquetado automático. Esto inicia la configuración de Nueva directiva:

    Configuración de Nueva directiva para el etiquetado automático.

  3. En la página Elegir la información a la que quiere aplicar esta etiqueta: seleccione una de las plantillas, como Finanzas o Privacidad. Puede refinar la búsqueda mediante el cuadro de búsqueda o lista desplegable para países o regiones. O bien, seleccione directiva personalizada si las plantillas no satisfacen sus necesidades. Seleccione Siguiente.

  4. En la página Cambiar el nombre de la directiva de etiquetado automático: proporcione un nombre único y, opcionalmente, una descripción que ayude a identificar la etiqueta aplicada automáticamente, las ubicaciones y las condiciones que identifican el contenido que se va a etiquetar.

  5. Para la página Asignar unidades de administrador: si su organización usa unidades administrativas en Microsoft Entra ID, las directivas de etiquetado automático para Exchange y OneDrive se pueden restringir automáticamente a usuarios específicos seleccionando unidades administrativas. Si a su cuenta se le han asignado unidades administrativas, debe seleccionar una o varias unidades administrativas.

    Si no quiere restringir la directiva mediante unidades administrativas o si su organización no ha configurado unidades administrativas, mantenga el valor predeterminado De directorio completo.

    Nota:

    Si está editando una directiva existente y cambia las unidades administrativas, ahora debe volver a configurar las ubicaciones en el paso siguiente.

  6. En la página Elegir ubicaciones en las que quiere aplicar la etiqueta: seleccione y especifique las ubicaciones de Exchange, SharePoint y OneDrive. Si no desea mantener el valor predeterminado de Todo incluido para las ubicaciones elegidas, seleccione el enlace para elegir instancias específicas para incluir o seleccione el enlace para elegir las instancias específicas para excluir. Después, seleccione Siguiente.

    Página Elegir ubicaciones para la configuración de etiquetado automático.

    Nota:

    Para las organizaciones que usan unidades administrativas:

    • Si seleccionó la opción para usar unidades administrativas en el paso anterior, la ubicación de los sitios de SharePoint deja de estar disponible. Solo las directivas de etiquetado automático para Exchange y OneDrive admiten unidades administrativas.
    • Cuando use las opciones Incluido o Excluido , verá y podrá seleccionar solo los usuarios de las unidades administrativas seleccionadas en el paso anterior.

    Si usa las opciones Incluido o Excluido :

    • Para la ubicación de Exchange , la directiva se aplica según la dirección del remitente de los destinatarios especificados. La mayoría de las veces, querrá mantener el valor predeterminado de Todo incluido con Ninguno excluido. Esta configuración es adecuada incluso si está probando un subconjunto de usuarios. En lugar de especificar aquí el subconjunto de usuarios, use las reglas avanzadas del paso siguiente para configurar las condiciones para incluir o excluir destinatarios en su organización. De lo contrario, al cambiar la configuración predeterminada aquí:

      • Si cambia el valor predeterminado de Todo incluido y, en su lugar, elige usuarios o grupos específicos, el correo electrónico enviado desde fuera de la organización estará exento de la directiva.
      • Si mantiene el valor predeterminado de Todo incluido, pero especifica usuarios o grupos que excluir, el correo electrónico que envíen estos usuarios excluidos estará exento de la directiva, pero no del correo electrónico que reciban.
    • Implementación: para la ubicación de OneDrive, debe especificar usuarios o grupos. Anteriormente, tenía que especificar sitios por direcciones URL. Los sitios de direcciones URL de OneDrive existentes en las directivas de etiquetado automático seguirán funcionando, pero antes de poder especificar nuevas ubicaciones de OneDrive o para administradores restringidos, primero debe eliminar las direcciones URL de sitio existentes. Grupos admitidos: grupos de distribución, grupos de Microsoft 365, grupos de seguridad habilitados para correo y grupos de seguridad.

  7. En la página Configurar reglas comunes o avanzadas: mantenga el valor predeterminado de Reglas comunes para definir las reglas que identifican el contenido que se debe etiquetar en todas las ubicaciones seleccionadas. Si necesita reglas diferentes por ubicación, incluidas algunas reglas que solo están disponibles para Exchange, o sitios de SharePoint y cuentas de OneDrive, seleccione Reglas avanzadas. Después, seleccione Siguiente.

    Las reglas usan condiciones que incluyen tipos de información confidencial, clasificadores entrenables, opciones de uso compartido y otras condiciones:

    • Para seleccionar un tipo de información confidencial o un clasificador que se puede entrenar como condición, en Contenido contiene, seleccione Agregar y, a continuación, elija Tipos de información confidencial o Clasificadores entrenables.
    • Para seleccionar opciones de uso compartido como condición, en Contenido compartido, elija solo con personas de mi organización o con personas ajenas a mi organización.
    • Otras condiciones que puede seleccionar:

    Si su ubicación es Exchange y ha seleccionado Reglas avanzadas, hay condiciones adicionales que puede seleccionar:

    • La dirección IP del remitente es
    • El dominio del destinatario es
    • El destinatario es
    • Los datos adjuntos están protegidos con contraseña
    • No se pudo digitalizar algún contenido de los datos adjuntos del correo
    • No se pudo completar el análisis de algún contenido de los datos adjuntos del correo
    • El encabezado coincide con patrones
    • El asunto coincide con patrones
    • La dirección del destinatario contiene palabras
    • La dirección del destinatario coincide con patrones
    • La dirección del remitente coincide con patrones
    • El dominio del remitente es
    • El destinatario es un miembro de
    • El remitente es

    Si su ubicación es sitios de SharePoint o cuentas de OneDrive y ha seleccionado Reglas avanzadas, hay otra condición que puede seleccionar:

    • Documento creado por
  8. En función de las opciones anteriores, ahora tendrá la oportunidad de crear nuevas reglas mediante condiciones y excepciones.

    Las opciones de configuración para los tipos de información confidencial son las mismas que las seleccionadas para el etiquetado automático para las aplicaciones de Office. Si necesita más información, consulte Configuración de tipos de información confidencial para una etiqueta.

    Cuando haya definido todas las reglas que necesita y confirmado que su estado está activo, seleccione Siguiente para continuar y elegir una etiqueta de aplicación automática.

  9. En la página Elegir una etiqueta para aplicarla automáticamente: seleccione + Elegir una etiqueta, seleccione una etiqueta del panel Elegir una etiqueta de confidencialidad y seleccione Siguiente.

  10. Si la directiva incluye la ubicación de Exchange: especifique configuraciones opcionales en la página Configuración adicional para el correo electrónico página:

    • Reemplazar automáticamente las etiquetas ya existentes que tienen la misma prioridad o una prioridad inferior: aplicable a los correos electrónicos entrantes y salientes, al seleccionar esta configuración, se garantiza que siempre se aplicará una etiqueta de confidencialidad coincidente. Si no selecciona esta configuración, no se aplicará una etiqueta de confidencialidad coincidente a los correos electrónicos que tengan una etiqueta de confidencialidad ya existente con una mayor prioridad o que se etiquetaron manualmente.

    • Aplicar cifrado al correo electrónico recibido desde fuera de la organización: al seleccionar esta opción, debe asignar un propietario de Rights Management para cerciorarse de que una persona autorizada de su organización tiene derechos de uso de control total para los correos electrónicos enviados desde fuera de su organización y las etiquetas de directiva con cifrado. Este rol podría ser necesario para quitar más adelante el cifrado o asignar diferentes derechos de uso para los usuarios de su organización.

      Para Asignar un propietario de Rights Management, especifique un único usuario mediante una dirección de correo electrónico que sea propiedad de su organización. No especifique un contacto de correo, un buzón compartido ni ningún tipo de grupo, ya que no se admiten para este rol.

  11. En la página Decidir si quiere probar la directiva ahora o más tarde: seleccione Ejecutar directiva en modo de simulación si ya está listo para ejecutar la directiva de etiquetado automático ahora, en el modo de simulación. A continuación, decida si quiere activar automáticamente la directiva si no se edita durante 7 días:

    Pruebe la directiva de etiquetado automático configurada.

    Si no está listo para ejecutar la simulación, seleccione Dejar la directiva desactivada.

  12. En la página Resumen: Revise la configuración de la directiva de etiquetado automático, realice los cambios que sean necesarios y finalice la configuración.

Ahora, en la página de Protección de la información> Etiquetado automático, verá su directiva de etiquetado automático en la sección Simulación o Desactivado, en función de si ha elegido ejecutarla en el modo simulación o no. Seleccione su directiva para ver los detalles de la configuración y el estado (por ejemplo, Simulación de directiva aún en ejecución). En el caso de las directivas en modo de simulación, seleccione la pestaña Elementos para revisar para ver qué correos electrónicos o documentos coincidieron con las reglas especificadas.

Puede modificar la directiva directamente desde esta interfaz:

  • Para una directiva en la sección Desactivado, seleccione el botón Editar directiva.

  • Para la directiva de la sección Simulación , seleccione la opción Editar directiva en la parte superior de la página, en cualquiera de las pestañas.

    Editar la opción de directiva de etiquetado automático.

    Cuando esté listo para ejecutar la directiva sin simulación, seleccione la opción Activar directiva.

Las directivas de etiquetado automático se ejecutan continuamente hasta que se eliminan. Por ejemplo, los archivos nuevos y modificados se incluirán en la configuración de directivas actual.

Supervisión de la directiva de etiquetado automático

Después de activar la directiva de etiquetado automático, puede ver el progreso del etiquetado de los archivos en las ubicaciones de SharePoint y OneDrive elegidas. Los correos electrónicos no se incluyen en el progreso de etiquetado porque se etiquetan automáticamente a medida que se envían.

El progreso del etiquetado incluye los archivos que va a etiquetar la directiva, los archivos etiquetados en los últimos 7 días y el total de archivos etiquetados. Debido al máximo de etiquetado de 25 000 archivos al día, esta información le proporciona visibilidad del progreso del etiquetado actual de la directiva y de cuántos archivos aún deben etiquetarse.

La primera vez que active la directiva, verá inicialmente un valor de 0 para que los archivos se etiqueten hasta que se recuperen los datos más recientes. Esta información de progreso se actualiza cada 48 horas, por lo que puede esperar ver los datos más actuales cada dos días. Al seleccionar una directiva de etiquetado automático, puede ver más detalles sobre la directiva en un panel desplegable, que incluye el progreso del etiquetado de los 10 sitios principales. La información de este panel desplegable puede estar más actualizada que la información de directiva agregada que se muestra en la página principal Etiquetado automático.

También puede ver los resultados de la directiva de etiquetado automático con el explorador de contenido cuando tenga los permisos correspondientes:

  • El grupo de roles Visor de listas del explorador de contenido le permite ver la etiqueta de un archivo, pero no el contenido del archivo.
  • El grupo de roles Visor de contenido del Explorador de contenido y los grupos de roles Information Protection y Information Protection Investigadores le permiten ver el contenido del archivo.

Sin embargo, actualmente, los administradores restringidos no podrán ver las actividades de etiquetado de OneDrive en el explorador de actividades.

Sugerencia

También puede utilizar el explorador de contenidos para identificar las ubicaciones que tienen documentos con información confidencial, pero que no están etiquetados. Con esta información, considere la posibilidad de agregar estas ubicaciones a la directiva de etiquetado automático e incluir los tipos de información confidencial identificados como reglas.

Usar PowerShell para las directivas de etiquetado automático

Puede usar el PowerShell de Seguridad y cumplimiento para crear y configurar directivas de etiquetado automático. Esto significa que puede crear y mantener completamente scripts de las directivas de etiquetado automático, lo que también proporciona un método más eficaz para especificar varias ubicaciones para SharePoint y OneDrive.

Antes de ejecutar los comandos de PowerShell, primero debe conectarse al PowerShell de Seguridad y cumplimiento.

Crear una nueva directiva de etiquetado automático:

New-AutoSensitivityLabelPolicy -Name <AutoLabelingPolicyName> -SharePointLocation "<SharePointSiteLocation>" -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

Este comando crea una directiva de etiquetado automático para un sitio de SharePoint que especifique. Para una ubicación de OneDrive use en su lugar el parámetro OneDriveLocation.

Para agregar más sitios a una directiva de etiquetado automático existente:

$spoLocations = @("<SharePointSiteLocation1>","<SharePointSiteLocation2>")
Set-AutoSensitivityLabelPolicy -Identity <AutoLabelingPolicyName> -AddSharePointLocation $spoLocations -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

Este comando especifica la nueva URL de SharePoint en una variable que luego se agrega a una directiva de etiquetado automático existente. Para agregar ubicaciones de OneDrive en su lugar, use el parámetro AddOneDriveLocation con una variable diferente, como $OneDriveLocations.

Crear una nueva regla de directiva de etiquetado automático:

New-AutoSensitivityLabelRule -Policy <AutoLabelingPolicyName> -Name <AutoLabelingRuleName> -ContentContainsSensitiveInformation @{"name"= "a44669fe-0d48-453d-a9b1-2cc83f2cba77"; "mincount" = "2"} -Workload SharePoint

Para una directiva de etiquetado automático existente, este comando crea una nueva regla de directiva para detectar el tipo de información confidencial del número de la seguridad social de los Estados Unidos (SSN), que tiene un identificador de entidad a44669fe-0d48-453d-a9b1-2cc83f2cba77. Para encontrar los ID de la entidad para otros tipos de información confidencial, consulte Definiciones de entidad de tipos de información confidencial.

Para obtener más información sobre los cmdlets de PowerShell que son compatibles con las directivas de etiquetado automático, los parámetros disponibles y algunos ejemplos, vea la ayuda del cmdlet siguiente:

Sugerencias para aumentar el alcance del etiquetado

Aunque el etiquetado automático es una de las maneras más eficaces de clasificar, etiquetar y proteger los archivos Office y PDF que posee su organización, compruebe si puede complementarlo con cualquiera de los métodos siguientes para aumentar el alcance del etiquetado:

Además, plantéese marcar nuevos archivos como confidenciales de forma predeterminada en SharePoint para evitar que los invitados accedan a los archivos recién agregados hasta que al menos una directiva DLP examine el contenido del archivo.