Compartir a través de


Usar etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint

Instrucciones de licencias de Microsoft 365 para la seguridad y el cumplimiento.

Además de usar etiquetas de confidencialidad para proteger documentos y correos electrónicos, también puede usar etiquetas de confidencialidad para proteger el contenido de los siguientes contenedores: sitios de Microsoft Teams, grupos de Microsoft 365 (anteriormente grupos de Office 365) y sitios de SharePoint. Para esta protección de nivel de contenedor, use la siguiente configuración de etiqueta:

  • Privacidad (pública o privada) de los sitios de equipos y Grupos de Microsoft 365
  • Acceso de usuarios externos
  • Uso compartido externo desde sitios de SharePoint
  • Acceso desde dispositivos no administrados
  • Contextos de autenticación
  • Impedir la detección de equipos privados para los usuarios que tienen esta funcionalidad
  • Control de canales compartidos para invitaciones de equipo
  • Vínculo de uso compartido predeterminado para un sitio de SharePoint (configuración solo de PowerShell)
  • Configuración de uso compartido de sitios (configuración solo de PowerShell)
  • Etiqueta predeterminada para las reuniones de canal

Importante

La configuración de los dispositivos no administrados y los contextos de autenticación funcionan junto con Microsoft Entra acceso condicional. Debe configurar esta característica dependiente si desea usar una etiqueta de confidencialidad para esta configuración. Se incluye información adicional en las instrucciones siguientes.

Cuando se aplica esta etiqueta de confidencialidad a un contenedor compatible, la etiqueta aplica automáticamente a la categoría de sensibilidad y las opciones de protección configuradas al sitio o grupo.

Tenga en cuenta que algunas opciones de etiqueta pueden ampliar la configuración a los propietarios del sitio que, de lo contrario, están restringidos a los administradores. Al configurar y publicar la configuración de etiqueta para las opciones de uso compartido externo y el contexto de autenticación, el propietario del sitio ahora puede establecer y cambiar estas opciones para un sitio aplicando o cambiando la etiqueta de confidencialidad de un equipo o sitio. No configure estas opciones de etiqueta específicas si no quiere que los propietarios del sitio puedan realizar estos cambios.

Sin embargo, el contenido de estos contenedores no hereda las etiquetas de la categoría de confidencialidad ni la configuración de archivos y correos electrónicos, como las marcas de contenido y el cifrado. Para que los usuarios puedan etiquetar sus documentos en los sitios de SharePoint o de grupos, asegúrese de habilitar las etiquetas de confidencialidad para archivos de Office en SharePoint y OneDrive.

Las etiquetas de contenedor no admiten la visualización de otros idiomas y muestran el idioma original solo para el nombre y la descripción de la etiqueta.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Uso de etiquetas de confidencialidad para Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint

Antes de habilitar etiquetas de confidencialidad para contenedores y establecerlas para la nueva configuración, los usuarios pueden ver y aplicar etiquetas de confidencialidad en sus aplicaciones. Por ejemplo, en Word:

Una etiqueta de confidencialidad que se muestra en la aplicación de escritorio de Word.

Después de habilitar y configurar etiquetas de confidencialidad para contenedores, los usuarios también pueden ver y aplicar etiquetas de confidencialidad en sitios de equipos de Microsoft, grupos de Microsoft 365 y sitios de SharePoint. Por ejemplo, al crear un sitio de grupo de SharePoint:

Una etiqueta de confidencialidad al crear un sitio de equipo desde SharePoint.

Una vez aplicada una etiqueta de confidencialidad a un sitio, debe tener el siguiente rol para cambiar esa etiqueta en SharePoint o Teams:

Nota:

Las etiquetas de confidencialidad para contenedores son compatibles con canales compartidos de Teams. Si un equipo tiene canales compartidos, hereda automáticamente la configuración de etiqueta de confidencialidad de su equipo primario y esa etiqueta no se puede quitar ni reemplazar con una etiqueta diferente.

Cómo habilitar etiquetas de confidencialidad para contenedores y sincronizarlas

Si aún no ha habilitado etiquetas de confidencialidad para contenedores, siga estos pasos como un procedimiento de un solo uso:

  1. Dado que esta característica usa Microsoft Entra funcionalidad, siga las instrucciones de la documentación de Microsoft Entra para habilitar la compatibilidad con etiquetas de confidencialidad: Asignar etiquetas de confidencialidad a grupos de Microsoft 365 en Microsoft Entra ID.

  2. Ahora debe sincronizar las etiquetas de confidencialidad con Microsoft Entra ID. En primer lugar, conéctese al PowerShell de Seguridad y cumplimiento

    Por ejemplo, en una sesión de PowerShell que se ejecuta como administrador, inicie sesión con una cuenta de administrador global:

  3. Después, ejecute el siguiente comando para asegurarse de que sus etiquetas de confidencialidad se pueden usar con los grupos de Microsoft 365:

    Execute-AzureAdLabelSync
    

Cómo configurar los grupos y las opciones de configuración del sitio

Una vez habilitadas las etiquetas de confidencialidad para los contenedores como se describe en la sección anterior, puede configurar los ajustes de protección para grupos y sitios en la configuración de las etiquetas de confidencialidad. Hasta que se habiliten las etiquetas de confidencialidad para contenedores, la configuración está visible, pero no puede configurarse.

  1. Siga las instrucciones generales para crear o editar una etiqueta de confidencialidad y asegúrese de que Archivos y sitios está seleccionada para el ámbito de la etiqueta:

    Opción de ámbito de etiqueta de confidencialidad para sitios de Grupos &.

    Cuando solo este ámbito para la etiqueta esté seleccionado, la etiqueta no se mostrará en las aplicaciones de Office que admiten etiquetas de confidencialidad y no se podrá aplicar a archivos y mensajes de correo electrónico. Tener esta separación de etiquetas puede ser útil tanto para los usuarios como para los administradores, pero también puede aumentar la complejidad de la implementación de la etiqueta.

    Por ejemplo, necesita revisar atentamente la clasificación de etiquetas, ya que SharePoint detecta cuándo se carga un documento con etiqueta en un sitio etiquetado. En este escenario, se generan automáticamente un evento de auditoría y un correo electrónico cuando el documento tiene una etiqueta de confidencialidad con mayor prioridad que la etiqueta del sitio. Para obtener más información, vea la sección Auditoría de actividades de etiquetas de confidencialidad en esta página.

  2. A continuación, en la página Definir la configuración de protección para grupos y sitios , seleccione las opciones que desea configurar:

    • Configuración de privacidad y acceso de usuarios externos para establecer las opciones de configuración de Privacidad y Acceso de usuarios externos.
    • Configuración de uso compartido externo y acceso condicional para configurar la opción Controlar el uso compartido externo desde sitios de SharePoint etiquetados y Usar Microsoft Entra acceso condicional para proteger los sitios de SharePoint etiquetados.
    • Los equipos privados detectan y comparten controles de canal para configurar la configuración para evitar que los usuarios que pueden detectar equipos privados encuentren un equipo privado con esta etiqueta de confidencialidad aplicada y controles de uso compartido de canales para invitaciones a otros equipos.

    Además, si está editando una etiqueta existente en la que el ámbito incluye elementos y reuniones, y ha configurado etiquetas para proteger las reuniones, puede seleccionar una etiqueta predeterminada para las reuniones de canal y todos los chats de canal. En el caso de las reuniones que no son de canal, puede seleccionar una etiqueta predeterminada como configuración de directiva.

  3. Si seleccionó Configuración de privacidad y acceso de usuarios externos, configure las siguientes opciones:

    • Privacidad: mantenga la opción predeterminada Público si quiere que cualquier persona de su organización tenga acceso al sitio de grupo o al grupo al que se aplica esta etiqueta.

      Seleccione Privado si quiere que el acceso esté restringido solo a miembros aprobados de su organización.

      Seleccione Ninguno cuando desee proteger el contenido del contenedor mediante el uso de la etiqueta de confidencialidad, pero permita que los usuarios establezcan la configuración de privacidad ellos mismos.

      Las opciones Pública o Privada para establecen y bloquean la configuración de privacidad cuando aplica esta etiqueta al contenedor. La configuración elegida reemplaza cualquier configuración de privacidad anterior establecida para el equipo o grupo, y bloquea el valor de privacidad para que solo se pueda cambiar quitando primero la etiqueta de confidencialidad del contenedor. Después de quitar la etiqueta de confidencialidad, la configuración de privacidad de la etiqueta permanece y los usuarios ya pueden cambiarla de nuevo.

    • Acceso de usuarios externos: controla si el propietario del grupo puede agregar invitados al grupo.

  4. Si seleccionó configuración de uso compartido externo y acceso condicional, ahora configure las siguientes opciones:

    • Controlar el uso compartido externo desde sitios de SharePoint etiquetados: seleccione esta opción para seleccionar el uso compartido externo para cualquier usuario, invitados nuevos y existentes, invitados existentes o solo para los usuarios de su organización. Para más información sobre esta configuración y opciones, consulte la documentación de SharePoint Activar o desactivar el uso compartido externo de un sitio.

    • Use Microsoft Entra acceso condicional para proteger sitios de SharePoint etiquetados: seleccione esta opción solo si su organización ha configurado y usa Microsoft Entra acceso condicional. Luego, seleccione uno de los siguientes parámetros:

      • Determine si los usuarios pueden acceder a sitios de SharePoint desde dispositivos no administrados: esta opción usa la característica de SharePoint que usa Microsoft Entra acceso condicional para bloquear o limitar el acceso al contenido de SharePoint y OneDrive desde dispositivos no administrados. Para obtener más información, consulte Controlar el acceso desde dispositivos no administrados en la documentación de SharePoint. La opción que especifique para esta configuración de etiqueta constituye el equivalente a ejecutar un comando de PowerShell para un sitio, tal y como se describe en los pasos 3-5 en la sección de instrucciones de SharePoint Bloquear o limitar el acceso a un sitio específico de SharePoint o a OneDrive.

        Para obtener más información sobre la configuración, vea la opción Más información sobre las dependencias para los dispositivos no administrados al final de esta sección.

      • Elija un contexto de autenticación existente: esta opción le permite aplicar condiciones de acceso más estrictas cuando los usuarios acceden a sitios de SharePoint que tienen aplicada esta etiqueta. Estas condiciones se aplican al seleccionar un contexto de autenticación existente que se ha creado y publicado para la implementación de acceso condicional de su organización. Si los usuarios no cumplen las condiciones configuradas o usan aplicaciones que no admiten contextos de autenticación, se les denegará el acceso.

        Para obtener más información de configuración, consulte Más información sobre las dependencias de la opción de contexto de autenticación al final de esta sección.

        Ejemplos de esta configuración de etiquetas:

        • Elija un contexto de autenticación que esté configurado para requerir la autenticación multifactor (MFA). Después, esta etiqueta se aplica a un sitio de SharePoint que contiene elementos altamente confidenciales. Como resultado, cuando los usuarios de una red que no son de confianza intentan acceder a un documento de este sitio, ven la solicitud de MFA que deben completar para poder acceder al documento.

        • Elija un contexto de autenticación configurado para directivas de condiciones de uso (ToU). A continuación, esta etiqueta se aplica a un sitio de SharePoint que contiene elementos que requieren una aceptación de las condiciones de uso por motivos legales o de conformidad normativa. Como resultado, cuando los usuarios intentan acceder a un documento en este sitio, ven un documento de condiciones de uso que deben aceptar para poder acceder al documento original.

  5. Si seleccionó Detección de equipos privados y controles de canal compartido:

    • Para la detección de equipos privados, use la casilla Permitir a los usuarios detectar equipos privados que tengan aplicada esta etiqueta cuando haya configurado una directiva de Teams que permita la detección de equipos privados:

      • Cuando se activa la casilla (la configuración predeterminada), se podrá detectar un equipo privado con la etiqueta de confidencialidad aplicada para un usuario que tenga permiso para detectar equipos privados.
      • Cuando se desactiva la casilla, un equipo privado con la etiqueta de confidencialidad aplicada permanecerá oculto y no podrá detectarse para todos los usuarios.
    • En el caso de los canales compartidos de Teams, cuando un equipo tiene aplicada una etiqueta de confidencialidad, puede permitir o impedir que otros equipos sean invitados a los canales compartidos del equipo original. Para obtener más información sobre los canales compartidos, consulte Canales compartidos en Microsoft Teams.

      Importante

      Estas opciones para los canales compartidos de Teams dependen de la configuración de la página privacidad y acceso de usuario externo anterior. Si selecciona una opción que no es compatible con esta configuración anterior, verá un mensaje de validación para cambiar la selección. Como alternativa, puede volver a la configuración para cambiar la configuración dependiente.

      Las opciones incluyen Solo interno, Solo la misma etiqueta y Solo equipo privado. Solo la última opción puede quitar equipos invitados previamente y ninguna de las opciones afecta a las invitaciones a usuarios individuales.

La configuración de sitio y grupo surte efecto al aplicar la etiqueta a un equipo, grupo o sitio. Si el ámbito de la etiqueta incluye archivos y mensajes de correo electrónico, otras opciones de configuración de etiqueta, como el cifrado y la marcación de contenido, no se aplicarán a todo el contenido del equipo, grupo o sitio.

Si la etiqueta de confidencialidad aún no se ha publicado, publíquela agregándola a una directiva de etiqueta de confidencialidad. Los usuarios que tienen asignada una directiva de etiqueta de confidencialidad que incluye esta etiqueta podrán seleccionarla para sitios y grupos.

Más información sobre la opción de dependencias para los dispositivos no administrados

Si no configura la directiva de acceso condicional dependiente para SharePoint tal y como se describe en Utilizar las restricciones que exige la aplicación, la opción que especifique aquí no tendrá ningún efecto. Además, no tendrá ningún efecto si es menos restrictiva que una configuración establecida en el nivel de inquilino. Si ha configurado una opción de configuración a nivel de toda la organización para dispositivos no administrados, elija una configuración de etiqueta que sea igual o más restrictiva.

Por ejemplo, si la cuenta empresarial está configurada para Permitir tan solo el acceso web limitado, el valor de la etiqueta que permite el acceso total no tendrá ningún efecto, ya que es menos restrictivo. Para esta configuración a nivel de la cuenta empresarial, elija el valor de la etiqueta que permita bloquear el acceso (más restrictivo) o el valor de la etiqueta para acceso limitado (igual que la configuración de la cuenta empresarial).

Dado que puede configurar las opciones de configuración de SharePoint independientemente de la configuración de etiqueta, no hay ninguna comprobación en el asistente de etiquetas de confidencialidad que incluya las dependencias. Estas dependencias pueden configurarse después de crear y publicar la etiqueta, e incluso después de aplicarla. Sin embargo, si la etiqueta ya se ha aplicado, la configuración no tendrá efecto hasta que el usuario vuelva a autenticarse.

Más información sobre las dependencias de la opción de contexto de autenticación

Para mostrarse en la lista desplegable de selección, los contextos de autenticación deben crearse, configurarse y publicarse como parte de la configuración de acceso condicional de Microsoft Entra. Para obtener más información e instrucciones, consulte la sección Configurar contextos de autenticación de la documentación Microsoft Entra acceso condicional.

No todas las aplicaciones admiten contextos de autenticación. Si un usuario con una aplicación no compatible se conecta al sitio que está configurado para un contexto de autenticación, verá un mensaje de acceso denegado o se le pedirá que se autentique, pero se le rechazará. Las aplicaciones que admiten actualmente contextos de autenticación:

  • Office para la Web, que incluye Outlook para la Web

  • Microsoft Teams para Windows y macOS (excluye la aplicación web de Teams)

  • Microsoft Planner

  • Aplicaciones de Microsoft 365 para Word, Excel y PowerPoint; versiones mínimas:

    • Windows: 2103
    • macOS: 16.45.1202
    • iOS: 2.48.303
    • Android: 16.0.13924.10000
  • Aplicaciones de Microsoft 365 para Outlook; versiones mínimas:

    • Windows: 2103
    • macOS: 16.45.1202
    • iOS: 4.2109.0
    • Android: 4.2025.1
  • Aplicación de Sincronización de OneDrive, versiones mínimas:

    • Windows: 21.002
    • macOS: 21.002
    • iOS: 12.30
    • Android: aún no compatible

Limitaciones conocidas:

  • Para la aplicación de Sincronización de OneDrive, solo es compatible con OneDrive y no con otros sitios.

  • Las siguientes características y aplicaciones pueden ser incompatibles con contextos de autenticación, por lo que le recomendamos que compruebe que siguen funcionando después de que un usuario acceda correctamente a un sitio mediante un contexto de autenticación:

    • Flujos de trabajo que usan PowerApps o Power Automate
    • Aplicaciones de terceros

Además de la configuración de etiquetas para sitios y grupos que puede configurar desde el portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview, también puede configurar el tipo de vínculo de uso compartido predeterminado para un sitio. Las etiquetas de confidencialidad de los documentos también se pueden configurar para un tipo de vínculo de uso compartido predeterminado. Esta configuración, que ayuda a evitar el uso compartido excesivo, se selecciona automáticamente cuando los usuarios seleccionan el botón Compartir en sus aplicaciones de Office.

Para obtener más información e instrucciones, vea Uso de las etiquetas de confidencialidad para configurar el tipo de vínculo de uso compartido predeterminado para sitios y documentos en SharePoint y OneDrive.

Configuración de permisos de uso compartido de sitios mediante la configuración avanzada de PowerShell

Otra configuración avanzada de PowerShell que puede configurar para que la etiqueta de confidencialidad se aplique a un sitio de SharePoint es MembersCanShare. Esta configuración es la configuración equivalente que puede establecer desde el Centro > de administración de SharePoint Permisos> de sitio Cambio deuso compartido> del sitioCambiar la forma en que los miembros pueden compartir>permisos de uso compartido.

Las tres opciones se muestran con los valores equivalentes para la configuración avanzada de PowerShell MembersCanShare:

Opción del Centro de administración de SharePoint Valor de PowerShell equivalente para MembersCanShare
Los propietarios y miembros del sitio pueden compartir archivos, carpetas y el sitio. Personas con permisos de edición puede compartir archivos y carpetas. MemberShareAll
los propietarios y miembros del sitio, y las personas con permisos de edición pueden compartir archivos y carpetas, pero solo los propietarios del sitio pueden compartir el sitio. MemberShareFileAndFolder
Solo los propietarios del sitio pueden compartir archivos, carpetas y el sitio. MemberShareNone

Para obtener más información sobre estas opciones de configuración, vea Cambiar el modo en que los miembros pueden compartir desde la documentación de la comunidad de SharePoint.

Ejemplo, en que el GUID de la etiqueta de confidencialidad es 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{MembersCanShare="MemberShareNone"}

Para obtener más ayuda sobre cómo especificar la configuración avanzada de PowerShell, consulte Sugerencias de PowerShell para especificar la configuración avanzada.

Administración de etiquetas de confidencialidad

Use las siguientes instrucciones para crear, modificar o eliminar las etiquetas de confidencialidad configuradas para sitios y grupos.

Crear y publicar etiquetas configuradas para sitios y grupos

Use las siguientes instrucciones para publicar una etiqueta para los usuarios establecida para la configuración de sitio y grupo:

  1. Después de crear y configurar la etiqueta de confidencialidad, agréguela a una directiva de etiqueta que solo se aplique a algunos usuarios de prueba.

  2. Espere a que se replique el cambio:

    • Nueva etiqueta: espere al menos una hora, a menos que la configuración configurada incluya controles de canal compartido de Teams. Si ese es el caso, espere al menos 24 horas.
    • Etiqueta existente: espere al menos 24 horas.

    Para obtener más información sobre el plazo de las etiquetas, consulte Cuándo esperar que las nuevas etiquetas y los cambios entren en vigor.

  3. Después de este período, utilice una de las cuentas de usuario de prueba para crear un equipo, un grupo de Microsoft 365 o un sitio de SharePoint con la etiqueta creada en el paso 1.

  4. Si no se producen errores durante el proceso de creación, significa que es seguro publicar la etiqueta en todos los usuarios de su inquilino.

Modificar las etiquetas publicadas que están configuradas para sitios y grupos

Como práctica recomendada, no cambie la configuración de sitio y grupo para una etiqueta de confidencialidad cuando se haya aplicado a equipos, grupos o sitios. Si lo hace, recuerde esperar al menos 24 horas para que los cambios se repliquen en todos los contenedores que tienen aplicada la etiqueta.

Además, si los cambios incluyen la configuración Acceso de usuarios externos:

  • La nueva configuración se aplica a los usuarios nuevos, pero no a los usuarios existentes. Por ejemplo, si esta configuración se seleccionó previamente y, como resultado, los usuarios invitados entraron el sitio, estos aún podrán tener acceso al sitio después de que la opción esté desactivada en la configuración de la etiqueta.

  • La configuración de privacidad de las propiedades de grupo hiddenMembership y roleEnabled no se actualiza.

Eliminar etiquetas publicadas que están configuradas para sitios y grupos

Si elimina una etiqueta de confidencialidad con la configuración de sitio y grupo habilitada, y esa etiqueta se incluye en una o más directivas de etiquetas, esta acción pueden provocar fallas de creación para nuevos equipos, grupos y sitios. Para evitarlo, siga las instrucciones que se indican a continuación:

  1. Elimine la etiqueta de confidencialidad de todas las directivas de etiqueta que la incluyan.

  2. Espere al menos una hora.

  3. Después de este período, pruebe a crear un equipo, grupo o sitio y compruebe que la etiqueta ya no es visible.

  4. Si la etiqueta de confidencialidad no es visible, ya puede eliminarla de forma segura.

Cómo aplicar etiquetas de confidencialidad a contenedores

Ya está listo para aplicar la etiqueta o las etiquetas de confidencialidad a los siguientes contenedores:

Puede usar PowerShell si necesita aplicar una etiqueta de sensibilidad a varios sitios.

Aplicar etiquetas de confidencialidad a grupos de Microsoft 365

Ya está listo para aplicar la etiqueta o las etiquetas de confidencialidad a los grupos de Microsoft 365. Vuelva a la documentación de Microsoft Entra para obtener instrucciones:

Aplicar una etiqueta de confidencialidad a un nuevo equipo

Los usuarios pueden seleccionar etiquetas de confidencialidad al crear nuevos equipos en Microsoft Teams. Al seleccionar la etiqueta en la lista desplegable confidencialidad, es posible que la configuración de privacidad cambie para reflejar la configuración de la etiqueta. En función de la configuración de acceso de usuarios externos que haya seleccionado para la etiqueta, los usuarios pueden o no, agregar al equipo personas de fuera de la organización.

Más información sobre las etiquetas de confidencialidad para Teams

La configuración de privacidad al crear un nuevo equipo.

Después de crear el equipo, se muestra la etiqueta de confidencialidad en la esquina superior derecha de todos los canales.

La etiqueta de confidencialidad se muestra en el equipo.

El servicio aplica automáticamente la misma etiqueta de confidencialidad al grupo de Microsoft 365 y al sitio de grupo de SharePoint conectado.

Aplicar una etiqueta de confidencialidad a un nuevo grupo en Outlook en la Web

En Outlook en la Web, al crear un grupo, puede seleccionar o cambiar la opción confidencialidad para las etiquetas publicadas:

Crear un grupo y seleccionar una opción en Confidencialidad.

Aplicar una etiqueta de confidencialidad a un nuevo sitio

Los administradores y los usuarios finales pueden seleccionar las etiquetas de confidencialidad cuando crean sitios de grupo y de comunicación modernos y expandir la configuración avanzada:

Crear un sitio y seleccionar una opción en Confidencialidad.

En el cuadro desplegable se mostrarán los nombres de etiqueta de la selección, y en el icono de ayuda se mostrarán todos los nombres de etiqueta con la información sobre herramientas, que puede ayudar a los usuarios a determinar la etiqueta correcta que debe aplicar.

Cuando los usuarios exploren el sitio, podrán ver el nombre de la etiqueta y las directivas aplicadas. Por ejemplo, este sitio se ha etiquetado como confidencial y la configuración de privacidad se ha establecido en privada:

Un sitio en el que se ha aplicado una etiqueta de confidencialidad.

Usar PowerShell para aplicar una etiqueta de confidencialidad a varios sitios

Puede usar los cmdlet Set-SPOSite y Set-SPOTenant con el parámetro SensitivityLabel desde el Shell de SharePoint Online Management actual para aplicar una etiqueta de confidencialidad a muchos sitios. Puede usar el mismo procedimiento para reemplazar una etiqueta existente. Los sitios pueden ser cualquiera de los pertenecientes a la colección de sitios de SharePoint o un sitio de OneDrive.

Asegúrese de que tiene la versión 16.0.19418.12000 o posterior del Shell de administración de SharePoint Online.

  1. Abra una sesión de PowerShell con la opción Ejecutar como administrador.

  2. Si no conoce el GUID de la etiqueta, vaya a: Conectarse al PowerShell de Seguridad y cumplimiento y obtenga la lista de etiquetas de confidencialidad y sus GUID.

    Get-Label |ft Name, Guid
    
  3. Ahora, conéctese a SharePoint Online PowerShell y almacene el GUID de etiqueta como una variable. Por ejemplo:

    $Id = [GUID]("e48058ea-98e8-4940-8db0-ba1310fd955e")
    
  4. Cree una nueva variable que identifique varios sitios con una cadena de identificación en común en su URL. Por ejemplo:

    $sites = Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like 'documents"
    
  5. Ejecute el siguiente comando para aplicar la etiqueta a estos sitios. Utilice nuestros ejemplos:

    $sites | ForEach-Object {Set-SPOTenant $_.url -SensitivityLabel $Id}
    

Esta serie de comandos le permite etiquetar varios sitios en el espacio empresarial con la misma etiqueta de confidencialidad y, por este motivo, puede usar el cmdlet Set-SPOTenant, en lugar del cmdlet Set-SPOSite que se usa para la configuración por sitio. Pero use el cmdlet Set-SPOSite cuando necesite aplicar una etiqueta diferente a sitios específicos repitiendo el comando siguiente en cada uno de estos sitios: Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"

Ver y administrar etiquetas de confidencialidad en el centro de administración de SharePoint

Para ver, ordenar y buscar las etiquetas de confidencialidad aplicadas, use sitios activos en el nuevo Centro de administración de SharePoint. Es posible que primero tenga que agregar la columna confidencialidad:

La columna Confidencialidad en la página Sitios activos.

Para obtener más información sobre la administración de sitios desde la página Sitios activos, incluido cómo agregar una columna, vea Administrar sitios en el nuevo centro de administración de SharePoint.

También puede cambiar y aplicar una etiqueta desde esta página:

  1. Seleccione el nombre del sitio para abrir el panel de detalles.

  2. Seleccione la pestaña Directivas y después, elija Editar para la configuración Confidencialidad.

  3. En el panel Editar configuración de confidencialidad seleccione la etiqueta de confidencialidad que desea aplicar al sitio. A diferencia de las aplicaciones de usuario, donde las etiquetas de confidencialidad se pueden asignar a usuarios específicos, el centro de administración muestra todas las etiquetas de contenedor para el inquilino. Después de elegir una etiqueta de confidencialidad, seleccione Guardar.

Compatibilidad con etiquetas de confidencialidad.

Cuando se usan centros de administración que admiten etiquetas de confidencialidad, con la excepción de la Centro de administración Microsoft Entra, verá todas las etiquetas de confidencialidad para el inquilino. En comparación, las aplicaciones y servicios de usuario que filtran etiquetas de confidencialidad según las directivas de publicación pueden provocar que veas un subconjunto de esas etiquetas. El Centro de administración Microsoft Entra también filtra las etiquetas según las directivas de publicación.

Las siguientes aplicaciones y servicios son compatibles con etiquetas de confidencialidad establecidas para la configuración de sitio y grupo:

  • Centros de administración:

    • Centro de administración de SharePoint
    • Centro de administración de Teams
    • Centro de administración de Microsoft 365
    • Portal Microsoft Purview
    • Portal de cumplimiento de Microsoft Purview.
  • Servicios y aplicaciones de usuario:

    • SharePoint
    • Teams
    • Outlook en la Web y para Windows, macOS, iOS y Android
    • Forms
    • Stream
    • Planner

Las siguientes aplicaciones y servicios actualmente no son compatibles con las etiquetas de confidencialidad establecidas para la configuración de sitios y grupos:

  • Centros de administración:

    • Centro de administración de Exchange
  • Servicios y aplicaciones de usuario:

    • Dynamics 365
    • Viva Engage
    • Project
    • Power BI
    • Portal Mis aplicaciones

Clasificación de grupos de Microsoft Entra clásica

Después de habilitar las etiquetas de confidencialidad para contenedores, Microsoft 365 ya no admite las clasificaciones de grupos de Microsoft Entra ID y no se mostrarán en sitios que admitan etiquetas de confidencialidad. Sin embargo, puede convertir las clasificaciones antiguas en etiquetas de confidencialidad.

Como ejemplo de cómo podría haber utilizado la antigua clasificación de grupos para SharePoint, consulte Clasificación de sitios "modernos" de SharePoint.

Estas clasificaciones se configuraron mediante Microsoft Graph PowerShell o la biblioteca PnP Core y definiendo valores para la ClassificationList configuración.

($setting["ClassificationList"])

Para convertir las clasificaciones antiguas en etiquetas de confidencialidad, siga uno de estos procedimientos:

  • Usar etiquetas existentes: especifique la configuración de la etiqueta que desee para los sitios y grupos al editar las etiquetas de confidencialidad existentes que ya están publicadas.

  • Crear etiquetas nuevas: especifique la configuración de la etiqueta que desee para los sitios y grupos creando y publicando nuevas etiquetas de confidencialidad que tengan los mismos nombres que las de las clasificaciones existentes.

Luego:

  1. Use PowerShell para aplicar las etiquetas de confidencialidad a los grupos de Microsoft 365 y a los sitios de SharePoint mediante la asignación de nombres. Vea la siguiente sección para obtener instrucciones.

  2. Quitar las clasificaciones antiguas de los grupos y sitios existentes.

Aunque no se puede impedir que los usuarios creen grupos nuevos en aplicaciones y servicios que aún no admiten las etiquetas de confidencialidad, puede ejecutar un script de PowerShell periódico para buscar grupos nuevos que los usuarios han creado con las clasificaciones anteriores y convertirlos para usar etiquetas de confidencialidad.

Para ayudarle a administrar la coexistencia de etiquetas de confidencialidad y clasificaciones de Microsoft Entra para sitios y grupos, consulte Microsoft Entra etiquetas de clasificación y confidencialidad para grupos de Microsoft 365.

Usar PowerShell para convertir clasificaciones de grupos de Microsoft 365 a etiquetas de confidencialidad

  1. En primer lugar, conéctese a Security & Compliance PowerShell con una cuenta de administrador de cumplimiento.

  2. Consiga la lista de etiquetas de sensibilidad y sus GUIDs usando el cmdletGet-Label:

    Get-Label |ft Name, Guid
    
  3. Tome nota de los GUID para las etiquetas de confidencialidad que quiere aplicar a los grupos de Microsoft 365.

  4. Ahora conéctese a PowerShell en línea de Exchange en una ventana independiente de Windows PowerShell.

  5. Use el comando siguiente como ejemplo para obtener la lista de grupos que actualmente tienen la clasificación de "general":

    $Groups= Get-UnifiedGroup | Where {$_.classification -eq "General"}
    
  6. Para cada grupo, agregue la nueva etiqueta de sensibilidad GUID. Por ejemplo:

    foreach ($g in $groups)
    {Set-UnifiedGroup -Identity $g.Identity -SensitivityLabelId "457fa763-7c59-461c-b402-ad1ac6b703cc"}
    
  7. Repita los pasos 5 y 6 para el resto de sus clasificaciones de grupo.

Auditar actividades de etiqueta de confidencialidad

Importante

Si usa la separación de etiquetas seleccionando solo el ámbito de sitios de Grupos & para las etiquetas que protegen los contenedores: debido al evento de auditoría de confidencialidad del documento detectado y al correo electrónico que se describe en esta sección, considere la posibilidad de ordenar etiquetas antes de etiquetas que tengan un ámbito para Archivos & otros recursos de datos.

Si alguien carga un documento en un sitio protegido con una etiqueta de confidencialidad y el documento tiene una etiqueta de confidencialidad de mayor prioridad que la etiqueta de confidencialidad que se aplica al sitio, esta acción no está bloqueada. Por ejemplo, aplicó la etiqueta general a un sitio de SharePoint y alguien carga en este sitio un documento etiquetado como confidencial. Debido a que una etiqueta de confidencialidad con mayor prioridad identifica el contenido que es más confidencial que el contenido que tiene un orden de menor prioridad, esta situación podría ser un problema de seguridad.

Aunque la acción no está bloqueada, se audita y, de forma predeterminada, genera un correo electrónico para la persona que cargó el documento y el administrador del sitio. Como resultado, tanto el usuario como los administradores pueden identificar los documentos que no están alineados con la prioridad de las etiquetas y tomar las medidas necesarias. Por ejemplo, eliminar o mover el documento cargado del sitio.

No sería un problema de seguridad si el documento tiene una etiqueta de confidencialidad de menor prioridad que la etiqueta de confidencialidad aplicada al sitio. Por ejemplo, un documento con la etiqueta general se carga en un sitio con la etiqueta confidencial. En este escenario, no se generarán ni un evento de auditoría, ni un correo electrónico.

Nota:

Al igual que para la opción de directiva que requiere que los usuarios proporcionen una justificación para cambiar una etiqueta a una clasificación inferior, todas las subetiquetas de la misma etiqueta primaria se consideran que tienen la misma prioridad.

Para buscar el registro de auditoría para este evento, busque Desfase detectado de la confidencialidad del documento en la categoría de las actividades de archivos y páginas.

El correo electrónico generado automáticamente tiene el asunto Etiqueta de confidencialidad no compatible detectado y el mensaje de correo electrónico explica que la etiqueta no coincide con un vínculo al documento cargado y al sitio. También contiene una línea para su propia documentación interna: HelpLink : Guía de solución de problemas. Debe configurar el hipervínculo para la guía de solución de problemas mediante el cmdlet Set-SPOTenant con el parámetro LabelMismatchEmailHelpLink . Por ejemplo:

Set-SPOTenant –LabelMismatchEmailHelpLink "https://support.contoso.com"

El mensaje de correo electrónico también tiene un vínculo de documentación de Microsoft que proporciona información básica para que los usuarios cambien la etiqueta de confidencialidad: Aplicar etiquetas de confidencialidad a los archivos y el correo electrónico en Office

Excepto por la dirección URL interna que debe especificar, estos correos electrónicos automatizados no se pueden personalizar. Sin embargo, puede evitar que se envíen cuando use el siguiente comando de PowerShell de Set-SPOTenant:

Set-SPOTenant -BlockSendLabelMismatchEmail $True

Cuando alguien agrega o quita una etiqueta de confidencialidad a un sitio o grupo, estas actividades también se auditan, pero sin generar un correo electrónico automáticamente.

Todos estos eventos de auditoría se pueden encontrar en la sección Actividades de etiqueta de confidencialidad de la documentación de las actividades del registro de auditoría.

Cómo deshabilitar etiquetas de confidencialidad para contenedores

Puede desactivar las etiquetas de confidencialidad para Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint siguiendo las mismas instrucciones que se indican en Habilitar la compatibilidad con etiquetas de confidencialidad en PowerShell. Sin embargo, para deshabilitar la característica, en el paso 5, especifique $setting["EnableMIPLabels"] = "False".

Además de hacer que todas las opciones de configuración para grupos y sitios no estén disponibles cuando cree o edite etiquetas de confidencialidad, esta acción revierte la propiedad que usan los contenedores para su configuración. La habilitación de etiquetas de confidencialidad para Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint cambia la propiedad usada de Clasificación (usada para Microsoft Entra clasificación de grupos) a Confidencialidad. Cuando deshabilita las etiquetas de confidencialidad para contenedores, estos ignoran la propiedad Confidencialidad y vuelven a usar la propiedad Clasificación.

Esto quiere decir que no se exigirá la configuración de etiquetas para sitios y grupos que se aplicó previamente a los contenedores, y los contenedores ya no mostrarán las etiquetas.

Si estos contenedores tienen Microsoft Entra valores de clasificación aplicados, los contenedores vuelven a usar las clasificaciones de nuevo. Tenga en cuenta que cualquier nuevo sitio o grupo creado después de habilitar la característica no mostrará una etiqueta ni tendrá una clasificación. Ahora puede aplicar valores de clasificación tanto a estos como a los nuevos contenedores. Para obtener más información, consulte Clasificación de sitios "moderna" de SharePoint y Crear clasificaciones para grupos de Office en su organización.

Recursos adicionales

Para obtener más información sobre la administración de sitios conectados de Teams y sitios de canales, vea Administrar sitios conectados de Teams y sitios de canales.