Aplicación de controles de seguridad y cumplimiento

Se aplica a: Administración de inquilinos de consumo: administrador de cumplimiento/ administrador de seguridad / administrador de SharePoint

Aplique controles de seguridad y cumplimiento al contenido de SharePoint Embedded mediante Microsoft Purview y las características de administración de SharePoint admitidas.

SharePoint Embedded usa funcionalidades de cumplimiento y gobernanza de datos de Microsoft 365 para que las organizaciones puedan proteger, gobernar e investigar el contenido almacenado por las aplicaciones insertadas.

Algunos escenarios de cumplimiento requieren que la aplicación propietaria proporcione la experiencia del usuario final porque SharePoint Embedded es solo api y no tiene su propia interfaz de usuario.

Importante

Coordinar los controles de cumplimiento con el propietario de la aplicación de SharePoint Embedded. Una directiva puede proteger el contenido, pero la aplicación propietaria debe implementar el comportamiento de la aplicación propietaria para controlar los efectos de esas directivas.

Antes de empezar

Confirme estos requisitos previos.

  • Puede acceder a Microsoft Purview con el rol de cumplimiento necesario.
  • Puede acceder a las herramientas de administración de SharePoint cuando se necesiten los detalles del contenedor.
  • Puede identificar la aplicación y los contenedores de SharePoint Embedded en el ámbito.
  • Puede recuperar las direcciones URL del sitio de contenedor para las directivas de destino.
  • Los propietarios de aplicaciones entienden el impacto de la directiva en su experiencia de usuario.
  • Las partes interesadas legales, de administración de registros y de seguridad aprueban el diseño del control.

Para ver los controles admitidos, consulte Planear la seguridad, el cumplimiento y la gobernanza.

Obtención de detalles del contenedor para el ámbito de la directiva

Muchas tareas de cumplimiento necesitan una dirección URL de contenedor o un identificador de contenedor.

Use PowerShell para recuperar los detalles de la aplicación y el contenedor.

  1. Vea las aplicaciones de SharePoint Embedded registradas en el inquilino.

    Get-SPOApplication
    
  2. Recuperar contenedores para una aplicación.

    Get-SPOContainer -OwningApplicationId <OwningApplicationID>
    
  3. Recupere los detalles de un contenedor.

    Get-SPOContainer -OwningApplicationId <ApplicationID> -Identity <ContainerID>
    

Use la dirección URL del sitio de contenedor para dirigir las directivas a contenedores específicos de SharePoint Embedded.

Para obtener más información sobre el cmdlet, consulte Get-SPOContainer.

Aplicación de controles de auditoría

Capacidades de auditoría para las capacidades de auditoría de SharePoint Embedded reflejadas existentes de SharePoint. Las operaciones de usuario y administración realizadas en aplicaciones de SharePoint Embedded se capturan en el registro de auditoría unificado.

Use la auditoría de Microsoft Purview para buscar actividad e investigar operaciones de archivo, usuario, aplicación y administrador.

Resultados de búsqueda de auditoría de Microsoft Purview para la actividad de SharePoint Embedded, incluidos los campos ContainerInstanceId y ContainerTypeId.

Para ver los pasos de revisión de auditoría, consulte Revisar eventos de auditoría. Para obtener una lista detallada de los eventos de auditoría de registro de tipo de contenedor y tipo de contenedor, vea Eventos de registro de auditoría de SharePoint Embedded.

Aplicación de eDiscovery

Los administradores de cumplimiento pueden usar Microsoft Purview eDiscovery para buscar, mantener y exportar contenido hospedado en SharePoint Embedded.

Para buscar todo el contenido de SharePoint Embedded con contenido de SharePoint:

  1. Abra la experiencia de eDiscovery en Microsoft Purview.
  2. Configure la búsqueda.
  3. Seleccione Todos los sitios de SharePoint para la carga de trabajo de SharePoint.
  4. Ejecute la búsqueda.
  5. Revise los resultados según el proceso de exhibición de documentos electrónicos.

Microsoft Purview eDiscovery búsqueda configurada con todos los sitios de SharePoint seleccionados para incluir todos los contenedores de SharePoint Embedded.

Para limitar la búsqueda a contenedores de SharePoint Embedded seleccionados:

  1. Recupere la dirección URL del sitio de contenedor.
  2. En la carga de trabajo de sitios de SharePoint, elija sitios específicos.
  3. Agregue la dirección URL del contenedor.
  4. Ejecute y valide la búsqueda.

Microsoft Purview eDiscovery búsqueda mediante Elegir sitios en la carga de trabajo de sitios de SharePoint para tener como destino una dirección URL de contenedor específica.

Para obtener instrucciones sobre el producto, consulte soluciones de Microsoft Purview eDiscovery.

Aplicar retención y retenciones

SharePoint Embedded admite directivas de retención y suspensión en el contenido almacenado en aplicaciones a través de Microsoft Purview. Use estas opciones de ámbito:

Ámbito Efecto
Todos los sitios de SharePoint Se aplica a sitios de SharePoint y contenedores de SharePoint Embedded.
Ubicaciones seleccionadas Se aplica a ubicaciones específicas de SharePoint, incluidas las direcciones URL de contenedor de SharePoint Embedded seleccionadas.

Use un ámbito amplio cuando una directiva se aplique a todo el contenido de SharePoint y SharePoint Embedded.

Use las direcciones URL de contenedor seleccionadas cuando una directiva solo se aplica a datos específicos.

Directiva de retención de Microsoft Purview configurada para Todos los sitios, que la aplica en todos los sitios de SharePoint y contenedores de SharePoint Embedded.

La directiva de retención de Microsoft Purview tiene como ámbito las direcciones URL de contenedor de SharePoint Embedded seleccionadas.

Nota:

SharePoint Embedded no proporciona una interfaz de usuario final nativa para las interacciones de etiquetas de retención. Si los usuarios necesitan aplicar o responder a etiquetas de retención en una aplicación, la aplicación propietaria debe proporcionar esa experiencia.

Para obtener Administración del ciclo de vida de Microsoft Purview, consulte Más información sobre Administración del ciclo de vida de Microsoft Purview.

Aplicación de directivas DLP

Use Prevención de pérdida de datos de Microsoft Purview (DLP) para identificar, supervisar y proteger automáticamente elementos confidenciales almacenados en aplicaciones de SharePoint Embedded.

Para aplicar DLP en términos generales:

  1. Cree o edite una directiva DLP en Microsoft Purview.
  2. Elija la carga de trabajo de sitios de SharePoint.
  3. Seleccione Todos los sitios cuando la directiva incluya todos los sitios de SharePoint y los contenedores de SharePoint Embedded.
  4. Configure reglas, acciones y alertas.
  5. Pruebe y habilite la directiva según el proceso de implementación.

Para aplicar DLP a los contenedores de SharePoint Embedded seleccionados:

  1. Recupere las direcciones URL del contenedor.
  2. Configure la directiva DLP para las ubicaciones de SharePoint seleccionadas.
  3. Agregue las direcciones URL del contenedor.
  4. Valide el comportamiento de la directiva con el propietario de la aplicación.

Directiva DLP de Microsoft Purview configurada para que todos los sitios incluyan todos los sitios de SharePoint y contenedores de SharePoint Embedded.

La directiva DLP de Microsoft Purview tiene como ámbito las direcciones URL de contenedor de SharePoint Embedded seleccionadas.

Algunos escenarios DLP requieren la interacción del usuario, como la justificación empresarial para la invalidación o sugerencias de directiva.

Dado que SharePoint Embedded no proporciona una interfaz de usuario nativa, la aplicación cliente debe implementar la experiencia de usuario necesaria, a menudo mediante Microsoft Graph cuando corresponda.

Para obtener más información sobre DLP, consulte Información sobre la prevención de pérdida de datos.

Aplicación de etiquetas de confidencialidad a contenedores

Los administradores globales y los administradores incrustados de SharePoint pueden establecer o quitar etiquetas de confidencialidad en contenedores de SharePoint Embedded con SharePoint PowerShell.

Establezca una etiqueta:

Set-SPOContainer -Identity <ContainerID/ContainerSiteURL> -SensitivityLabel <SensitivityLabelGUID>

Quite una etiqueta mediante el comando de etiqueta de contenedor compatible documentado en Administración de contenedores con PowerShell.

Antes de aplicar etiquetas:

  • Confirme que la etiqueta está publicada.
  • Confirme que la etiqueta es adecuada para el contenedor.
  • Confirme el comportamiento de la aplicación con el propietario de la aplicación.
  • Confirme los requisitos de cumplimiento con los propietarios de datos.

Para obtener información sobre los conceptos de etiquetas, consulte Información sobre las etiquetas de confidencialidad.

Aplicación de la directiva de descarga de bloques

Los administradores y administradores globales de SharePoint pueden bloquear las descargas de archivos de contenedores de SharePoint Embedded con el cmdlet de directiva de sitio de SharePoint.

Set-SPOSite -Identity <ContainerSiteURL> -BlockDownloadPolicy $true

Se necesita una licencia de Administración avanzada de SharePoint para aplicar esta directiva.

Lea la documentación de SharePoint antes de habilitarla en producción.

Para obtener más información, vea Bloquear la directiva de descarga para sitios de SharePoint y OneDrive.

Aplicación de la directiva de acceso condicional

SharePoint Embedded admite configuraciones básicas de directivas de acceso condicional.

El ConditionalAccessPolicy parámetro admite estos valores:

  • AllowFullAccess
  • AllowLimitedAccess
  • BlockAccess

Use este cmdlet de PowerShell de SharePoint:

Set-SPOContainer -Identity <ContainerSiteURL> -ConditionalAccessPolicy <SPOConditionalAccessPolicyType>

Revise las directivas de acceso de inquilino antes de cambiar el acceso al contenedor.

Pruebe el comportamiento de la aplicación para clientes web, de escritorio y móviles.

Para obtener instrucciones relacionadas, consulte Control del acceso desde dispositivos no administrados.

Aclarar responsabilidades

Los controles de seguridad y cumplimiento suelen abarcar varios equipos.

Equipo Responsabilidades
Administradores de cumplimiento Configure el ámbito de auditoría, exhibición de documentos electrónicos, retención, DLP y directiva de Purview.
Administradores de SharePoint Embedded Recupere los detalles del contenedor y aplique la configuración de contenedor admitida.
Propietarios de aplicaciones de SharePoint Embedded Implemente experiencias de usuario de la aplicación para sugerencias de directivas, invalidaciones, etiquetas y control de errores.
Administradores de seguridad Revise las restricciones de acceso condicional y acceso.
Equipos legales o de registros Aprobar las decisiones de suspensión, retención y eliminación.

Documente el propietario de cada control antes de la implementación.

Validación del comportamiento de la directiva

Después de aplicar un control:

  1. Confirme que la directiva está publicada o habilitada.
  2. Confirme que la dirección URL del contenedor de destino o el ámbito de todos los sitios es correcto.
  3. Pida al propietario de la aplicación que pruebe los flujos de trabajo de usuario comunes.
  4. Revise los registros de auditoría de la actividad relacionada con la directiva.
  5. Revise las alertas DLP, los resultados de eDiscovery o el estado de retención según corresponda.
  6. Registre el cambio en el registro de operaciones de cumplimiento.

Sugerencia

Controles piloto en un pequeño conjunto de contenedores antes de aplicarlos ampliamente a todos los sitios de SharePoint y contenedores de SharePoint Embedded.

Pasos siguientes

Revise las instrucciones de solución de problemas en Solución de problemas.