Crear y administrar etiquetas de confidencialidad

  • 8 minutos

Las etiquetas de confidencialidad de Microsoft Purview Information Protection le permiten clasificar y proteger los datos de su organización, al tiempo que se asegura de que la productividad del usuario y su capacidad de colaboración no se vea afectada. Las etiquetas de confidencialidad permiten a los administradores de Teams proteger y regular el acceso al contenido confidencial de la organización creado durante la colaboración dentro de los equipos.

Las organizaciones pueden usar etiquetas de confidencialidad para:

  • Proporcionar opciones de configuración de protección que incluyan el cifrado y las marcas de contenido.

  • Proteger el contenido de las aplicaciones de Office en distintos dispositivos y plataformas.

  • Proteger el contenido de aplicaciones y servicios de terceros con Microsoft Defender for Cloud Apps.

  • Proteger contenedores que incluyan Teams, Grupos de Microsoft 365 y sitios de SharePoint.

  • Extender las etiquetas de confidencialidad a Power BI.

  • Extender las etiquetas de confidencialidad a los activos de Microsoft Purview Data Map.

  • Extender las etiquetas de confidencialidad a los servicios y aplicaciones de terceros.

  • Clasificar el contenido sin usar la configuración de protección.

Ámbitos de etiqueta

Cuando cree una etiqueta de confidencialidad, se le pedirá que configure el ámbito de la etiqueta, el cual determinará dos cosas:

  • Las opciones de etiqueta que puede configurar para esa etiqueta

  • El lugar en el que los usuarios verán la etiqueta

Puede aplicar las etiquetas de confidencialidad a los siguientes ámbitos:

  • Archivos y correo electrónico: correo electrónico y archivos de Office

  • Grupos y sitios: sitios de Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint

  • Activos de datos esquematizados

    Recorte de pantalla de las opciones de ámbito para las etiquetas de confidencialidad.

Configuración de etiquetas de confidencialidad para grupos y sitios (contenedores)

Las etiquetas de confidencialidad se pueden aplicar a nivel de elemento (archivos y correos electrónicos) o a nivel de contenedor, como sitios de Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint. Para esta clasificación y protección de nivel de contenedor, utilice la siguiente configuración de etiquetas:

  • Privacidad (pública o privada) de los sitios de equipos y Grupos de Microsoft 365

  • Acceso de usuarios externos

  • Uso compartido externo desde sitios de SharePoint

  • Acceso desde dispositivos no administrados

  • Contextos de autenticación (en versión preliminar)

  • Vínculo de uso compartido predeterminado para un sitio de SharePoint (configuración solo de PowerShell)

  • En versión preliminar: configuración de uso compartido de sitios (configuración solo de PowerShell)

Configuración de privacidad y acceso a usuarios externos

Configure las opciones privacidad y acceso de usuarios externos.

  • Privacidad: mantenga la opción predeterminada Público si quiere que cualquier persona de su organización tenga acceso al sitio de grupo o al grupo al que se aplica esta etiqueta.

    Seleccione Privado si quiere que el acceso esté restringido solo a miembros aprobados de su organización.

    Seleccione Ninguno cuando desee proteger el contenido del contenedor mediante el uso de la etiqueta de confidencialidad, pero permita que los usuarios establezcan la configuración de privacidad ellos mismos.

    Las opciones Pública o Privada para establecen y bloquean la configuración de privacidad cuando aplica esta etiqueta al contenedor. La configuración elegida reemplaza cualquier configuración de privacidad anterior establecida para el equipo o grupo, y bloquea el valor de privacidad para que solo se pueda cambiar quitando primero la etiqueta de confidencialidad del contenedor. Después de quitar la etiqueta de confidencialidad, la configuración de privacidad de la etiqueta permanece y los usuarios ya pueden cambiarla de nuevo.

  • Acceso de usuarios externos: controla si el propietario del grupo puede agregar invitados al grupo.

    Recorte de pantalla de la configuración de privacidad y acceso de usuario externo.

Configuración de uso compartido externo del dispositivo y acceso al dispositivo

Para configurar el Control del uso compartido externo de los sitios de SharePoint etiquetados y Uso del acceso condicional de Azure AD para proteger los sitios etiquetados de SharePoint.

  • Controlar el uso compartido externo desde sitios de SharePoint etiquetados: seleccione esta opción para seleccionar el uso compartido externo para cualquier usuario, invitados nuevos y existentes, invitados existentes o solo para los usuarios de su organización.

  • Usar el acceso condicional de Azure AD para proteger los sitios de SharePoint etiquetados: seleccione esta opción solo si su organización la tiene configurada y está usando el Acceso condicional de Azure Active Directory. A continuación, seleccione una de las siguientes opciones:

    • Determinar si los usuarios pueden acceder a los sitios de SharePoint desde dispositivos no administrados: esta opción emplea la característica de SharePoint que usa el acceso condicional de Azure AD para bloquear o limitar el acceso a contenido de SharePoint y OneDrive desde dispositivos no administrados.

    • Elegir un contexto de autenticación existente: actualmente en versión preliminar, esta opción le permite exigir condiciones de acceso más estrictas cuando los usuarios acceden a sitios de SharePoint que tienen esta etiqueta aplicada. Estas condiciones se aplican al seleccionar un contexto de autenticación existente que se ha creado y publicado para la implementación de acceso condicional de su organización. Si los usuarios no cumplen las condiciones configuradas o usan aplicaciones que no admiten contextos de autenticación, se les denegará el acceso.

      Recorte de pantalla de la configuración de uso compartido externo del dispositivo y acceso al dispositivo.

Cuando aplica esta etiqueta de confidencialidad a un contenedor compatible, la etiqueta aplica automáticamente la configuración de protección y clasificación al grupo o sitio conectado. Sin embargo, el contenido de estos contenedores no hereda las etiquetas para la clasificación y configuración, como las marcas visuales o el cifrado.

  • Asegúrese de que ha habilitado las etiquetas de confidencialidad para los archivos de Office en SharePoint y OneDrive, para que los usuarios puedan etiquetar sus documentos en sitios de SharePoint o sitios del grupo.

    Recorte de pantalla de etiquetas de confidencialidad habilitadas para archivos de Office en SharePoint y OneDrive.

  • Puede asignar automáticamente dicha etiqueta a archivos o correos electrónicos cuando se cumplan las condiciones especificadas. Para más información, consulte Aplicar automáticamente una etiqueta de confidencialidad al contenido.

    Recorte de pantalla de Asignar automáticamente esa etiqueta a archivos y correos electrónicos cuando coincida con las condiciones.

Habilitar etiquetas de confidencialidad para grupos y sitios

Las opciones de configuración de Configuración de sitio y de grupo no se mostrarán hasta que habilite esta capacidad. Siga los pasos para habilitar la característica en Azure AD.

  1. Abra una ventana de Windows PowerShell en el equipo.

  2. Conéctese a Azure AD con las credenciales de administrador.

    Import-Module AzureADPreview
Connect-AzureAD

  3. Recupere la configuración de grupo actual para la organización de Azure AD.

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id

    Nota

    Si no se ha creado ninguna configuración de grupo para esta organización de Azure AD, primero debe crear la configuración. Siga los pasos de Azure Active Directory cmdlets para configurar la configuración de grupo para crear las opciones de grupo para esta organización de Azure AD.

  4. Habilite la característica:

    $Setting["EnableMIPLabels"] = "True"

  5. A continuación, guarde los cambios y aplique la configuración:

    Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

    Nota

    Si usaba etiquetas de confidencialidad antes de septiembre de 2019, también tendrá que sincronizar las etiquetas de confidencialidad con Azure AD. Para obtener instrucciones, consulte Cómo habilitar y sincronizar etiquetas de confidencialidad para contenedores.

Crear y publicar etiquetas de confidencialidad

El administrador global puede crear y administrar etiquetas de confidencialidad desde el portal de cumplimiento de Microsoft Purview. Consulte las instrucciones de Crear y publicar etiquetas de confidencialidad.

  1. Vaya al portal de cumplimiento de Microsoft Purview > Information Protection.

  2. Seleccione la pestaña Etiquetas y seleccione + Crear una etiqueta para iniciar el Asistente para nueva etiqueta de confidencialidad.

  3. En la página Nombrar y crear una información sobre herramientas para la etiqueta, escriba la información.

  4. En la página Definir el ámbito de la página de la etiqueta, seleccione Grupos y sitios u otros ámbitos.

    Las opciones seleccionadas determinan el ámbito de la etiqueta para las opciones de configuración que puede configurar y donde serán visibles cuando se publiquen

  5. Siga los mensajes del asistente para la configuración de etiquetas.

    Recorte de pantalla de la pestaña Configuración del sitio y del grupo.

Una vez que haya creado una etiqueta de confidencialidad, debe publicar la etiqueta de confidencialidad mediante la creación de una directiva de etiqueta. Los usuarios que tienen asignada una directiva de etiqueta de confidencialidad que incluye esta etiqueta podrán seleccionarla para sitios y grupos.

La configuración de sitio y grupo solo surte efecto al aplicar la etiqueta a un equipo, grupo o sitio. El resto de opciones de configuración de etiqueta, como el cifrado y la marcación de contenido, no se aplican a todo el contenido del equipo, grupo o sitio.

Use etiquetas de confidencialidad con Teams

Los administradores pueden crear una etiqueta de confidencialidad que, cuando se aplica durante la creación del equipo, permite a los usuarios crear equipos con una configuración de privacidad específica (pública o privada).

Por ejemplo, el administrador crea una etiqueta de confidencialidad denominada “Confidencial” con la directiva de que cualquier equipo creado con esta etiqueta debe ser un equipo privado. Cuando un usuario crea un equipo nuevo y selecciona la etiqueta Confidencial, la única opción de privacidad que está disponible para el usuario es Privada. Otras opciones de privacidad como Público y Para toda la organización están deshabilitadas para el usuario.

Recorte de pantalla de la etiqueta de confidencialidad Confidencial.

Cuando se crea el equipo, la etiqueta de confidencialidad está visible en la esquina superior derecha de los canales del equipo.

Recorte de pantalla de la etiqueta de confidencialidad en la ventana del canal de equipo.

Un propietario del equipo puede cambiar la etiqueta de confidencialidad y la configuración de privacidad del equipo en cualquier momento yendo al equipo y, a continuación, haciendo clic en Editar equipo.

Recorte de pantalla de la página de canal Editar mi equipo.

Nota

Microsoft 365 ya no admitirá las antiguas clasificaciones para los nuevos grupos de Microsoft 365 y sitios de SharePoint después de que habilite etiquetas de confidencialidad para contenedores. Sin embargo, los grupos y sitios existentes que son compatibles con etiquetas de confidencialidad aún mostrarán los valores de clasificación antiguos hasta que los convierta para usar etiquetas de confidencialidad. Para obtener más información, consulte Clasificación de Azure Active Directory y etiquetas de confidencialidad para grupos de Microsoft 365.

Para más información, vea: