Aplicar automáticamente una etiqueta de confidencialidad a los datos de Microsoft 365
Guía de licencias de Microsoft 365 para la seguridad y el cumplimiento.
Nota:
Para obtener información sobre cómo aplicar automáticamente una etiqueta de confidencialidad a los datos almacenados fuera de Microsoft 365 y en el mapa de datos, vea Etiquetado en Mapa de datos de Microsoft Purview.
Al crear una etiqueta de confidencialidad, puede asignarla automáticamente a elementos de Microsoft 365, como archivos y correos electrónicos, cuando los datos coincidan con las condiciones que especifique.
La capacidad de aplicar automáticamente etiquetas de confidencialidad al contenido es importante por estos motivos:
No es necesario enseñar a los usuarios cuándo usar cada una de las clasificaciones.
No es necesario depender de los usuarios para clasificar todo el contenido correctamente.
Los usuarios ya no necesitan conocer las directivas de gobierno de datos; en su lugar, pueden centrarse en su trabajo.
Hay dos métodos diferentes para aplicar automáticamente una etiqueta de confidencialidad en contenido de Microsoft 365:
Etiquetado del lado del cliente cuando los usuarios editan documentos o redactan mensajes de correo electrónico (y responden a ellos o los reenvían): use una etiqueta configurada para el etiquetado automático para archivos o correos electrónicos (Word, Excel, PowerPoint y Outlook).
Este método permite recomendar una etiqueta a los usuarios, así como aplicar una etiqueta automáticamente. Pero en ambos casos, el usuario decide si acepta o rechaza la etiqueta, para ayudar a garantizar el etiquetado correcto del contenido. Este etiquetado del lado del cliente tiene un retraso mínimo para los documentos porque la etiqueta se puede aplicar incluso antes de que se guarde el documento. Sin embargo, no todas las aplicaciones cliente admiten el etiquetado automático.
Para obtener instrucciones de configuración, consulte Cómo configurar el etiquetado automático en aplicaciones de Office en esta página.
Etiquetas del lado de servicio cuando el contenido ya está guardado (en SharePoint o en OneDrive) o enviado por correo electrónico (procesado por Exchange Online): use una directiva de etiquetado automático.
También se conoce a este método como etiquetado automático para datos en reposo (documentos en SharePoint y OneDrive) y datos en tránsito (correo electrónico enviado o recibido por Exchange). En el caso de Exchange, no incluye correos electrónicos en reposo (buzones).
Ya que este etiquetado lo aplican los servicios en lugar de las aplicaciones, no tiene que preocuparse por qué aplicaciones tienen los usuarios y qué versión. Por lo tanto, esta funcionalidad está disponible inmediatamente en toda la organización y es adecuada para aplicar las etiquetas a cualquier escala. Las directivas de etiquetado automático no admiten el etiquetado recomendado, ya que el usuario no interactúa con el proceso de etiquetado. En su lugar, el administrador ejecuta las directivas en el modo de simulación para ayudarle a garantizar el etiquetado correcto del contenido antes de aplicar la etiqueta.
Vea las instrucciones de configuración en Cómo configurar directivas de etiquetado automático para SharePoint, OneDrive y Exchange en esta página.
Específico para el etiquetado automático para SharePoint y OneDrive:
-
Se admiten documentos PDF y archivos de Office para Word (.docx), PowerPoint (.pptx) y Excel (.xlsx).
- Estos archivos se pueden etiquetar automáticamente en reposo antes o después de que se creen las políticas de etiquetado automático. Los archivos no se pueden etiquetar automáticamente si forman parte de una sesión abierta (el archivo está abierto).
- Actualmente, los datos adjuntos a elementos de lista no son compatibles y no se etiquetarán automáticamente.
- Máximo de 100 000 archivos etiquetados automáticamente en el inquilino al día.
- Máximo de 100 directivas de etiquetado automático por inquilino, cada una destinada a hasta 100 ubicaciones (sitios de SharePoint o usuarios o grupos individuales de OneDrive) al especificar ubicaciones específicas mediante las opciones Incluido o Excluido . Si mantiene la configuración predeterminada de Todos, esta configuración está exenta del máximo de 100 ubicaciones.
- Los valores ya existentes para modificados, modificados por y la fecha no se cambian como resultado de las directivas de etiquetado automático tanto para el modo de simulación y como cuando se aplican etiquetas.
- Cuando la etiqueta aplica el cifrado de, el issuer Management y el propietario de Rights Management es la cuenta en la que se modificó por última vez el archivo.
Específico para el etiquetado automático para Exchange:
- Los datos adjuntos de PDF y los datos adjuntos de Office se examinan en busca de las condiciones que especifique en la directiva de etiquetado automático. Cuando hay una coincidencia, el correo electrónico se etiqueta, pero no los datos adjuntos.
- En el caso de los archivos PDF, si la etiqueta aplica cifrado, estos archivos se cifran mediante el Cifrado de mensajes cuando el espacio empresarial está habilitado para datos adjuntos de PDF.
- Para estos archivos de Office, son compatibles Word, PowerPoint y Excel. Si la etiqueta aplica cifrado y estos archivos no están cifrados, ahora se cifran mediante Mensaje de cifrado. La configuración de cifrado se hereda del correo electrónico.
- Para etiquetar y proteger los correos electrónicos que contienen mensajes de correo de voz de Teams, consulte las instrucciones de configuración de Habilitación del correo de voz protegido en su organización.
- Si tiene reglas de flujo de correo de Exchange o directivas de prevención de pérdida de datos (DLP) de Microsoft Purview que aplican el cifrado IRM: cuando estas reglas o directivas y una directiva de etiquetado automático identifican contenido, se aplica la etiqueta. Si esa etiqueta aplica el cifrado, la configuración de IRM de las reglas de flujo de correo de Exchange o de las directivas DLP se pasa por alto. Sin embargo, si esa etiqueta no aplica el cifrado, la configuración de IRM de las reglas de flujo de correo o de las directivas DLP se aplica además de la etiqueta.
- El correo electrónico que tiene cifrado IRM sin etiqueta se reemplazará por una etiqueta con cualquier configuración de cifrado cuando haya una coincidencia mediante el etiquetado automático.
- El correo electrónico entrante se etiqueta cuando hay una coincidencia con las condiciones de etiquetado automático. Para que este resultado se aplique a remitentes fuera de su organización, la ubicación de Exchange debe establecerse en Todos incluidos y Ninguno excluido. Si la etiqueta está configurada para el cifrado:
- Ese cifrado siempre se aplica cuando el remitente es de su organización.
- De forma predeterminada, ese cifrado no se aplica cuando el remitente está fuera de la organización, pero se puede aplicar configurando opciones adicionales para el de correo electrónico y especificando un propietario de Rights Management.
- Cuando la etiqueta aplica el cifrado, el emisor de propietario de Rights Management y Rights Management es la persona que envía el correo electrónico cuando el remitente es de su propia organización. Cuando el remitente está fuera de la organización, puede especificar un propietario de Rights Management para el correo electrónico entrante etiquetado y cifrado por la directiva.
- Si la etiqueta está configurada para aplicar marcas de contenido con variables, tenga en cuenta que, para el correo electrónico entrante, esta configuración puede dar lugar a la visualización de los nombres de personas ajenas a la organización.
-
Se admiten documentos PDF y archivos de Office para Word (.docx), PowerPoint (.pptx) y Excel (.xlsx).
Nota:
Para algunos clientes nuevos ofrecemos la configuración automática de ajustes de etiquetado automático predeterminados para el etiquetado del lado cliente y el etiquetado del lado servicio. Incluso si no es elegible para esta configuración automática, es posible que le resulte útil hacer referencia a su configuración. Por ejemplo, puede configurar manualmente las etiquetas ya existentes y crear sus propias directivas de etiquetado automático con la misma configuración para ayudar a acelerar la implementación del etiquetado.
Para obtener más información, consulte Etiquetas y directivas predeterminadas para Microsoft Purview Information Protection.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Comparar el etiquetado automático de las aplicaciones de Office con las directivas de etiquetado automático
Use la siguiente tabla para ayudarle a identificar las diferencias en el comportamiento de los dos métodos de etiquetado automático complementarios:
Característica o comportamiento | Configuración de etiqueta: etiquetado automático para archivos y mensajes de correo electrónico | Directiva: etiquetado automático |
---|---|---|
Dependencia de la aplicación | Sí (versiones mínimas) | No* |
Restringir por ubicación | No | Sí |
Condiciones: opciones de uso compartido y opciones adicionales para el correo electrónico | No | Sí |
Condiciones: excepciones | No | Sí |
Compatibilidad con archivos PDF | No | Sí |
Compatibilidad con imágenes | No | Sí |
Recomendaciones, información sobre herramientas de directiva y sustituciones de usuarios | Sí | No |
Modo de simulación | No | Sí |
Datos adjuntos de Exchange verificados por condiciones | No | Sí |
Aplicar marcas visuales | Sí | Sí (solo correo electrónico) |
Reemplazar el cifrado IRM aplicado sin una etiqueta | Sí, si el usuario tiene el uso mínimo adecuado de exportar | Sí (solo correo electrónico) |
Etiquetar correo electrónico entrante | No | Sí |
Asignar un propietario de Rights Management para los correos electrónicos enviados desde otra organización | No | Sí |
En el caso de los correos electrónicos, reemplace la etiqueta ya existente que tenga la misma o menor prioridad. | No | Sí (configurable) |
* El etiquetado automático no está disponible actualmente en todas las regiones debido a una dependencia de Azure de back-end. Si el inquilino no puede admitir esta funcionalidad, la página Etiquetado automático no está visible en el portal de Microsoft Purview ni en la portal de cumplimiento Microsoft Purview. Para obtener más información, vea Disponibilidad de dependencia de Azure por país.
Forma en que se evalúan varias condiciones cuando se aplican en más de una etiqueta
Las etiquetas se ordenan para su evaluación según su posición que especifique en el portal de Microsoft Purview o en la portal de cumplimiento Microsoft Purview: la etiqueta situada en primer lugar tiene la posición más baja (menos confidencial, por lo que la prioridad más baja) y la etiqueta situada en último lugar tiene la posición más alta (más confidencial, por lo que la prioridad más alta). Se selecciona la etiqueta con el número de pedido más alto.
Este comportamiento también es cierto para el etiquetado automático del lado servicio (directivas de etiquetado automático) cuando las subetiquetas comparten la misma etiqueta primaria: si después de la evaluación y ordenación, más de una subetiqueta de la misma etiqueta primaria cumple las condiciones de etiquetado automático, se selecciona y se aplica la subetiqueta con el número de orden más alto.
Sin embargo, el comportamiento es un poco diferente para el etiquetado automático del lado cliente (configuración de etiquetado automático en la etiqueta). Si varias subetiquetas de la misma etiqueta primaria coinciden con las condiciones:
Si un archivo aún no está etiquetado, siempre se selecciona la subetiqueta de orden más alta configurada para el etiquetado automático, en lugar de la subetiqueta de orden más alta configurada para el etiquetado recomendado. Si ninguna de estas subetiquetas está configurada para el etiquetado automático, pero solo para el etiquetado recomendado, se selecciona y se recomienda la subetiqueta de orden más alto.
Si un archivo ya está etiquetado con una subetiqueta del mismo elemento primario, no se realiza ninguna acción y la subetiqueta existente permanece. Este comportamiento se aplica incluso si la subetiqueta existente era una etiqueta predeterminada o se aplica automáticamente.
Para obtener más información sobre la prioridad de la etiqueta, vea Prioridad de etiqueta (asuntos de pedido).
Consideraciones sobre las configuraciones de etiqueta
Las siguientes consideraciones se aplican al etiquetado del lado cliente y al etiquetado del lado servicio.
No configure una etiqueta principal para que se aplique o recomiende automáticamente
Recuerde, no se puede aplicar una etiqueta principal (una etiqueta con subetiquetas) al contenido. Asegúrese de que no configura una etiqueta principal para que se aplique automáticamente o se recomiende en las aplicaciones de Office y no seleccione una etiqueta principal para una directiva de etiquetado automático. Si lo hace, la etiqueta principal no se aplicará al contenido.
Para usar el etiquetado automático con subetiquetas, asegúrese de que publica la etiqueta principal y la subetiqueta.
Para obtener más información sobre las etiquetas principales y las subetiquetas, consulte Subetiquetas (agrupación de etiquetas).
Etiquetado del ámbito que excluye archivos o correos electrónicos
Para aplicar automáticamente una etiqueta de confidencialidad al contenido, el ámbito de la etiqueta debe incluir Archivos & otros recursos de datos para aplicar automáticamente una etiqueta a los documentos y Correos electrónicos para aplicar automáticamente una etiqueta a los correos electrónicos.
Para obtener más información al seleccionar solo uno de estos ámbitos de etiqueta, consulte Etiquetas de ámbito solo para archivos o correos electrónicos.
¿Se invalidará una etiqueta ya existente?
Aunque hay algunos escenarios en los que una etiqueta de confidencialidad se puede invalidar con otra etiqueta de confidencialidad, una directiva de etiquetado automático nunca quitará una etiqueta de confidencialidad para que el contenido quede sin etiquetar.
Comportamiento predeterminado si el etiquetado automático invalidará una etiqueta existente:
Cuando el contenido se ha etiquetado manualmente, esa etiqueta no se reemplazará por el etiquetado automático.
El etiquetado automático reemplazará una etiqueta de confidencialidad de menor prioridad que se aplicó automáticamente, pero no una etiqueta de prioridad más alta.
Sugerencia
Por ejemplo, la etiqueta de confidencialidad de la parte superior de la lista en el portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview se denomina Public con un número de pedido (prioridad) de 0 y la etiqueta de confidencialidad en la parte inferior de la lista se denomina Extremadamente confidencial con un número de pedido (prioridad de 4). La etiqueta Extremadamente confidencial puede invalidar la etiqueta Público pero no al revés.
Solo para las directivas de etiquetado automático de correo electrónico, puede seleccionar una configuración para invalidar siempre una etiqueta de confidencialidad existente, independientemente de cómo se haya aplicado.
Etiqueta ya existente | Reemplazar por la configuración de etiqueta: etiquetado automático para archivos y correos electrónicos | Invalidar con directiva: etiquetado automático |
---|---|---|
Aplicado manualmente, cualquier prioridad | Word, Excel, PowerPoint: No Outlook: No |
SharePoint y OneDrive: no Exchange: no de forma predeterminada, pero configurable |
Etiqueta aplicada automáticamente o predeterminada de la directiva, prioridad más baja | Word, Excel, PowerPoint: Sí * Outlook: Sí * |
SharePoint y OneDrive: Sí Exchange: Sí |
Etiqueta aplicada automáticamente o predeterminada de la directiva, prioridad más alta | Word, Excel, PowerPoint: No Outlook: No |
SharePoint y OneDrive: no Exchange: no de forma predeterminada, pero configurable |
* Hay una excepción para las subetiquetas que comparten la misma etiqueta primaria
La configuración configurable para las directivas de etiquetado automático de correo electrónico se encuentra en la página Configuración adicional para el correo electrónico. Esta página se muestra después de seleccionar una etiqueta de confidencialidad para una directiva de etiquetado automático que incluye la ubicación de Exchange.
Cómo configurar el etiquetado automático para las aplicaciones de Office
Compruebe las versiones mínimas necesarias para el etiquetado automático en aplicaciones de Office.
Los ajustes de etiquetado automático para las aplicaciones de Office están disponibles al crear o editar una etiqueta de confidencialidad. Asegúrese de que el ámbito de la etiqueta Archivos & otros recursos de datos está seleccionado para etiquetar automáticamente los documentos y correos electrónicos está seleccionado para etiquetar automáticamente los correos electrónicos. Por ejemplo:
A medida que se desplace por la configuración, verá la página Etiquetado automático para archivos y mensajes de correo electrónico, en la que puede elegir entre una lista de tipos de información confidencial o clasificadores que se pueden entrenar:
Cuando esta etiqueta de confidencialidad se aplica automáticamente, el usuario ve una notificación en su aplicación de Office. Por ejemplo:
Configuración de tipos de información confidencial para una etiqueta
Al seleccionar la opción Tipos de información confidencial , verá la misma lista de tipos de información confidencial que al crear una directiva de prevención de pérdida de datos (DLP). Por ejemplo, puede aplicar automáticamente una etiqueta extremadamente confidencial a cualquier contenido que incluya información personal de los clientes, como los números de tarjeta de crédito, de la seguridad social o de pasaporte:
De forma similar a cuando configure directivas DLP, puede restringir la condición cambiando el recuento de instancias y la precisión de la coincidencia. Por ejemplo:
Puede obtener más información sobre los niveles de confianza en la documentación de DLP: Más información sobre los niveles de confianza.
Importante
Los tipos de información confidencial tienen dos formas diferentes de definir los parámetros máximos de recuento de instancias únicas. Para obtener más información, consulte Valores admitidos de recuento de instancias para SIT.
Además, de la misma manera que ocurre con la configuración de directiva DLP, puede elegir si una condición debe detectar todos los tipos de información confidencial o solo uno de ellos. Y para hacer que las condiciones sean más flexibles o complejas, puede agregar grupos y usar operadores lógicos entre los grupos.
Tipo de información confidencial personalizado con coincidencia exacta de datos
Puede configurar una etiqueta de confidencialidad para que use tipos de información confidencial basados en coincidencias exactas de datos para tipos de información confidencial personalizados. Sin embargo, actualmente, también debe especificar al menos un tipo de información confidencial que no use la EDM. Por ejemplo, uno de los tipos de información confidencial incorporados, como el Número de tarjeta de crédito.
Si configura una etiqueta de confidencialidad solo con la EDM para sus condiciones de tipo de información confidencial, el ajuste de etiquetado automático se desactiva automáticamente para la etiqueta.
Configurar clasificadores capacitados para una etiqueta
Si usa esta opción con Aplicaciones de Microsoft 365 para Windows versión 2106 o inferior, o Aplicaciones de Microsoft 365 para Mac versión 16.50 o inferior, cerciórese de haber publicado en su espacio empresarial al menos otra etiqueta de confidencialidad que esté configurada para el etiquetado automático y la opción tipos de información confidencial. Este requisito no es necesario cuando se usan versiones posteriores en estas plataformas.
Al seleccionar la opción Clasificadores entrenables , seleccione uno o varios clasificadores entrenados previamente o personalizados:
Los clasificadores previamente entrenados disponibles a menudo se actualizan, por lo que puede haber más entradas para seleccionar que las que se muestran en esta captura de pantalla.
Para más información sobre estos clasificadores, consulte Más información sobre clasificadores que se pueden entrenar (versión preliminar).
Recomendación para que el usuario aplique una etiqueta de confidencialidad
Si lo prefiere, puede recomendar a los usuarios que apliquen la etiqueta. Con esta opción, los usuarios pueden aceptar la clasificación y cualquier protección asociada, o descartar la recomendación si la etiqueta no es adecuada para su contenido.
Cuando se usa el etiquetado integrado con las versiones de escritorio de Word, los usuarios tienen una opción adicional para Mostrar contenido confidencial con el símbolo del sistema de etiquetas recomendado. Cuando selecciona este botón, el panel Editor recorre al usuario a través de cada detección. A continuación, el usuario puede quitar los datos confidenciales o dejarlos con una mejor comprensión de por qué se recomendó la etiqueta de confidencialidad. Cuando tienen esta información adicional, los usuarios tienen más confianza para seleccionar el botón Aplicar confidencialidad . Por ejemplo:
En este ejemplo se muestra el mensaje de etiqueta recomendado predeterminado, pero al igual que con el etiquetado automático, puede personalizar este texto para que sea más significativo o específico para los usuarios. Por ejemplo, incluya el nombre de su organización o haga referencia al departamento de TI para aumentar la visibilidad y proporcionar a los usuarios más confianza en que no se trata de un mensaje genérico que podría no ser aplicable a ellos.
Sugerencia
Aunque recomendar una etiqueta de confidencialidad interrumpe el flujo de trabajo de un usuario, es una manera muy eficaz de educar a los usuarios en el momento sobre la información confidencial con la que trabajan. Para verlo en acción, watch el vídeo: Clasificar automáticamente & proteger documentos & datos
El etiquetado recomendado es especialmente eficaz cuando se combina con esta opción para guiar a los usuarios a través de cada instancia de contenido confidencial que se detecta. Puede dar lugar a un etiquetado más preciso, no solo para el elemento inmediato, sino también para los elementos futuros que requieren etiquetado manual o para los elementos modificados que ahora podrían necesitar volver a etiquetar.
Cuándo se aplican etiquetas automáticas o recomendadas
No todas las aplicaciones de Office admiten el etiquetado automático y recomendado. Para obtener más información, consulte Compatibilidad con las capacidades de las etiquetas de confidencialidad en aplicaciones
Otras consideraciones:
No puede usar el etiquetado automático para documentos y mensajes de correo electrónico que se etiquetaron previamente de forma manual o de forma automática con una confidencialidad más alta. Recuerde, solo se puede aplicar una etiqueta de confidencialidad a un documento o correo electrónico, (además de una sola etiqueta de retención).
No puede usar el etiquetado recomendado para documentos o correos electrónicos que anteriormente se etiquetaron con una confidencialidad más alta. Cuando el contenido ya está etiquetado con una confidencialidad más alta, el usuario no verá el mensaje con la recomendación y la sugerencia de directiva.
Para las etiquetas recomendadas en las versiones de escritorio de Word, el contenido confidencial que desencadenó la recomendación está marcado para que los usuarios puedan revisar y quitar el contenido confidencial en lugar de aplicar la etiqueta de confidencialidad recomendada.
Para obtener más información sobre cómo se aplican estas etiquetas en las aplicaciones de Office, capturas de pantalla de ejemplo, y cómo se detecta la información confidencial, consulte Aplicar o recomendar automáticamente etiquetas de confidencialidad a sus archivos y correos electrónicos en Office.
Convertir la configuración de etiquetas en una directiva de etiquetado automático
Si la etiqueta incluye tipos de información confidencial para las condiciones configuradas, verá una opción al final del proceso de creación o edición de etiquetas para crear de forma automática una directiva de etiquetado automático basada en la misma configuración de etiquetado automático.
Sin embargo, si la etiqueta contiene clasificadores entrenables como condición de la etiqueta:
Cuando las condiciones de etiqueta contienen clasificadores que solo se pueden entrenar, no verá la opción de crear automáticamente una directiva de etiquetado automático.
Cuando las condiciones de etiqueta contienen clasificadores entrenables y tipos de información de confidencialidad, se creará una directiva de etiquetado automático solo para los tipos de información confidencial.
Aunque una directiva de etiquetado automático se crea de forma automática al rellenarse automáticamente los valores que tendría que seleccionar manualmente si crea la directiva desde cero, puede ver y editar los valores antes de guardarlos.
De forma predeterminada, todas las ubicaciones de SharePoint, OneDrive y Exchange se incluyen en la directiva de etiquetado automático y, cuando se guarda la directiva, se ejecuta en modo de simulación. No existe comprobación de que haya habilitado etiquetas de confidencialidad para los archivos de Office en SharePoint y OneDrive, que es uno de los requisitos previos para que el etiquetado automático se aplique al contenido de SharePoint y OneDrive.
Cómo configurar directivas de etiquetado automático para SharePoint, OneDrive y Exchange
Nota:
No use directivas de etiquetado automático de Exchange para enviar correos electrónicos cifrados para distribuciones de correo masivo. Estas directivas no están diseñadas para este propósito y pueden dar lugar a errores de envío y recibos de no entrega. En este escenario, la configuración de etiqueta para enviar automáticamente correos electrónicos es más adecuada.
Asegúrese de tener en cuenta los requisitos previos antes de configurar las directivas de etiquetado automático.
Requisitos previos para las directivas de etiquetado automático
Modo de simulación:
- Se debe activar la auditoría de Microsoft 365. Si necesita activar la auditoría o no está seguro de si la auditoría ya está activada, consulte Activar o desactivar la búsqueda de registros de auditoría.
- Para ver el contenido del archivo o correo electrónico en la vista de origen, debe tener el rol Visor de contenido de clasificación de datos, que se incluye en el grupo de roles Visor de contenido del Explorador de contenido, o Information Protection y Information Protection grupos de roles Investigadores. Sin el rol necesario, no verá el panel de vista previa al seleccionar un elemento de la pestaña Elementos para revisar . Los administradores globales no tienen este rol de forma predeterminada.
Para etiquetar automáticamente archivos en SharePoint y OneDrive:
- Tiene etiquetas de confidencialidad habilitadas para los archivos de Office en SharePoint y OneDrive.
- En el momento en el que se ejecuta la directiva de etiquetado automático, el archivo no debe estar abierto por otro proceso o usuario. Un archivo desprotegido para edición entra en esta categoría.
- Si tiene previsto usar tipos de información confidencial:
- Los tipos de información confidencial que seleccione solo se aplicarán al contenido que se crea o modifica después de crear o modificar estos tipos de información. Esta restricción se aplica a todos los tipos de información confidencial personalizados y a los nuevos tipos de información integrados.
- Para probar los nuevos tipos de información confidencial, créelos antes de crear su directiva de etiquetado automático y, después, cree nuevos documentos con datos de ejemplo para probarlos.
- Si tiene previsto usar propiedades de documento como condición (la propiedad Document es ), esta opción usa las propiedades administradas de SharePoint de la misma manera que se usan para las directivas DLP. Use coincidencias de cadena exactas; No se admiten los patrones regex. Para obtener más información sobre las propiedades administradas como método de búsqueda, vea Administrar el esquema de búsqueda en SharePoint.
Crear y publicar una o más etiquetas de confidencialidad (para al menos un usuario) que pueda seleccionar para las directivas de etiquetado automático. Para estas etiquetas:
- No importa que la opción de etiquetado automático en aplicaciones de Office esté activada o desactivada, ya que la configuración de la etiqueta es complementaria a las directivas de etiquetado automático, como se explica en la introducción.
- Si las etiquetas que quiere usar para el etiquetado automático están configuradas para usar marcas visuales (encabezados, pies de página, marcas de agua), tenga en cuenta que no se aplican a los documentos.
- Si las etiquetas aplican cifrado:
- Cuando la directiva de etiquetado automático incluye ubicaciones para SharePoint o OneDrive, la etiqueta debe configurarse para la configuración Asignar permisos ahora y El acceso del usuario al contenido expira debe establecerse en Nunca.
- Cuando la directiva de etiquetado automático solo es para Exchange, la etiqueta se puede configurar para Asignar permisos ahora o Permitir a los usuarios asignar permisos (para las opciones No reenviar o Solo cifrar). No se puede aplicar automáticamente una etiqueta configurada para aplicar la protección S/MIME.
Más información sobre el modo de simulación
El modo de simulación se admite para las directivas de etiquetado automático y se teje en el flujo de trabajo. No puede etiquetar automáticamente documentos y mensajes de correo electrónico hasta que la directiva haya ejecutado al menos una simulación.
El modo de simulación admite hasta 4000 000 archivos coincidentes. Si más de este número de archivos coinciden con una directiva de etiquetado automático, no se puede activar la directiva para aplicar las etiquetas. En este caso, debe volver a configurar la directiva de etiquetado automático para que coincidan menos archivos y volver a ejecutar la simulación. Este máximo de 4000 000 archivos coincidentes solo se aplica al modo de simulación y no a una directiva de etiquetado automático que ya está activada para aplicar etiquetas de confidencialidad.
Flujo de trabajo para una directiva de etiquetado automático:
Crear y configurar una directiva de etiquetado automático.
Ejecute la directiva en modo simulación, que puede tardar 12 horas en completarse. La simulación completada desencadena una notificación por correo electrónico que se envía al usuario configurado para recibir alertas de actividad.
Revise los resultados y, si es necesario, perfeccione su directiva. Por ejemplo, es posible que tenga que editar las reglas de directiva para reducir los falsos positivos o quitar algunos sitios para que el número de archivos coincidentes no supere los 4 000 000. Vuelva a ejecutar el modo de simulación y espere a que se complete de nuevo.
Si es necesario, repita el paso 3.
Implementar en producción
La implementación simulada se ejecuta como el parámetro WhatIf para PowerShell durante un momento dado. Puede ver los resultados indicados como si la directiva de etiquetado automático aplicara la etiqueta seleccionada utilizando las reglas definidas. Si es necesario, puede refinar las reglas mayor precisión y volver a ejecutar la simulación. Sin embargo, como el etiquetado automático para Exchange se aplica a los correos electrónicos enviados y recibidos, en lugar de a los mensajes de correo electrónico almacenados en los buzones, no espere que los resultados de la simulación sean coherentes, salvo que pueda enviar y recibir exactamente los mismos mensajes de correo electrónico.
El modo de simulación también le permite aumentar gradualmente el ámbito de la directiva de etiquetado automático antes de la implementación. Por ejemplo, puede empezar con una única ubicación, como un sitio de SharePoint, con una única biblioteca de documentos. Después, con cambios iterativos, aumente el ámbito a varios sitios y a otra ubicación, como OneDrive.
Por último, puede usar el modo de simulación para ofrecer una aproximación del tiempo necesario para ejecutar la directiva de etiquetado automático, para ayudarle a planear y programar cuándo ejecutarla sin el modo de simulación.
Nota:
Si los resultados de la simulación no incluyen los archivos que espera, en función de las condiciones de directiva automática configuradas y el contenido del archivo actual, es posible que se deba a que los archivos se actualizaron después de que se ejecutara la simulación. Compruebe si los archivos se actualizaron y vuelva a ejecutar la simulación para confirmar que se etiquetarán.
Creación de una directiva de etiquetado automático
Para esta configuración, puede usar el portal de Microsoft Purview o puede seguir usando el portal de cumplimiento Microsoft Purview anterior.
En función del portal que use, vaya a una de las siguientes ubicaciones:
Inicio de sesión en el portal> de Microsoft PurviewSoluciones>> Information Protection Directivas>de etiquetado automático.
Inicie sesión en el etiquetado automático de portal de cumplimiento Microsoft Purview>Solutions>Information Protection>:
Nota:
Si no ve la opción para el etiquetado automático, esta funcionalidad no está disponible actualmente en su región debido a una dependencia de Azure de back-end. Para obtener más información, vea Disponibilidad de dependencia de Azure por país.
Seleccione + Crear directiva de etiquetado automático. Esto inicia la configuración de Nueva directiva:
En la página Elegir una etiqueta para aplicarla automáticamente: seleccione + Elegir una etiqueta, seleccione una etiqueta del panel Elegir una etiqueta de confidencialidad y seleccione Siguiente.
En la página Elegir la información a la que quiere aplicar esta etiqueta: seleccione una de las plantillas, como Finanzas o Privacidad. Puede refinar la búsqueda mediante el cuadro de búsqueda o lista desplegable para países o regiones. O bien, seleccione directiva personalizada si las plantillas no satisfacen sus necesidades. Seleccione Siguiente.
En la página Cambiar el nombre de la directiva de etiquetado automático: proporcione un nombre único y, opcionalmente, una descripción que ayude a identificar la etiqueta aplicada automáticamente, las ubicaciones y las condiciones que identifican el contenido que se va a etiquetar.
Para la página Asignar unidades de administrador: si su organización usa unidades administrativas en Microsoft Entra ID, las directivas de etiquetado automático para Exchange y OneDrive se pueden restringir automáticamente a usuarios específicos seleccionando unidades administrativas. Si a su cuenta se le han asignado unidades administrativas, debe seleccionar una o varias unidades administrativas.
Si no quiere restringir la directiva mediante unidades administrativas o si su organización no ha configurado unidades administrativas, mantenga el valor predeterminado De directorio completo.
Nota:
Si está editando una directiva existente y cambia las unidades administrativas, ahora debe volver a configurar las ubicaciones en el paso siguiente.
En la página Elegir ubicaciones en las que quiere aplicar la etiqueta: seleccione y especifique las ubicaciones de Exchange, SharePoint y OneDrive. Si no desea mantener el valor predeterminado de Todo incluido para las ubicaciones elegidas, seleccione el enlace para elegir instancias específicas para incluir o seleccione el enlace para elegir las instancias específicas para excluir. Después, seleccione Siguiente.
Nota:
Para las organizaciones que usan unidades administrativas:
- Si seleccionó la opción para usar unidades administrativas en el paso anterior, la ubicación de los sitios de SharePoint deja de estar disponible. Solo las directivas de etiquetado automático para Exchange y OneDrive admiten unidades administrativas.
- Cuando use las opciones Incluido o Excluido , verá y podrá seleccionar solo los usuarios de las unidades administrativas seleccionadas en el paso anterior.
Si usa las opciones Incluido o Excluido :
Para la ubicación de Exchange , la directiva se aplica según la dirección del remitente de los destinatarios especificados. La mayoría de las veces, querrá mantener el valor predeterminado de Todo incluido con Ninguno excluido. Esta configuración es adecuada incluso si está probando un subconjunto de usuarios. En lugar de especificar aquí el subconjunto de usuarios, use las reglas avanzadas del paso siguiente para configurar las condiciones para incluir o excluir destinatarios en su organización. De lo contrario, al cambiar la configuración predeterminada aquí:
- Si cambia el valor predeterminado de Todo incluido y, en su lugar, elige usuarios o grupos específicos, el correo electrónico enviado desde fuera de la organización estará exento de la directiva.
- Si mantiene el valor predeterminado de Todo incluido, pero especifica usuarios o grupos que excluir, el correo electrónico que envíen estos usuarios excluidos estará exento de la directiva, pero no del correo electrónico que reciban.
Para la ubicación de OneDrive, debe especificar usuarios o grupos. Anteriormente, tenía que especificar sitios por direcciones URL. Los sitios de direcciones URL de OneDrive existentes en las directivas de etiquetado automático seguirán funcionando, pero antes de poder especificar nuevas ubicaciones de OneDrive o para administradores restringidos, primero debe eliminar las direcciones URL de sitio existentes. Grupos admite: grupos de distribución, grupos de Microsoft 365, grupos de seguridad habilitados para correo y grupos de seguridad.
En la página Configurar reglas comunes o avanzadas: mantenga el valor predeterminado de Reglas comunes para definir las reglas que identifican el contenido que se debe etiquetar en todas las ubicaciones seleccionadas. Si necesita reglas diferentes por ubicación, incluidas algunas reglas que solo están disponibles para Exchange, o sitios de SharePoint y cuentas de OneDrive, seleccione Reglas avanzadas. Después, seleccione Siguiente.
Las reglas usan condiciones que incluyen tipos de información confidencial, clasificadores entrenables, opciones de uso compartido y otras condiciones:
- Para seleccionar un tipo de información confidencial o un clasificador que se puede entrenar como condición, en Contenido contiene, seleccione Agregar y, a continuación, elija Tipos de información confidencial o Clasificadores entrenables.
- Para seleccionar opciones de uso compartido como condición, en Contenido compartido, elija solo con personas de mi organización o con personas ajenas a mi organización.
- Otras condiciones que puede seleccionar:
- Los datos adjuntos o la extensión de archivo son
- Los datos adjuntos o el nombre del documento contienen palabras o frases
- La propiedad attachment o document es
- El tamaño de los datos adjuntos o del documento es igual o mayor que
Si su ubicación es Exchange y ha seleccionado Reglas avanzadas, hay condiciones adicionales que puede seleccionar:
- La dirección IP del remitente es
- El dominio del destinatario es
- El destinatario es
- Los datos adjuntos están protegidos con contraseña
- No se pudo digitalizar algún contenido de los datos adjuntos del correo
- No se pudo completar el análisis de algún contenido de los datos adjuntos del correo
- El encabezado coincide con patrones
- El asunto coincide con patrones
- La dirección del destinatario contiene palabras
- La dirección del destinatario coincide con patrones
- La dirección del remitente coincide con patrones
- El dominio del remitente es
- El destinatario es un miembro de
- El remitente es
Si su ubicación es sitios de SharePoint o cuentas de OneDrive y ha seleccionado Reglas avanzadas, hay otra condición que puede seleccionar:
- Documento creado por
En función de las opciones anteriores, ahora tendrá la oportunidad de crear nuevas reglas mediante condiciones y excepciones.
Las opciones de configuración para los tipos de información confidencial son las mismas que las seleccionadas para el etiquetado automático para las aplicaciones de Office. Si necesita más información, consulte Configuración de tipos de información confidencial para una etiqueta.
Cuando haya definido todas las reglas que necesita y confirmado que su estado está activo, seleccione Siguiente para continuar y elegir una etiqueta de aplicación automática.
Si la directiva incluye la ubicación de Exchange: especifique configuraciones opcionales en la página Configuración adicional para el correo electrónico página:
Reemplazar automáticamente las etiquetas ya existentes que tienen la misma prioridad o una prioridad inferior: aplicable a los correos electrónicos entrantes y salientes, al seleccionar esta configuración, se garantiza que siempre se aplicará una etiqueta de confidencialidad coincidente. Si no selecciona esta configuración, no se aplicará una etiqueta de confidencialidad coincidente a los correos electrónicos que tengan una etiqueta de confidencialidad ya existente con una mayor prioridad o que se etiquetaron manualmente.
Aplicar cifrado al correo electrónico recibido desde fuera de la organización: al seleccionar esta opción, debe asignar un propietario de Rights Management para cerciorarse de que una persona autorizada de su organización tiene derechos de uso de control total para los correos electrónicos enviados desde fuera de su organización y las etiquetas de directiva con cifrado. Este rol podría ser necesario para quitar más adelante el cifrado o asignar diferentes derechos de uso para los usuarios de su organización.
Para Asignar un propietario de Rights Management, especifique un único usuario mediante una dirección de correo electrónico que sea propiedad de su organización. No especifique un contacto de correo, un buzón compartido ni ningún tipo de grupo, ya que no se admiten para este rol.
En la página Decidir si quiere probar la directiva ahora o más tarde: seleccione Ejecutar directiva en modo de simulación si ya está listo para ejecutar la directiva de etiquetado automático ahora, en el modo de simulación. A continuación, decida si quiere activar automáticamente la directiva si no se edita durante 7 días:
Si no está listo para ejecutar la simulación, seleccione Dejar la directiva desactivada.
En la página Resumen: Revise la configuración de la directiva de etiquetado automático, realice los cambios que sean necesarios y finalice la configuración.
Ahora, en la página de Protección de la información> Etiquetado automático, verá su directiva de etiquetado automático en la sección Simulación o Desactivado, en función de si ha elegido ejecutarla en el modo simulación o no. Seleccione su directiva para ver los detalles de la configuración y el estado (por ejemplo, Simulación de directiva aún en ejecución). En el caso de las directivas en modo de simulación, seleccione la pestaña Elementos para revisar para ver qué correos electrónicos o documentos coincidieron con las reglas especificadas.
Puede modificar la directiva directamente desde esta interfaz:
Para una directiva en la sección Desactivado, seleccione el botón Editar directiva.
Para la directiva de la sección Simulación , seleccione la opción Editar directiva en la parte superior de la página, en cualquiera de las pestañas.
Cuando esté listo para ejecutar la directiva sin simulación, seleccione la opción Activar directiva.
Nota:
Es posible que los archivos sin contenido (es decir, sin bytes de tamaño) no estén etiquetados.
Las directivas de etiquetado automático se ejecutan continuamente hasta que se eliminan. Por ejemplo, los archivos nuevos y modificados se incluirán en la configuración de directivas actual.
Supervisión de la directiva de etiquetado automático
Después de activar la directiva de etiquetado automático, puede ver el progreso del etiquetado de los archivos en las ubicaciones de SharePoint y OneDrive elegidas. Los correos electrónicos no se incluyen en el progreso de etiquetado porque se etiquetan automáticamente a medida que se envían.
El progreso del etiquetado incluye los archivos que va a etiquetar la directiva, los archivos etiquetados en los últimos 7 días y el total de archivos etiquetados. Debido al máximo de etiquetado de 100 000 archivos al día, esta información le proporciona visibilidad sobre el progreso de etiquetado actual de la directiva y cuántos archivos aún deben etiquetarse.
La primera vez que active la directiva, verá inicialmente un valor de 0 para que los archivos se etiqueten hasta que se recuperen los datos más recientes. Esta información de progreso se actualiza cada 48 horas, por lo que puede esperar ver los datos más actuales cada dos días. Al seleccionar una directiva de etiquetado automático, puede ver más detalles sobre la directiva en un panel desplegable, que incluye el progreso del etiquetado de los 10 sitios principales. La información de este panel desplegable puede estar más actualizada que la información de directiva agregada que se muestra en la página principal Etiquetado automático.
También puede ver los resultados de la directiva de etiquetado automático con el explorador de contenido cuando tenga los permisos correspondientes:
- El grupo de roles Visor de listas del explorador de contenido le permite ver la etiqueta de un archivo, pero no el contenido del archivo.
- El grupo de roles Visor de contenido del Explorador de contenido y los grupos de roles Information Protection y Information Protection Investigadores le permiten ver el contenido del archivo.
Sin embargo, actualmente, los administradores restringidos no podrán ver las actividades de etiquetado de OneDrive en el explorador de actividades.
Sugerencia
También puede utilizar el explorador de contenidos para identificar las ubicaciones que tienen documentos con información confidencial, pero que no están etiquetados. Con esta información, considere la posibilidad de agregar estas ubicaciones a la directiva de etiquetado automático e incluir los tipos de información confidencial identificados como reglas.
Usar PowerShell para las directivas de etiquetado automático
Puede usar el PowerShell de Seguridad y cumplimiento para crear y configurar directivas de etiquetado automático. Esto significa que puede crear y mantener completamente scripts de las directivas de etiquetado automático, lo que también proporciona un método más eficaz para especificar varias ubicaciones para SharePoint y OneDrive.
Antes de ejecutar los comandos de PowerShell, primero debe conectarse al PowerShell de Seguridad y cumplimiento.
Crear una nueva directiva de etiquetado automático:
New-AutoSensitivityLabelPolicy -Name <AutoLabelingPolicyName> -SharePointLocation "<SharePointSiteLocation>" -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications
Este comando crea una directiva de etiquetado automático para un sitio de SharePoint que especifique. Para una ubicación de OneDrive use en su lugar el parámetro OneDriveLocation.
Para agregar más sitios a una directiva de etiquetado automático existente:
$spoLocations = @("<SharePointSiteLocation1>","<SharePointSiteLocation2>")
Set-AutoSensitivityLabelPolicy -Identity <AutoLabelingPolicyName> -AddSharePointLocation $spoLocations -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications
Este comando especifica la nueva URL de SharePoint en una variable que luego se agrega a una directiva de etiquetado automático existente. Para agregar ubicaciones de OneDrive en su lugar, use el parámetro AddOneDriveLocation con una variable diferente, como $OneDriveLocations.
Crear una nueva regla de directiva de etiquetado automático:
New-AutoSensitivityLabelRule -Policy <AutoLabelingPolicyName> -Name <AutoLabelingRuleName> -ContentContainsSensitiveInformation @{"name"= "a44669fe-0d48-453d-a9b1-2cc83f2cba77"; "mincount" = "2"} -Workload SharePoint
Para una directiva de etiquetado automático existente, este comando crea una nueva regla de directiva para detectar el tipo de información confidencial del número de la seguridad social de los Estados Unidos (SSN), que tiene un identificador de entidad a44669fe-0d48-453d-a9b1-2cc83f2cba77. Para encontrar los ID de la entidad para otros tipos de información confidencial, consulte Definiciones de entidad de tipos de información confidencial.
Para obtener más información sobre los cmdlets de PowerShell que son compatibles con las directivas de etiquetado automático, los parámetros disponibles y algunos ejemplos, vea la ayuda del cmdlet siguiente:
- Get-AutoSensitivityLabelPolicy
- New-AutoSensitivityLabelPolicy
- New-AutoSensitivityLabelRule
- Remove-AutoSensitivityLabelPolicy
- Remove-AutoSensitivityLabelRule
- Set-AutoSensitivityLabelPolicy
- Set-AutoSensitivityLabelRule
Sugerencias para aumentar el alcance del etiquetado
Aunque el etiquetado automático es una de las maneras más eficaces de clasificar, etiquetar y proteger los archivos Office y PDF que posee su organización, compruebe si puede complementarlo con cualquiera de los métodos siguientes para aumentar el alcance del etiquetado:
Para las bibliotecas de documentos de SharePoint, puede aplicar una etiqueta de confidencialidad predeterminada para los archivos nuevos y editados. Para obtener más información, vea Configurar una etiqueta de confidencialidad predeterminada para una biblioteca de documentos de SharePoint.
Con Microsoft Syntex, puede aplicar una etiqueta de confidencialidad a un modelo de comprensión de documentos para que los documentos identificados en una biblioteca de documentos de SharePoint se etiqueten automáticamente.
En el caso de los mensajes de Outlook, puede aplicar una etiqueta de confidencialidad basada en datos adjuntos etiquetados.
Cuando se usa el cliente de Microsoft Purview Information Protection:
- Para los archivos de almacenes de datos locales, como recursos compartidos de red y bibliotecas de SharePoint Server: use el analizador de para detectar información confidencial en estos archivos y etiquetarlos correctamente. Si tiene previsto migrar o cargar estos archivos en SharePoint en Microsoft 365, use el detector para etiquetar los archivos antes de moverlos a la nube.
Fomente el etiquetado manual después de dar a los usuarios aprendizaje sobre qué etiquetas de confidencialidad se aplicarán. Cuando esté seguro de que los usuarios entienden qué etiqueta aplicar, considere la posibilidad de configurar una etiqueta predeterminada y un etiquetado obligatorio como configuración de directiva.
Además, plantéese marcar nuevos archivos como confidenciales de forma predeterminada en SharePoint para evitar que los invitados accedan a los archivos recién agregados hasta que al menos una directiva DLP examine el contenido del archivo.