Compartir a través de

Integración con Microsoft Purview para la protección de la información

  • Artículo

Microsoft Defender for Cloud Apps permite aplicar automáticamente etiquetas de confidencialidad desde Microsoft Purview. Estas etiquetas se aplican a los archivos como una acción de gobernanza de directivas de archivos y, en función de la configuración de la etiqueta, pueden aplicar el cifrado para una protección adicional. También puede investigar archivos mediante el filtrado de la etiqueta de confidencialidad aplicada en el portal de Defender for Cloud Apps. El uso de etiquetas permite una mayor visibilidad y control de los datos confidenciales en la nube. Integrar Microsoft Purview con Defender for Cloud Apps es tan fácil como seleccionar una sola casilla.

Al integrar Microsoft Purview en Defender for Cloud Apps, puede usar toda la eficacia de los servicios y los archivos seguros en la nube, entre los que se incluyen:

  • La capacidad de aplicar etiquetas de confidencialidad como una acción de gobernanza a los archivos que coinciden con directivas específicas
  • La capacidad de ver todos los archivos clasificados en una ubicación central
  • La capacidad de investigar según el nivel de clasificación y cuantificar la exposición de datos confidenciales en las aplicaciones en la nube
  • La capacidad de crear directivas para asegurarse de que los archivos clasificados se administran correctamente

Requisitos previos

Nota:

Para habilitar esta característica, necesita una licencia de Defender for Cloud Apps y una licencia para Microsoft Purview. Tan pronto como ambas licencias estén en vigor, Defender for Cloud Apps sincroniza las etiquetas de la organización desde Microsoft Purview.

Para que Defender for Cloud Apps aplique etiquetas de confidencialidad, deben publicarse como parte de una directiva de etiquetas de confidencialidad en Microsoft Purview.

Defender for Cloud Apps actualmente admite la aplicación de etiquetas de confidencialidad desde Microsoft Purview para los siguientes tipos de archivo:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

    Nota:

    En el caso de PDF, debe usar etiquetas unificadas.

Esta característica está disponible actualmente para los archivos almacenados en Box, Google Workspace, SharePoint Online y OneDrive. Se admitirán más aplicaciones en la nube en versiones futuras.

Cómo funciona

Puede ver las etiquetas de confidencialidad de Microsoft Purview en Defender for Cloud Apps. En cuanto integre Defender for Cloud Apps con Microsoft Purview, Defender for Cloud Apps examina los archivos de la siguiente manera:

  1. Defender for Cloud Apps recupera la lista de todas las etiquetas de confidencialidad usadas en el inquilino. Esta acción se realiza cada hora para mantener actualizada la lista.

  2. Defender for Cloud Apps, a continuación, examina los archivos en busca de etiquetas de confidencialidad, como se indica a continuación:

    • Si ha habilitado el examen automático, todos los archivos nuevos o modificados se agregan a la cola de examen y se examinarán todos los archivos y repositorios existentes.
    • Si establece una directiva de archivo para buscar etiquetas de confidencialidad, estos archivos se agregan a la cola de examen en busca de etiquetas de confidencialidad.

  3. Como se indicó, estos exámenes son para las etiquetas de confidencialidad detectadas en el examen inicial Defender for Cloud Apps para ver qué etiquetas de confidencialidad se usan en el inquilino. Las etiquetas externas, etiquetas de clasificación establecidas por alguien externo al inquilino, se agregan a la lista de etiquetas de clasificación. Si no desea buscarlos, active la casilla Solo examinar archivos de Microsoft Information Protection etiquetas de confidencialidad y advertencias de inspección de contenido de este inquilino.

  4. Después de habilitar Microsoft Purview en Defender for Cloud Apps, todos los archivos nuevos que se agreguen a las aplicaciones en la nube conectadas se examinarán en busca de etiquetas de confidencialidad.

  5. Puede crear nuevas directivas dentro de Defender for Cloud Apps que apliquen automáticamente las etiquetas de confidencialidad.

Límites de integración

Tenga en cuenta los siguientes límites al usar etiquetas de Microsoft Purview con Defender for Cloud Apps.

Límite Descripción
Archivos con etiquetas o protección aplicadas fuera de Defender for Cloud Apps Las etiquetas no protegidas aplicadas fuera de Defender for Cloud Apps se pueden invalidar por Defender for Cloud Apps, pero no se pueden quitar.

Defender for Cloud Apps no se pueden quitar etiquetas con protección de archivos etiquetados fuera de Defender for Cloud Apps.

Para examinar archivos con protección aplicada fuera de las aplicaciones de Defender for Cloud, conceda permisos para inspeccionar el contenido de los archivos protegidos.
Archivos etiquetados por Defender for Cloud Apps Defender for Cloud Apps no invalida las etiquetas de los archivos que ya han sido etiquetados por Defender for Cloud Apps.
Archivos protegidos con contraseña Defender for Cloud Apps no puede leer etiquetas en archivos protegidos con contraseña.
Archivos vacíos Los archivos vacíos no se etiquetan mediante Defender for Cloud Apps.
Bibliotecas que requieren desprotección Defender for Cloud Apps no puede etiquetar archivos ubicados en bibliotecas configuradas para requerir la finalización de la compra.
Requisitos de ámbito Para que Defender for Cloud Apps reconozca una etiqueta de confidencialidad, el ámbito de la etiqueta en Purview debe configurarse para al menos archivos y correos electrónicos.

Nota:

Microsoft Purview es la solución principal de Microsoft para los servicios de etiquetado. Para obtener más información, consulte la documentación de Microsoft Purview.

Integración de Microsoft Purview con Defender for Cloud Apps

Habilitación de Microsoft Purview

Todo lo que tiene que hacer para integrar Microsoft Purview con Defender for Cloud Apps es seleccionar una sola casilla. Al habilitar el examen automático, habilitará la búsqueda de etiquetas de confidencialidad de Microsoft Purview en los archivos de Microsoft 365 sin necesidad de crear una directiva. Después de habilitarlo, si tiene archivos en el entorno de nube etiquetados con etiquetas de confidencialidad de Microsoft Purview, los verá en Defender for Cloud Apps.

Para habilitar Defender for Cloud Apps para examinar archivos con la inspección de contenido habilitada para etiquetas de confidencialidad:

En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube. A continuación, vaya a Information Protection ->Microsoft Information Protection.

  1. En Configuración de Microsoft Information Protection, seleccione Examinar automáticamente los nuevos archivos en busca de etiquetas de confidencialidad de microsoft Information Protection y advertencias de inspección de contenido.

    Captura de pantalla de la habilitación de Microsoft Purview.

Después de habilitar Microsoft Purview, podrá ver los archivos que tienen etiquetas de confidencialidad y filtrarlos por etiqueta en Defender for Cloud Apps. Una vez que Defender for Cloud Apps esté conectado a la aplicación en la nube, podrá usar las características de integración de Microsoft Purview para aplicar etiquetas de confidencialidad de Microsoft Purview (con o sin cifrado) en el Defender for Cloud Apps portal, agregándolos directamente a archivos o configurando una directiva de archivo para aplicar etiquetas de confidencialidad automáticamente como una acción de gobernanza.

Nota:

El examen automático no examina los archivos existentes hasta que se modifican de nuevo. Para examinar los archivos existentes en busca de etiquetas de confidencialidad de Microsoft Purview, debe tener al menos una directiva de archivo que incluya la inspección de contenido. Si no tiene ninguno, cree una nueva directiva de archivo, elimine todos los filtros preestablecidos; en Método de inspección , seleccione DLP integrado. En el campo Inspección de contenido , seleccione Incluir archivos que coincidan con una expresión preestablecida , seleccione cualquier valor predefinido y guarde la directiva. Esto permite la inspección de contenido, que detecta automáticamente las etiquetas de confidencialidad de Microsoft Purview.

Establecimiento de etiquetas internas y externas

De forma predeterminada, Defender for Cloud Apps examina las etiquetas de confidencialidad definidas en su organización y las externas definidas por otras organizaciones.

Para pasar por alto las etiquetas de confidencialidad establecidas externamente a su organización, vaya a Microsoft Defender Portal y seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Information Protection, seleccione Microsoft Information Protection. A continuación, seleccione Solo examinar archivos en busca de etiquetas de confidencialidad de Microsoft Information Protection y advertencias de inspección de contenido de este inquilino.

Omita las etiquetas.

Aplicación de etiquetas directamente a archivos

  1. En Microsoft Defender Portal, en Aplicaciones en la nube, elija Archivos. A continuación, seleccione el archivo que desea proteger. Seleccione los tres puntos al final de la fila del archivo y, a continuación, elija Aplicar etiqueta de confidencialidad.

    Aplicar etiqueta de confidencialidad.

    Nota:

    Defender for Cloud Apps puede aplicar Microsoft Purview en archivos de hasta 30 MB.

  2. Elija una de las etiquetas de confidencialidad de su organización para aplicarlas al archivo y seleccione Aplicar.

    Etiqueta de confidencialidad de la protección.

  3. Después de elegir una etiqueta de confidencialidad y seleccionar Aplicar, Defender for Cloud Apps aplicará la etiqueta de confidencialidad al archivo original.

  4. También puede quitar etiquetas de confidencialidad si elige la opción Quitar etiqueta de confidencialidad .

Para obtener más información sobre cómo funcionan conjuntamente Defender for Cloud Apps y Microsoft Purview, consulte Aplicación automática de etiquetas de confidencialidad desde Microsoft Purview.

Etiquetar automáticamente los archivos

Para aplicar automáticamente etiquetas de confidencialidad a los archivos, cree una directiva de archivo y establezca Aplicar etiqueta de confidencialidad como acción de gobernanza.

Siga estas instrucciones para crear la directiva de archivos:

  1. Cree una directiva de archivo.

  2. Establezca la directiva para incluir el tipo de archivo que desea detectar. Por ejemplo, seleccione todos los archivos en los que el nivel de acceso no sea igual a Interno y donde la unidad organizativa propietario sea igual a su equipo financiero.

  3. En Acciones de gobernanza para la aplicación correspondiente, seleccione Aplicar etiqueta de confidencialidad y, después, seleccione el tipo de etiqueta.

    Aplicar etiqueta.

Nota:

  • La capacidad de aplicar una etiqueta de confidencialidad es una funcionalidad eficaz. Para proteger a los clientes de aplicar erróneamente una etiqueta a un gran número de archivos, como precaución de seguridad hay un límite diario de 100 Aplicar acciones de etiqueta por aplicación, por inquilino. Una vez alcanzado el límite diario, la acción aplicar etiqueta se pausa temporalmente y continúa automáticamente al día siguiente (después de las 12:00 UTC).
  • Cuando se deshabilita una directiva, se suspenden todas las tareas de etiquetado pendientes para esa directiva.
  • En la configuración de la etiqueta, los permisos deben asignarse a cualquier usuario autenticado o a todos los usuarios de la organización para que Defender for Cloud Apps lea la información de la etiqueta.

Exposición del archivo de control

  1. Por ejemplo, supongamos que ha etiquetado el documento siguiente con una etiqueta de confidencialidad de Microsoft Purview:

    Pantalla ejemplo de Microsoft Purview.

  2. Para ver este documento en Defender for Cloud Apps, filtre por la etiqueta de confidencialidad de Microsoft Purview en la página Archivos.

    Defender for Cloud Apps en comparación con Microsoft Purview.

  3. Puede obtener más información sobre estos archivos y sus etiquetas de confidencialidad en el cajón de archivos. Solo tiene que seleccionar el archivo correspondiente en la página Archivos y comprobar si tiene una etiqueta de confidencialidad.

    Cajón de archivos.

  4. A continuación, puede crear directivas de archivo en Defender for Cloud Apps para controlar los archivos que se comparten de forma inapropiada y buscar archivos etiquetados y modificados recientemente.

  • Puede crear una directiva que aplique automáticamente una etiqueta de confidencialidad a archivos específicos.
  • También puede desencadenar alertas sobre actividades relacionadas con la clasificación de archivos.

Nota:

Cuando las etiquetas de confidencialidad están deshabilitadas en un archivo, las etiquetas deshabilitadas aparecen deshabilitadas en Defender for Cloud Apps. No se muestran las etiquetas eliminadas.

Directiva de ejemplo: datos confidenciales que se comparten externamente en Box:

  1. Cree una directiva de archivo.

  2. Establezca el nombre, la gravedad y la categoría de la directiva.

  3. Agregue los filtros siguientes para buscar todos los datos confidenciales que se comparten externamente en Box:

    Directiva de confidencialidad.

Directiva de ejemplo: datos restringidos que se modificaron recientemente fuera de la carpeta Datos del cliente en SharePoint:

  1. Cree una directiva de archivo.

  2. Establezca el nombre, la gravedad y la categoría de la directiva.

  3. Agregue los filtros siguientes para buscar todos los archivos restringidos modificados recientemente sin incluir la carpeta Datos del cliente en la opción de selección de carpeta:

    Directiva de datos restringida.

También puede elegir establecer alertas, notificaciones de usuario o tomar medidas inmediatas para estas directivas. Obtenga más información sobre las acciones de gobernanza.

Obtenga más información sobre Microsoft Purview.

Pasos siguientes

Controlar las aplicaciones en la nube con directivas

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.