Protección de forma predeterminada con Microsoft Purview y protección contra el uso compartido excesivo: fase 1
Esta guía se divide en cuatro fases:
- Introducción
- Fase 1: Fundamental: empezar con etiquetas recomendadas (esta página)
- Fase 2: Administrado: Archivos de direcciones con la más alta confidencialidad
- Fase 3: Optimizada: expansión a todo el patrimonio de datos de Microsoft 365
- Fase 4: Acciones estratégicas: operar, expandir y retroactivas
Fase 1: Fundamental: Inicio con etiquetas recomendadas
Las etiquetas de confidencialidad son etiquetas organizativas que son significativas e intuitivas para los usuarios finales. Se integran y son coherentes entre las soluciones de Microsoft y las soluciones que no son de Microsoft, como Adobe Acrobat Reader.
Las directivas de protección en las etiquetas varían en función del recurso de datos. Por ejemplo:
- Cifrado y marca de agua dinámica en tipos de archivo admitidos
- Controles de acceso condicional y privacidad para sitios de SharePoint y Teams
- Control de permisos en bases de datos de Azure SQL, Azure Storage y Amazon Web Services (AWS) S3
La estrategia para aplicar etiquetas a menudo comienza con el etiquetado manual y, a continuación, el etiquetado automático del lado cliente con tipos de información confidencial (SIT), seguido del etiquetado automático del lado servicio (en reposo) con SIT y condiciones contextuales. SharePoint también ofrece una etiqueta predeterminada contextual por biblioteca, que se trata con más detalle en esta guía.
Comience con etiquetas y protección predeterminadas en el nivel de archivo y sitio.
Se recomienda comenzar con la siguiente definición para la mayoría de los clientes. Estas etiquetas recomendadas se pueden adaptar si tiene una implementación existente y iteraciones más adelante con más escenarios.
En el nivel superior, se recomienda empezar con las etiquetas siguientes:
- Público : los datos públicos son datos sin restricciones destinados al consumo público, como el código fuente publicado públicamente y las finanzas anunciadas. Compárdalo libremente.
- General : datos empresariales que no están pensados para el consumo público, como el producto de trabajo diario. Datos que se pueden compartir internamente y con asociados de confianza.
- Confidencial : los datos empresariales confidenciales son fundamentales para lograr los objetivos de la organización. Distribución limitada.
- Altamente confidencial : los datos más críticos. Compartirlo solo con destinatarios con nombre.
Nota:
Para las organizaciones que aceptan contenido personal en dispositivos administrados, se recomienda definir una etiqueta noempresarial o personal con la prioridad más baja y sin protección.
Para Confidencial y Altamente confidencial, agregamos las siguientes subetiquetas:
- \Todos los empleados : cualquier persona de la organización puede acceder a los datos.
- \Personas específico: solo los usuarios especificados pueden acceder a los datos.
- \Excepción interna : cualquier usuario puede acceder a los datos internamente, pero no se puede compartir externamente. Use esta etiqueta en situaciones en las que el cifrado afecta a las operaciones diarias.
Para obtener una lista completa de etiquetas primarias o secundarias con configuraciones recomendadas, consulte esta tabla:
| Nombre de la etiqueta | Etiqueta de descripción para usuarios | Configuraciones |
|---|---|---|
| Public | Datos empresariales preparados y aprobados para el consumo público. |
Ámbito: elementos (archivo, correo electrónico) Marcado de contenido: no Etiquetado automático: no Prevención de pérdida de datos: ninguno |
| General | Datos empresariales que no están destinados al consumo público. Sin embargo, esto se puede compartir con asociados externos, según sea necesario. | Esta etiqueta se selecciona como la etiqueta predeterminada para los correos electrónicos. Esta etiqueta también está seleccionada para sitios que permiten asociados externos. Ámbito: elementos (archivo, Email, reuniones, sitios) Marcado de contenido: no Etiquetado automático: no Privacidad del sitio: privado o público Prevención de pérdida de datos: bloquear a cualquier usuario con el vínculo |
| Confidencial \ Todos los empleados |
Datos confidenciales que necesitan protección, lo que concede a todos los empleados permisos totales. Los propietarios de datos pueden realizar un seguimiento del contenido y revocarlo. | Esta etiqueta se selecciona como etiqueta predeterminada para documentos y sitios. Ámbito: elementos (archivo, Email, reuniones, sitios) Cifrado: todos los usuarios y grupos de la organización: trabajar en coautoría Marcado de contenido: Pie de página: clasificado como confidencial Etiquetado automático: no Privacidad del sitio: privado o público Prevención de pérdida de datos: Bloquear a cualquier usuario con el vínculo, Bloquear externo |
| Confidencial \ Personas específicas |
Datos confidenciales que se pueden compartir con personas de confianza dentro y fuera de la organización. Estas personas también pueden volver a compartir los datos según sea necesario. |
Ámbito: elementos (archivo, Email, reuniones, sitios) Cifrado: permite a los usuarios asignar permisos: - Solo cifrar para Outlook - Solicitar a los usuarios en Word, PowerPoint y Excel Marcado de contenido: Pie de página: clasificado como confidencial Etiquetado automático: no Privacidad del sitio: privado o público Prevención de pérdida de datos: bloquear a cualquier usuario con el vínculo |
| Confidencial \ Excepción interna |
Datos confidenciales que no necesitan cifrarse. Use esta opción con cuidado y justificación empresarial adecuada. | Esta etiqueta está seleccionada para obtener información confidencial que no es necesario cifrar. Esto se puede usar como una excepción interna cuando el cifrado no se admite con un proceso o aplicación que use esta información. Aproveche la prevención de pérdida de datos y la administración de riesgos internos para administrar los riesgos y las desviaciones del usuario. Ámbito: elementos (archivo, Email, reuniones, sitios) Marcado de contenido: Pie de página: clasificado como confidencial Etiquetado automático:No Privacidad del sitio: privado o público Prevención de pérdida de datos: Bloquear a cualquier usuario con el vínculo, Bloquear externo |
| Extremadamente confidencial \ Todos los empleados |
Datos extremadamente confidenciales que permiten a todos los empleados ver, editar y responder permisos a este contenido. Los propietarios de datos pueden realizar un seguimiento del contenido y revocarlo. | Esta etiqueta está seleccionada para el etiquetado automático del lado cliente y el etiquetado automático del lado servicio. Ámbito: elementos (archivo, Email, reuniones, sitios) Cifrado: todos los usuarios y grupos de la organización: trabajar en coautoría Marcado de contenido: pie de página: clasificado como extremadamente confidencial Etiquetado automático: aplique automáticamente la etiqueta. Considere la posibilidad de aplicar automáticamente los tipos de información confidencial Todas las credenciales. Privacidad del sitio: privado o público Prevención de pérdida de datos: Bloquear a cualquier usuario con el vínculo, Bloquear externo |
| Extremadamente confidencial \ Personas específicas |
Datos extremadamente confidenciales que requieren protección y que solo pueden ser vistos por las personas que especifique y con el nivel de permisos que elija. |
Ámbito: elementos (archivo, Email, reuniones, sitios) Cifrado: permite a los usuarios asignar permisos: - No reenviar para Outlook - Solicitar a los usuarios en Word, PowerPoint y Excel Marcado de contenido: pie de página: clasificado como extremadamente confidencial Etiquetado automático: no Privacidad del sitio: privado o público Prevención de pérdida de datos: Bloquear a cualquier usuario con el vínculo, Bloquear externo |
| Extremadamente confidencial \ Excepción interna |
Datos altamente confidenciales que no es necesario cifrar. Use esta opción con cuidado y justificación empresarial adecuada. | Esta etiqueta está seleccionada para obtener información extremadamente confidencial que no es necesario cifrar. Esto se puede usar como una excepción interna cuando el cifrado no se admite con un proceso o aplicación que use esta información. Aproveche la prevención de pérdida de datos y la administración de riesgos internos para administrar los riesgos y las desviaciones del usuario. Ámbito: elementos (archivo, Email, reuniones, sitios) Marcado de contenido: Pie de página: clasificado como confidencial Etiquetado automático: no Privacidad del sitio: privado o público Prevención de pérdida de datos: Bloquear a cualquier usuario con el vínculo, Bloquear externo |
Seguridad predeterminada
Las etiquetas recomendadas de este modelo de implementación tienen algunas diferencias en comparación con el enfoque tradicional de rastreo, recorrido y ejecución o las etiquetas y directivas predeterminadas para proteger los datos , artículo:
- Establezca la etiqueta predeterminada en Confidencial\Todos los empleados para los archivos. Para los archivos existentes, aprovechar el etiquetado automático del lado del servicio con la extensión de archivo de condición contextual es para todos los archivos PPTX/DOCX/XLSX/PDF para todos los sitios de SharePoint pertinentes.
- Establezca la etiqueta predeterminada en General para los correos electrónicos. Esto reduce la fricción de la implementación con los usuarios que pueden funcionar normalmente, con la excepción de que los archivos confidenciales adjuntos a un correo electrónico heredan la etiqueta del archivo.
- Controles para el uso compartido predeterminado y límites dlp
- Casos de uso de etiquetado automático centrados en Alta confidencialidad
- Etiqueta de Personas específica, con nombre intuitivo y autoexplicación
- La excepción interna aborda los casos perimetrales en los que el cifrado impide que los usuarios finales realicen su trabajo diario.
Aspectos destacados y recomendaciones
- Las etiquetas deben tener un nombre intuitivo.
- Evite mezclar términos como Confidencial, Restringido o Interno , ya que comprender los diferentes significados de los términos puede ser un desafío para los usuarios.
- Se recomienda mantener la lista de etiquetas en 5x5 siempre que sea posible, es decir, hasta cinco etiquetas primarias y hasta cinco etiquetas secundarias bajo un elemento primario.
- Cuando corresponda, las etiquetas se usan para archivos y sitios de SharePoint.
- Altamente confidencial se suele hacer con el etiquetado automático y los valores predeterminados contextuales, y proporciona más controles y restricciones.
- Use etiquetas para establecer los sitios de SharePoint y la privacidad de Teams en Privado de forma predeterminada.
- Para las organizaciones que usan ampliamente la configuración de privacidad pública en SharePoint/Teams, se recomienda actualizar a Privado y usar vínculos que se puedan compartir con la empresa en su lugar.
- Los sitios privados de SharePoint con vínculos que se pueden compartir con la empresa proporcionan la misma flexibilidad de colaboración, pero reducen los riesgos de la detección no intencionada en la búsqueda y Copilot.
- Para obtener más protección, establezca el uso compartido predeterminado en Personas específicas.
- Cree una cadena de responsabilidades con los propietarios del sitio. Use informes y Graph API para identificar las desviaciones de uso y comportamientos.
- Active DLP en el contenido etiquetado, bloqueando a cualquier usuario con vínculo y externo cuando corresponda. El contenido compartido existente coincide con esos bloques de condición, se generan alertas DLP y las sugerencias de directivas son visibles para los usuarios finales.
- Active la herencia de etiquetas de correo electrónico. Para obtener más información, vea Configurar la herencia de etiquetas a partir de datos adjuntos de correo electrónico.
Activar los requisitos previos de seguridad de datos y el análisis avanzado
Microsoft Purview tiene muchas funcionalidades. Para reducir los impactos en los usuarios, algunas funcionalidades no se activan de forma predeterminada. Se recomienda revisar la siguiente configuración:
- Activar la capacidad de procesar contenido en Office Online: habilitar etiquetas de confidencialidad para archivos en SharePoint y OneDrive
- Activar el etiquetado para sitios de Microsoft Teams y SharePoint: usar etiquetas de confidencialidad con sitios de Microsoft Teams, Grupos de Microsoft 365 y SharePoint
- Se recomienda mantener la etiqueta de correo electrónico que no coincide con la etiqueta. Esta característica envía un correo electrónico al propietario del documento y al propietario del sitio sobre un documento que tiene una mayor confidencialidad que la etiqueta de confidencialidad del sitio. Para confirmar que no está deshabilitado, compruebe que "-BlockSendLabelMismatchEmail" está establecido en $False
- Incluir un vínculo de ayuda con "-LabelMismatchEmailHelpLink"
- Habilitar la compatibilidad con archivos PDF en OneDrive y SharePoint: Habilitar etiquetas de confidencialidad para archivos en SharePoint y OneDrive
- Marcar archivos como confidenciales de forma predeterminada: impedir el acceso de invitado a los archivos mientras se aplican las reglas DLP: SharePoint en Microsoft 365
- Análisis DLP: introducción al análisis de prevención de pérdida de datos
- Activar la coautoría para archivos con etiquetas de confidencialidad: habilitar la coautoría para documentos cifrados
- Activar indicadores de administración de riesgos internos: Configurar indicadores de directiva en la administración de riesgos internos
- Activar auditorías de Purview: Introducción a las soluciones de auditoría
- Habilitación de la integración con Microsoft Entra B2B: integración de SharePoint y OneDrive con Microsoft Entra B2B
Vínculos o vínculos que se pueden compartir con la empresa para personas específicas
El uso compartido de OneDrive y SharePoint se configura a través de vínculos que se pueden compartir. Más información aquí: Cómo funcionan los vínculos que se pueden compartir en OneDrive y SharePoint en Microsoft 365
Para las organizaciones que usan sitios de SharePoint con la configuración de privacidad establecida en público, se recomienda pasar a privado con vínculos que se pueden compartir predeterminados establecidos en Personas en su organización. La colaboración abierta está disponible para los usuarios, pero reduce la detección automática de contenido en la búsqueda empresarial y Copilot.
Sugerencia
Para reducir aún más los riesgos, se recomienda configurar personas específicas como valor predeterminado.
Las etiquetas de confidencialidad de Microsoft Purview le permiten configurar los vínculos que se pueden compartir en función de la etiqueta de confidencialidad del sitio de SharePoint. Por ejemplo, esta configuración facilita enormemente las configuraciones pormenorizadas entre sitios generales y confidenciales . Más información aquí: Use las etiquetas de confidencialidad para configurar el tipo de vínculo de uso compartido predeterminado.
Entrenamiento de usuarios sobre la administración de excepciones
Con el enfoque seguro de forma predeterminada, el entrenamiento se centra en:
- Hacer que su organización sepa lo importante que es proteger la información de forma predeterminada.
- La importancia del etiquetado en sitios de SharePoint y cómo afectan las etiquetas a la protección de los archivos y el uso compartido.
- Cómo los usuarios pueden cambiar las etiquetas al trabajar con asociados externos de confianza.
- Cómo los usuarios pueden cambiar las etiquetas cuando una aplicación de línea de negocio o un complemento no funciona correctamente con el cifrado.
- Si se debe compartir desde OneDrive o SharePoint con asociados externos de confianza y cómo seleccionar la etiqueta de sitio adecuada.
- Justificación necesaria al degradar etiquetas.
Derivar el etiquetado de archivos desde el etiquetado de sitio de SharePoint reduce el número de veces que los usuarios deben cambiar su etiqueta. Por ejemplo:
- John comparte un archivo externamente a través de OneDrive. A continuación, revisa el contenido y determina que no es confidencial y cambia la etiqueta a General. A continuación, John comparte externamente.
- Jane está trabajando con un asociado y compartiendo varios archivos. Jane usa SharePoint y etiqueta el sitio en General. Todos los archivos del sitio se pueden compartir. Pero si se carga un archivo confidencial en el sitio, ese archivo está protegido, se envía una notificación a Jane sobre el archivo de confidencialidad superior y puede mover el archivo o cambiar la etiqueta.
- Jack trabaja en Excel con un asociado mediante un complemento importante para las operaciones empresariales. Si este complemento no es compatible con el cifrado, Jack debe cambiar la etiqueta a Confidencial\Excepción interna.
Importante
Hay un equilibrio importante que se debe tener en cuenta entre la prioridad de la etiqueta, la degradación y la justificación, y los valores predeterminados. Por ejemplo, suponiendo que General tiene una prioridad inferior a Confidencial\Todos los empleados y si el cliente de Office tiene como valor predeterminado Confidencial\Todos los empleados, no se aplicará una etiqueta de biblioteca predeterminada de SharePoint establecida en General . De forma similar, el conjunto de excepciones confidencial o interno con una prioridad más alta no requerirá justificación. Es importante revisar las prioridades de las etiquetas y los requisitos de justificación.
Activar DLP para el contenido etiquetado
Prevención de pérdida de datos de Microsoft Purview (DLP) proporciona integración con etiquetas de confidencialidad, lo que soluciona rápidamente los requisitos dlp con configuraciones limitadas.
Por ejemplo, con las etiquetas recomendadas y el valor predeterminado establecido en Confidencial\Todos los empleados, se recomienda incluir una regla DLP para bloquear el uso compartido en el externo y bloquear a cualquier persona con el vínculo. Consulte la tabla de etiquetas recomendada y la columna Límites DLP para obtener más información en cada etiqueta.
Para obtener más información sobre esta funcionalidad:
- Usar etiquetas de confidencialidad como condiciones en las directivas de DLP
- Referencia de directiva de prevención de pérdida de datos
- Prevención de pérdida de datos Referencia de condiciones y acciones de intercambio
Fase 1: resumen
Al final de esta fase, la organización tiene:
- Etiquetas disponibles para que los usuarios finales las usen manualmente.
- Etiquetado predeterminado para los documentos y correos electrónicos nuevos o actualizados.
- Comunicaciones de usuario y aprendizaje sobre cómo administrar excepciones, ya sea al compartir o si el cifrado está causando problemas con sus archivos empresariales.
- DLP impide el uso compartido de archivos confidenciales.
Recursos adicionales
- Aplicar cifrado mediante etiquetas de confidencialidad
- Administrar etiquetas de confidencialidad en las aplicaciones de Office
- Aprendizaje del usuario final para etiquetas de confidencialidad
- Información sobre etiquetas y directivas predeterminadas para proteger los datos
Paso siguiente: Fase 2: Administrado: Archivos de direcciones con la más alta confidencialidad