Configuración de SharePoint con una etiqueta de confidencialidad para ampliar los permisos a los documentos descargados
Guía de licencias de Microsoft 365 para el cumplimiento de la seguridad &
Nota:
La siguiente funcionalidad para ampliar los permisos de SharePoint se implementa gradualmente en versión preliminar y está sujeta a cambios.
Cuando SharePoint está habilitado para etiquetas de confidencialidad, puede configurar bibliotecas de documentos para ampliar los permisos de sitio de SharePoint existentes a los documentos cuando se descargan de la biblioteca. A continuación, los archivos sin etiquetar anteriormente de esa biblioteca continúan protegidos con los permisos actuales de SharePoint para el usuario, aunque los archivos hayan dejado el límite original de SharePoint.
Por ejemplo, seleccione la etiqueta Confidencial \ De confianza Personas como etiqueta de confidencialidad para ampliar los permisos de una biblioteca de documentos. En esa biblioteca, un sitio está configurado para permitir solo permisos de lectura a un grupo de usuarios específicos. Un usuario de ese grupo descarga un archivo del sitio y ese archivo ahora se etiqueta como Confidencial \ Personas de confianza. Aunque el archivo ya no está en SharePoint, ese usuario solo puede ver y no editar el contenido ni quitar la etiqueta. Solo los usuarios con acceso al archivo en SharePoint tienen acceso al archivo descargado. Los usuarios sin acceso al archivo en SharePoint no podrán abrir ese archivo descargado, independientemente de dónde se almacene.
Además, el archivo tiene una capa just-in-time de protección porque el usuario que descargó el archivo tampoco podrá abrirlo en las siguientes circunstancias:
- Los permisos para ese usuario se quitan del archivo
- El archivo se elimina del sitio
- El sitio ya no está activo
- El archivo se mueve a otro sitio
Si se cambian los permisos de SharePoint para el usuario, esos cambios se reflejan para el archivo descargado.
Cuando estos archivos etiquetados están en la biblioteca de documentos, también están protegidos contra las acciones de copia y movimiento:
- Los archivos no se pueden copiar ni mover a otro sitio.
- Los archivos se pueden copiar o mover a una biblioteca de documentos diferente dentro del mismo sitio solo si el usuario tiene permisos de SharePoint para crear o eliminar listas.
La etiqueta de confidencialidad especificada se aplica a todos los archivos sin etiquetar y a los archivos etiquetados, pero la configuración de la etiqueta no aplica cifrado. Los archivos que se sincronizan con OneDrive también se etiquetan.
En el caso de los archivos existentes etiquetados pero no cifrados, también se reemplaza una etiqueta aplicada manualmente por la etiqueta especificada. Para obtener un resumen rápido de los resultados posibles, vea Will an existing label be over invalidado en esta página.
Actualmente, Microsoft 365 Copilot no puede acceder a los archivos sin abrir etiquetados con esta configuración.
Dado que los archivos sin cifrar se pueden volver a etiquetar, esta configuración de etiquetado es adecuada para las organizaciones que están al principio de su implementación de etiquetado y aún no han etiquetado archivos en sitios de SharePoint mediante otros métodos.
¿Se invalidará una etiqueta ya existente?
Resumen de los resultados:
Etiqueta ya existente | Invalidación con la etiqueta de biblioteca para ampliar los permisos |
---|---|
La etiqueta aplicada mediante cualquier método (manual, automático, etiqueta predeterminada de la directiva) y la configuración de etiquetas no aplican cifrado, ninguna prioridad | Yes |
La etiqueta aplicada mediante cualquier método (manual, automático, etiqueta predeterminada de la directiva) y la configuración de etiqueta aplica cifrado, cualquier prioridad | No |
Requisitos
Ha creado y publicado etiquetas de confidencialidad, publicadas para los usuarios que seleccionarán la etiqueta de confidencialidad para una biblioteca de documentos de SharePoint. Las etiquetas requieren la siguiente configuración:
Ámbito de etiqueta de Archivos y otros recursos de datos
El control de acceso está seleccionado con la configuración de cifrado Permitir que los usuarios asignen permisos al aplicar la etiqueta y la casilla En Word, PowerPoint y Excel, se selecciona pedir a los usuarios que especifiquen permisos. Esta configuración a veces se conoce como "permisos definidos por el usuario".
Nota:
En esta aplicación de la etiqueta, no se pedirán permisos a los usuarios, pero sus permisos de SharePoint se aplicarán automáticamente cuando se descargue, copie o mueva un archivo desde el sitio.
Ha habilitado etiquetas de confidencialidad para archivos de Office en SharePoint y OneDrive. Para comprobar este estado, puede ejecutar
(Get-SPOTenant).EnableAIPIntegration
desde el Shell de administración de SharePoint Online para confirmar que el valor está establecido en True.El inquilino se ha habilitado para la coautoría de archivos cifrados con etiquetas de confidencialidad.
Para admitir etiquetas de confidencialidad para archivos PDF, ha agregado compatibilidad con archivos PDF en SharePoint. Para comprobar este estado, puede ejecutar
(Get-SPOTenant).EnableSensitivityLabelforPDF
desde el Shell de administración de SharePoint Online para confirmar que el valor está establecido en True.Las aplicaciones de Windows de Aplicaciones Microsoft 365 para empresas que descargan archivos requieren una versión mínima de 2402 desde el canal actual, el canal mensual de empresa o Semi-Annual canal enterprise.
SharePoint Information Rights Management (IRM) no está habilitado para la biblioteca. Esta tecnología anterior no es compatible con el uso de una etiqueta de confidencialidad para una biblioteca de documentos de SharePoint. Si una biblioteca está habilitada para IRM, no podrá seleccionar una etiqueta de confidencialidad.
Los permisos de administrador del sitio son necesarios para aplicar y cambiar la etiqueta de confidencialidad en SharePoint.
Los archivos deben contener contenido que se va a etiquetar.
Si necesita revisar una lista de tipos de archivo compatibles con etiquetas de confidencialidad en SharePoint, vea Tipos de archivo admitidos.
Asignación de permisos de SharePoint a derechos de uso
Use la tabla siguiente para comprender cómo los permisos de SharePoint para un usuario se extienden a los niveles de permisos y derechos de uso de administración de derechos cuando se descarga un archivo, o se copia y se mueve fuera del sitio.
Permiso de SharePoint | Derechos de uso aplicados | Niveles de permisos |
---|---|---|
Owner | Control total sobre el contenido, todos los permisos y la etiqueta de confidencialidad aplicada: VIEW, EXTRACT, DOCEDIT, EDIT, EXPORT, COMMENT, PRINT, FORWARD, REPLY, REPLYALL, VIEWRIGHTSDATA, EDITRIGHTSDATA, OBJMODEL *, OWNER * |
Owner |
Edit | Control total sobre el contenido, pero no puede cambiar la etiqueta de confidencialidad aplicada: VIEW, EXTRACT, DOCEDIT, EDIT, EXPORT, COMMENT, PRINT, FORWARD, REPLY, REPLYALL, VIEWRIGHTSDATA |
Editor |
Read | Puede ver el contenido, pero no puede cambiar el contenido ni la etiqueta de confidencialidad aplicada: VIEW, VIEWRIGHTSDATA |
Visor |
* Actualmente, estos derechos de uso no se aplican y, como resultado, el usuario puede cambiar la etiqueta de confidencialidad, pero no puede quitarla.
Limitaciones
Las limitaciones siguientes se aplican al usar esta configuración:
Los usuarios no pueden aplicar manualmente etiquetas de confidencialidad que no estén configuradas para aplicar el cifrado.
Los usuarios no podrán abrir los archivos descargados sin conexión; deben poder conectarse al sitio original.
Los usuarios no podrán abrir los archivos descargados si se elimina el sitio, la carpeta o el archivo de SharePoint originales.
Los archivos etiquetados con esta configuración no se pueden mover ni copiar a otro sitio.
Los archivos etiquetados con esta configuración solo se pueden mover o copiar a otra biblioteca de documentos dentro del mismo sitio si los usuarios tienen permisos de SharePoint para crear o eliminar listas. La etiqueta no se conserva para el archivo copiado o movido.
Esta configuración puede invalidar una etiqueta aplicada manualmente anteriormente si la etiqueta no está configurada para aplicar el cifrado.
Actualmente, los archivos etiquetados con esta configuración no se muestran como etiquetados en el Explorador de contenido.
Microsoft 365 Copilot puede hacer referencia a los archivos etiquetados si los usuarios tienen permisos de lectura de SharePoint, pero no resumirán estos archivos. Dado que los archivos no se pueden resumir, Copilot tampoco puede usarlos para generar contenido nuevo.
Nota:
Al igual que con todos los archivos cifrados con Azure Rights Management, un superusuario puede abrir documentos cifrados si es necesario porque la ubicación original ya no es accesible.
Configuración de una biblioteca de documentos de SharePoint para una etiqueta de confidencialidad que amplía los permisos para los documentos descargados
Esta configuración primero requiere que habilite la funcionalidad para el inquilino mediante PowerShell con el Shell de administración de SharePoint Online. A continuación, hay una nueva casilla disponible para la configuración de la biblioteca de documentos.
Ejecute el comando de PowerShell para habilitar la compatibilidad para ampliar los permisos de SharePoint.
Asegúrese de que ejecuta Shell de administración de SharePoint Online versión 16.0.25430.12000 o posterior.
Para habilitar las nuevas funcionalidades, use el cmdlet Set-SPOTenant con el parámetro ExtendPermissionsToUnprotectedFiles :
Con una cuenta profesional o educativa que tenga privilegios de administrador de SharePoint en Microsoft 365, conéctese a SharePoint. Para saber cómo hacerlo, consulte Introducción al Shell de administración de SharePoint Online.
Nota:
Si tiene Microsoft 365 Multi-Geo, use el parámetro -Url con Connect-SPOService y especifique la dirección URL del sitio del Centro de administración de SharePoint Online para una de sus ubicaciones geográficas.
Ejecute el siguiente comando y presione Y para confirmar:
Set-SPOTenant -ExtendPermissionsToUnprotectedFiles $true
Si ve un error que le informa de que la característica no está habilitada, lo más probable es que la implementación aún no haya llegado al inquilino.
Para Microsoft 365 Multi-Geo: repita los pasos 1 y 2 para cada una de las ubicaciones geográficas restantes.
Al igual que con todos los cambios de configuración de nivel de inquilino para SharePoint, el cambio tarda aproximadamente 15 minutos en surtir efecto.
Configuración de bibliotecas de documentos de SharePoint con una etiqueta predeterminada para ampliar los permisos
Para cada biblioteca de documentos de SharePoint que desee tener esta configuración, siga las instrucciones para Agregar una etiqueta de confidencialidad a la biblioteca de documentos de SharePoint y active la casilla Extender protección al descargar, copiar o mover:
No verá esta casilla hasta que se haya completado el comando de PowerShell anterior.
Después de seleccionar una etiqueta de confidencialidad que aplique el cifrado con permisos definidos por el usuario, guarde la configuración.
Nota:
Esta característica es mutuamente excluyente con la opción de seleccionar una etiqueta de confidencialidad predeterminada para una biblioteca de documentos de SharePoint que admita etiquetas de confidencialidad sin cifrado y etiquetas de confidencialidad configuradas con la opción Asignar permisos ahora (a veces denominadas "permisos definidos por el administrador").
La etiqueta de confidencialidad seleccionada se aplicará a todos los archivos sin etiquetar y a los archivos etiquetados, pero la configuración de la etiqueta no aplica el cifrado. La columna Confidencialidad de la biblioteca de documentos muestra la etiqueta seleccionada para los archivos existentes, nuevos y editados. Los usuarios ven la etiqueta seleccionada cuando abren el archivo para su edición, pero no experimentarán ningún cambio en los permisos como resultado de la etiqueta.
Una vez configurada la biblioteca con la etiqueta de confidencialidad, todos los archivos existentes se volverán a sincronizar si la biblioteca se sincroniza a través del cliente Sincronización de OneDrive. El proceso de resincronización puede tardar un tiempo y, hasta que se complete, no se aplicará la protección ampliada.
Importante
En la biblioteca de documentos de SharePoint que ha configurado para la etiqueta de confidencialidad, los usuarios no pueden quitar la etiqueta de confidencialidad aplicada en sus aplicaciones de Office y solo pueden cambiarla si la etiqueta de reemplazo aplica el cifrado.
Supervisión de la aplicación de la etiqueta de confidencialidad que extiende los permisos de SharePoint
Dado que esta configuración amplía la funcionalidad de una etiqueta de confidencialidad predeterminada para una biblioteca de documentos, se supervisa su configuración de la misma manera. El GUID de la etiqueta de confidencialidad identificará la configuración de cifrado para los permisos definidos por el usuario. No hay ningún evento de auditoría de etiquetado independiente para cuando se descarga, copia o mueve un archivo.
Cómo desactivar esta característica
Si desea que una biblioteca de documentos de SharePoint específica ya no amplíe los permisos con una etiqueta de confidencialidad, desactive la casilla Ampliar la protección al descargar, copiar o mover como una configuración de biblioteca de documentos de SharePoint. Luego:
Los archivos de la biblioteca de documentos que se etiquetaron anteriormente con esta configuración se revertirán a su etiqueta original que no aplicó el cifrado o sin etiquetar si ese era su estado original antes de que se activara la casilla.
Los archivos sincronizados con OneDrive se resincronizarán y se revertirán de forma similar a su estado de etiqueta anterior. El proceso de resincronización puede tardar un tiempo y, hasta que se complete, la protección ampliada permanecerá.
Los archivos etiquetados que ahora se descargan conservan su etiqueta.
Si desea desactivar esta característica en el nivel de inquilino cuando se haya habilitado y configurado anteriormente, desactive primero la casilla Extender protección al descargar, copiar o mover de todas las bibliotecas de documentos donde se ha seleccionado. A continuación, use el mismo cmdlet Set-SPOTenant con el parámetro ExtendPermissionsToUnprotectedFiles , pero establezca el valor en false. Luego:
- La casilla Ampliar la protección al descargar, copiar o mover ya no está visible como una configuración de biblioteca de documentos de SharePoint.
Si desactiva la característica en el nivel de inquilino sin desactivar primero la casilla de una biblioteca de documentos, la configuración permanece pero sin la casilla para desactivarla.
En este escenario, para desactivar la configuración, ejecute el comando de PowerShell para habilitar la compatibilidad para ampliar los permisos de SharePoint y volver a mostrar la casilla, de modo que pueda borrarla. Si no desea volver a habilitar la compatibilidad en el nivel de inquilino, póngase en contacto con Soporte técnico de Microsoft para comunicarse con usted a través de comandos de PowerShell para quitar la configuración de una biblioteca de documentos específica.
Pasos siguientes
Aunque esta configuración proporciona protección inmediata a escala para los archivos almacenados en SharePoint, no tiene en cuenta el contenido del archivo que podría requerir un mayor nivel de protección. Considere la posibilidad de complementar este método de etiquetado con el etiquetado automático que usa la inspección de contenido para aplicar etiquetas de confidencialidad con cifrado.
Recursos relacionados
introducción a la administración avanzada de Microsoft Syntex