Aplicar etiquetas de confidencialidad automáticamente

  • 6 minutos

Cuando crea una etiqueta de confidencialidad, puede asignar automáticamente dicha etiqueta a archivos o correos electrónicos cuando se cumplan las condiciones especificadas. La capacidad de aplicar automáticamente etiquetas de confidencialidad al contenido es importante por estos motivos:

  • No es necesario enseñar a los usuarios cuándo usar cada una de las clasificaciones.
  • No es necesario depender de los usuarios para clasificar todo el contenido correctamente.
  • Los usuarios ya no necesitan conocer las directivas. En su lugar, podrán centrarse en su trabajo.

Hay dos métodos diferentes para aplicar automáticamente una etiqueta de confidencialidad en contenido de Microsoft 365:

  • Etiquetado del lado cliente cuando los usuarios editan documentos o redactan (también responden o reenvían) correos electrónicos. Use una etiqueta que configuró para el etiquetado automático de archivos y correos electrónicos (incluye Word, Excel, PowerPoint y Outlook).

    Este método permite recomendar una etiqueta a los usuarios y aplicar una etiqueta automáticamente. Pero en ambos casos, el usuario decide si acepta o rechaza la etiqueta, para ayudar a garantizar el etiquetado correcto del contenido. Este etiquetado del lado cliente tiene un retraso mínimo para los documentos porque puede aplicar la etiqueta incluso antes de guardar el documento. Sin embargo, no todas las aplicaciones cliente son compatibles con el etiquetado automático. El etiquetado integrado admite esta funcionalidad con algunas versiones de Office y también el cliente de etiquetado unificado de Protección de Microsoft Entra ID.

    Para obtener instrucciones de configuración, consulte Cómo configurar el etiquetado automático en aplicaciones de Office.

  • Etiquetado del lado del servicio cuando ya ha guardado contenido (en SharePoint o OneDrive) o ya ha enviado contenido por correo electrónico (procesado por Exchange Online). Use una directiva de etiquetado automático.

    También se conoce a este método como etiquetado automático para datos en reposo (documentos en SharePoint y OneDrive) y datos en tránsito (correo electrónico que Exchange envía o recibe). Exchange no incluye correos electrónicos en reposo (buzones).

    Ya que este etiquetado lo aplican los servicios en lugar de las aplicaciones, no tiene que preocuparse por qué aplicaciones tienen los usuarios y qué versión. Como resultado, el sistema hace que esta funcionalidad esté disponible inmediatamente en toda la organización. También hace que esta funcionalidad sea adecuada para el etiquetado a escala. Las directivas de etiquetado automático no admiten el etiquetado recomendado, ya que el usuario no interactúa con el proceso de etiquetado. En su lugar, el administrador ejecuta las directivas en el modo de simulación para ayudarle a garantizar el etiquetado correcto del contenido antes de aplicar la etiqueta.

    Vea las instrucciones de configuración en Cómo configurar directivas de etiquetado automático para SharePoint, OneDrive y Exchange.

    Las condiciones siguientes son específicas del etiquetado automático para SharePoint y OneDrive:

    • Los archivos de Office admitidos incluyen archivos de Word (.docx), PowerPoint (.pptx) y Excel (.xlsx).
      • El sistema puede etiquetar automáticamente estos archivos en reposo antes o después de crear las directivas de etiquetado automático. El sistema no puede etiquetar automáticamente los archivos que forman parte de una sesión abierta (el archivo está abierto).
      • Actualmente, el sistema no admite datos adjuntos para elementos de lista y no puede etiquetarlos automáticamente.
    • Máximo 25 000 archivos etiquetados automáticamente en su espacio empresarial por día
    • Máximo de 100 directivas de etiquetado automático por espacio empresarial, cada una con un máximo de 100 sitios (SharePoint o OneDrive) cuando se especifican individualmente. También puede especificar todos los sitios, y esta configuración está exenta del máximo de 100 sitios.
    • Como resultado de las directivas de etiquetado automático, el sistema no cambia los valores existentes de modificados, modificados por y la fecha de la última modificación. Esta condición se aplica tanto para el modo de simulación como para cuando se aplican etiquetas.
    • Cuando la etiqueta aplica el cifrado, el emisor de administración de derechos y el propietario de administración de derechos son la cuenta que modificó por última vez el archivo.

    Las condiciones siguientes son específicas del etiquetado automático para Exchange:

    • A diferencia del etiquetado manual o el etiquetado automático con aplicaciones de Office, el sistema examina los datos adjuntos de PDF y los datos adjuntos de Office en función de las condiciones que especifique en la directiva de etiquetado automático. Cuando hay una coincidencia, el sistema etiqueta el correo electrónico, pero no los datos adjuntos.
      • En el caso de los archivos PDF, si la etiqueta aplica cifrado, estos archivos, si no están cifrados, ahora se cifran mediante el Cifrado de mensajes cuando el espacio empresarial se habilita para los datos adjuntos de PDF. Los archivos heredan la configuración de cifrado aplicada del correo electrónico.
      • Los archivos de Office admitidos incluyen archivos de Word, PowerPoint y Excel. Si la etiqueta aplica cifrado y estos archivos no están cifrados, ahora se cifran mediante Mensaje de cifrado. Los archivos heredan la configuración de cifrado del correo electrónico.
    • Si tiene reglas de flujo de correo de Exchange o directivas de Prevención de pérdida de datos (DLP) de Microsoft Purview que aplican el cifrado IRM: cuando el sistema identifica el contenido mediante estas reglas o directivas y una directiva de etiquetado automático, aplica la etiqueta. Si esa etiqueta aplica el cifrado, el sistema pasa por alto la configuración de IRM de las reglas de flujo de correo de Exchange o de las directivas DLP. Sin embargo, si esa etiqueta no aplica el cifrado, el sistema aplica la configuración de IRM de las reglas de flujo de correo o de las directivas DLP además de la etiqueta.
    • Cuando un correo electrónico tiene un cifrado IRM pero no tiene etiqueta, Exchange usa el etiquetado automático para agregar una etiqueta con cualquier configuración de cifrado cuando hay una coincidencia.
    • El sistema etiqueta el correo electrónico entrante cuando se produce una coincidencia con las condiciones de etiquetado automático. Si configuró la etiqueta para el cifrado, el sistema siempre aplica ese cifrado cuando el remitente es de su organización. De forma predeterminada, el sistema no aplica dicho cifrado cuando el remitente es ajeno a su organización. Sin embargo, puede hacer que el sistema lo aplique si configura Opciones adicionales para el correo electrónico y especifica un propietario de administración de derechos.
    • Cuando la etiqueta aplica el cifrado, el emisor de administración de derechos y el propietario de administración de derechos son la persona que envía el correo electrónico cuando el remitente es de su propia organización. Cuando el remitente es ajeno a la organización, puede especificar un propietario de administración de derechos para el correo electrónico entrante que la directiva etiquetó y cifró.
    • Si configuró la etiqueta para aplicar marcas dinámicas, el sistema muestra los nombres de las personas ajenas a la organización en el correo electrónico entrante.

La implementación de etiquetado automático y recomendado en las aplicaciones de Office depende de si está usando el etiquetado que Microsoft integró en Office o el cliente de etiquetado unificado de Protección de Microsoft Entra ID. Sin embargo, en ambos casos:

  • No puede usar el etiquetado automático para documentos y mensajes de correo electrónico que etiquetó previamente de forma manual o de forma automática con una confidencialidad más alta. Recuerde, solo se puede aplicar una etiqueta de confidencialidad a un documento o correo electrónico, (además de una sola etiqueta de retención).
  • No puede usar el etiquetado recomendado para documentos o correos electrónicos que etiquetó anteriormente con una confidencialidad más alta. Para estos documentos o correos electrónicos, el usuario no puede ver el mensaje con la recomendación y la sugerencia de directiva.

Específico para las etiquetas integradas:

  • No todas las aplicaciones de Office admiten el etiquetado automático (y recomendado). Para obtener más información, consulte Compatibilidad con las capacidades de las etiquetas de confidencialidad en aplicaciones
  • En el caso de las etiquetas recomendadas en las versiones de escritorio de Word, el sistema marca el contenido confidencial que desencadenó la recomendación. Esto permite a los usuarios revisar y quitar el contenido confidencial en lugar de aplicar la etiqueta de confidencialidad recomendada.

Específico del cliente de etiquetado unificado de Protección de Microsoft Entra ID:

  • El etiquetado automático y recomendado se aplica a Word, Excel y PowerPoint al guardar un documento, y a Outlook al enviar un correo electrónico.
  • Para que Outlook sea compatible con el etiquetado recomendado, en primer lugar debe configurar una configuración de directiva avanzada.
  • El sistema puede detectar información confidencial en el texto de cuerpo en documentos y correos electrónicos, así como en encabezados y pies de página. Sin embargo, no puede detectar información confidencial en la línea de asunto ni en los datos adjuntos de correo electrónico.

Lectura adicional. Para obtener más información sobre cómo el sistema aplica estas etiquetas, vea Aplicar o recomendar automáticamente etiquetas de confidencialidad para sus archivos y correos electrónicos en Office.

Convertir la configuración de etiquetas en una directiva de etiquetado automático

Al final del proceso de creación o edición de etiquetas, el sistema muestra una opción de etiquetado automático cuando la etiqueta incluye tipos de información confidencial para las condiciones configuradas. La opción permite la creación automática de una directiva de etiquetado automático basada en la misma configuración de etiquetado automático.

Sin embargo, si la etiqueta contiene clasificadores entrenables como condición de la etiqueta:

  • Cuando las condiciones de la etiqueta solo contienen clasificadores entrenables, no verá la opción de crear de forma automática una directiva de etiquetado automático.
  • Cuando las condiciones de la etiqueta contienen clasificadores entrenables y tipos de información de confidencialidad, el sistema crea una directiva de etiquetado automático solo para los tipos de información confidencial.

El sistema crea automáticamente una directiva de etiquetado automático rellenando automáticamente los valores que tendría que seleccionar manualmente si crease la directiva desde cero. En este escenario, puede ver y editar los valores antes de guardar la directiva.

De forma predeterminada, una directiva con etiqueta automática incluye todas las ubicaciones de SharePoint, OneDrive y Exchange. Al guardar la directiva, se ejecuta en modo de simulación. En el modo de simulación, el sistema no comprueba si ha habilitado etiquetas de confidencialidad para archivos de Office en SharePoint y OneDrive. No realiza esta comprobación, aunque esta condición sea uno de los requisitos previos para que el etiquetado automático se aplique al contenido de SharePoint y OneDrive.

Ejecución de una directiva en modo de simulación

El modo de simulación es único en las directivas de etiquetado automático y se integra en el flujo de trabajo. No puede etiquetar automáticamente documentos y mensajes de correo electrónico hasta que la directiva ejecute al menos una simulación.

El modo de simulación admite hasta 1 000 000 de archivos coincidentes. Si el sistema coincide con un número mayor de archivos de una directiva de etiquetado automático, no se puede activar la directiva para aplicar las etiquetas. En este caso, debe volver a configurar la directiva de etiquetado automático para que el sistema coincida con menos archivos y, a continuación, volver a ejecutar la simulación. Este máximo de 1 000 000 de archivos coincidentes solo se aplica al modo de simulación. No se aplica a una directiva de etiquetado automático que ya haya activado para aplicar etiquetas de confidencialidad.

El flujo de trabajo para ejecutar una directiva de etiquetado automático en modo de simulación incluye los pasos siguientes:

  1. Crear y configurar una directiva de etiquetado automático.
  2. Ejecute la directiva en modo simulación, que puede tardar 12 horas en completarse. La simulación completada desencadena una notificación por correo electrónico que el sistema envía al usuario configurado para recibir alertas de actividad.
  3. Revise los resultados y, si es necesario, perfeccione su directiva. Por ejemplo, es posible que deba editar las reglas de directiva para reducir falsos positivos o quitar algunos sitios para que el número de archivos coincidentes no supere 1 000 000. Vuelva a ejecutar el modo de simulación y espere a que se complete de nuevo.
  4. Si es necesario, repita el paso 3.
  5. Implementar en producción

La implementación simulada se ejecuta como el parámetro WhatIf de PowerShell. Puede ver los resultados indicados como si la directiva de etiquetado automático aplicara la etiqueta seleccionada utilizando las reglas definidas. Si es necesario, puede refinar las reglas mayor precisión y volver a ejecutar la simulación. Sin embargo, como el etiquetado automático para Exchange se aplica a los correos electrónicos enviados y recibidos, en lugar de a los mensajes de correo electrónico almacenados en los buzones, no espere resultados coherentes de los correos electrónicos de una simulación, salvo que pueda enviar y recibir exactamente los mismos mensajes de correo electrónico.

El modo de simulación también le permite aumentar gradualmente el ámbito de la directiva de etiquetado automático antes de la implementación. Por ejemplo, puede empezar con una única ubicación, como un sitio de SharePoint, con una única biblioteca de documentos. Después, con cambios iterativos, aumente el ámbito a varios sitios y a otra ubicación, como OneDrive.

Por último, el modo de simulación le permite proporcionar una aproximación del tiempo necesario para ejecutar la directiva de etiquetado automático. Esta información puede ayudarle a planear y programar cuándo ejecutarla sin modo de simulación.