Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
Esta característica actualmente está en su versión preliminar pública. Esta versión preliminar se ofrece sin contrato de nivel de servicio y no es aconsejable usarla en las cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure.
En el momento de la consulta, Azure AI Search aplica directivas de etiquetas de confidencialidad definidas en Microsoft Purview. Estas directivas incluyen la evaluación de los derechos de uso de lectura vinculados a cada documento. Como resultado, los usuarios solo pueden recuperar documentos que pueden ver.
Esta funcionalidad amplía el control de acceso de nivel de documento para alinearse con los requisitos de cumplimiento y protección de la información de su organización administrados en Microsoft Purview.
Cuando la indexación de etiquetas de confidencialidad de Purview está habilitada, Azure AI Search comprueba los metadatos de etiqueta de cada documento durante el tiempo de consulta. Aplica filtros de acceso basados en directivas de Purview para devolver solo los resultados a los que puede acceder el usuario solicitante.
En este artículo se explica cómo funciona la aplicación de etiquetas de confidencialidad en tiempo de consulta y cómo emitir consultas de búsqueda seguras.
Prerrequisitos
Para poder consultar un índice habilitado para la etiqueta de confidencialidad, se deben cumplir las condiciones siguientes:
Debe seguir todos los pasos para que los indexadores de Azure AI Search ingieran etiquetas de confidencialidad de Microsoft Purview.
Tanto el servicio Azure AI Search como el usuario que emite la consulta deben pertenecer al mismo inquilino de Microsoft Entra.
La versión preliminar más reciente de la API 2025-11-01-preview o un SDK beta compatible debe usarse para consultar el índice.
Las consultas deben autenticarse mediante el control de acceso basado en rol (RBAC) de Azure, no las claves de API. El acceso con clave API está restringido únicamente a la recuperación del esquema de índice cuando la funcionalidad de etiquetas de confidencialidad de Purview está habilitada.
Limitaciones
- No se admiten usuarios invitados de Microsoft Entra ni consultas entre inquilinos.
- Las API de Autocompletar y Suggest no son compatibles con los índices habilitados para Purview.
- Si se produce un error en la evaluación de etiquetas (por ejemplo, las API de Purview no están disponibles temporalmente), el servicio devuelve 5xx y no devuelve un conjunto de resultados parcial o sin filtrar.
- Los filtros de seguridad basados en ACL no se admiten junto con la funcionalidad de etiqueta de confidencialidad en este momento. No habilite ambos al mismo tiempo. Una vez que se admita el uso combinado, se documentará en consecuencia.
- El sistema evalúa las etiquetas solo tal como existían en el momento de la última ejecución del indexador; Es posible que los cambios de etiqueta recientes no se reflejen hasta la siguiente reindexación programada.
Cómo funciona la aplicación de la confidencialidad de las etiquetas en tiempo de consulta
Al consultar un índice que incluye etiquetas de confidencialidad de Microsoft Purview, Azure AI Search comprueba las directivas de Purview asociadas antes de devolver los resultados. De este modo, la consulta devuelve solo los documentos a los que se permite el acceso del token de usuario.
1. Entrada de identidad de usuario y rol de aplicación
En el momento de la consulta, Azure AI Search valida ambos:
- El rol RBAC de la aplicación que realiza la llamada, proporcionado en el encabezado
Authorization. - La identidad de usuario proporcionada a través del token en el encabezado
x-ms-query-source-authorization.
Ambos son necesarios para autorizar la visibilidad basada en etiquetas.
| Tipo de entrada | Description | Origen de ejemplo |
|---|---|---|
| Rol de aplicación | Determina si la aplicación que realiza la llamada tiene permiso para ejecutar consultas en el índice. | Authorization: Bearer <app-token> |
| Identidad del usuario | Determina a qué etiquetas de confidencialidad puede acceder el usuario final. | x-ms-query-source-authorization: Bearer <user-token> |
2. Evaluación de etiquetas de sensibilidad
Cuando se recibe una solicitud de consulta, Azure AI Search evalúa:
- El campo sensitivityLabel en cada documento indexado (extraído de Microsoft Purview durante la ingestión).
- Los permisos efectivos de Purview del usuario, definidos por Microsoft Entra ID y la directiva de etiquetas de Purview.
Si el usuario no está autorizado para la etiqueta de confidencialidad de un documento con permisos de extracción, ese documento se excluye de los resultados de la consulta.
Nota:
Internamente, el servicio crea filtros de acceso dinámicos similares a la implementación de RBAC.
Estos filtros no son visibles para el usuario y no se pueden modificar en la carga de la consulta.
3. Filtrado seguro de resultados
Azure AI Search aplica el filtro de seguridad después de todos los filtros definidos por el usuario y los pasos de puntuación.
Solo se incluye un documento en el conjunto de resultados final si:
- La aplicación que realiza la llamada tiene una asignación de roles válida (a través de RBAC) y
- El token de identidad de usuario representado por
x-ms-query-source-authorizationes válido y se permite ver el contenido con la etiqueta de confidencialidad del documento.
Si se produce un error en cualquiera de las condiciones, se omite el documento de los resultados.
Ejemplo de consulta
Este es un ejemplo de una solicitud de consulta mediante la aplicación de etiquetas de confidencialidad de Microsoft Purview.
El token de consulta se pasa en los encabezados de solicitud. Ambos encabezados deben incluir tokens de portador válidos que representen la aplicación y el usuario final.
POST {{endpoint}}/indexes/sensitivity-docs/docs/search?api-version=2025-11-01-preview
Authorization: Bearer {{app-query-token}}
x-ms-query-source-authorization: Bearer {{user-query-token}}
Content-Type: application/json
{
"search": "*",
"select": "title,summary,sensitivityLabel",
"orderby": "title asc"
}
Control de etiquetas de confidencialidad en Azure AI Search
Cuando Azure AI Search indexa el contenido del documento con etiquetas de confidencialidad de orígenes como SharePoint, Azure Blob y otros, almacena tanto el contenido como los metadatos de la etiqueta. La consulta de búsqueda devuelve contenido indexado junto con el GUID que identifica la etiqueta de confidencialidad aplicada al documento, solo si el usuario tiene acceso de lectura de datos para ese documento. Este GUID identifica de forma única la etiqueta, pero no incluye propiedades legibles para personas, como el nombre de la etiqueta o los permisos asociados.
Tenga en cuenta que el GUID solo es insuficiente para escenarios que incluyen la interfaz de usuario, ya que las etiquetas de confidencialidad suelen llevar otros controles de directiva aplicados por Microsoft Purview Information Protection, como: permisos de impresión o restricciones de captura de pantalla y captura de pantalla de videos. Azure AI Search no expone estas funcionalidades.
Para mostrar nombres de etiqueta o aplicar restricciones específicas de la interfaz de usuario, la aplicación debe llamar al punto de conexión de Microsoft Purview Information Protection para recuperar los metadatos de etiqueta completos y los permisos asociados.
Puede usar el GUID devuelto por Azure AI Search para resolver las propiedades de etiqueta y llamar a las API de etiquetas de Purview para capturar el nombre de etiqueta, la descripción y la configuración de directiva. Este ejemplo de demostración de un extremo a otro incluye código que muestra cómo llamar al punto de conexión desde una interfaz de usuario. También muestra cómo extraer el nombre de la etiqueta y exponerlo como parte de las citas utilizadas en tus aplicaciones o agentes RAG.