Crear y administrar etiquetas de confidencialidad

8 minutos

Las etiquetas de confidencialidad de Microsoft Purview Information Protection le permiten clasificar y proteger los datos de su organización, al tiempo que se asegura de que la productividad del usuario y su capacidad de colaboración no se vea afectada. Las etiquetas de confidencialidad permiten a los administradores de Teams proteger y regular el acceso al contenido confidencial de la organización creado durante la colaboración dentro de los equipos.

Las organizaciones pueden usar etiquetas de confidencialidad para:

Proporcionar opciones de configuración de protección que incluyan el cifrado y las marcas de contenido.
Proteger el contenido de las aplicaciones de Office en distintos dispositivos y plataformas.
Proteger el contenido de aplicaciones y servicios de terceros con Microsoft Defender for Cloud Apps.
Proteger contenedores que incluyan Teams, Grupos de Microsoft 365 y sitios de SharePoint.
Extender las etiquetas de confidencialidad a Power BI.
Extender las etiquetas de confidencialidad a los activos de Microsoft Purview Data Map.
Extender las etiquetas de confidencialidad a los servicios y aplicaciones de terceros.
Clasificar el contenido sin usar la configuración de protección.

Ámbitos de etiqueta

Al crear una etiqueta de confidencialidad, se le pide que configure el ámbito de la etiqueta, que determina dos cosas:

Las opciones de etiqueta que puede configurar para esa etiqueta
El lugar en el que los usuarios verán la etiqueta

Puede aplicar las etiquetas de confidencialidad a los siguientes ámbitos:

Archivos y correo electrónico: correo electrónico y archivos de Office
Grupos y sitios: sitios de Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint
Activos de datos esquematizados

Configuración de etiquetas de confidencialidad para grupos y sitios (contenedores)

Además de usar etiquetas de confidencialidad para proteger documentos y correos electrónicos, también puede usar etiquetas de confidencialidad para proteger el contenido de los siguientes contenedores: sitios de Microsoft Teams, grupos de Microsoft 365 (anteriormente grupos de Office 365) y sitios de SharePoint. Para esta protección de nivel de contenedor, use la siguiente configuración de etiqueta:

Privacidad (pública o privada) de los sitios de equipos y Grupos de Microsoft 365
Acceso de usuarios externos
Uso compartido externo desde sitios de SharePoint
Acceso desde dispositivos no administrados
Contextos de autenticación
Impedir la detección de equipos privados para los usuarios que tienen esta funcionalidad (versión preliminar)
Control de canales compartidos para invitaciones de equipo (versión preliminar)
Vínculo de uso compartido predeterminado para un sitio de SharePoint (configuración solo de PowerShell)
Configuración de uso compartido de sitios (configuración solo de PowerShell)
Etiqueta predeterminada para las reuniones de canal

Configuración de privacidad y acceso a usuarios externos

Configure las opciones privacidad y acceso de usuarios externos.

Privacidad: mantenga la opción predeterminada Público si quiere que cualquier persona de su organización tenga acceso al sitio de grupo o al grupo al que se aplica esta etiqueta.

Seleccione Privado si quiere que el acceso esté restringido solo a miembros aprobados de su organización.

Seleccione Ninguno cuando desee proteger el contenido del contenedor mediante el uso de la etiqueta de confidencialidad, pero permita que los usuarios establezcan la configuración de privacidad ellos mismos.

Las opciones Pública o Privada para establecen y bloquean la configuración de privacidad cuando aplica esta etiqueta al contenedor. La configuración elegida reemplaza cualquier configuración de privacidad anterior establecida para el equipo o grupo, y bloquea el valor de privacidad para que solo se pueda cambiar quitando primero la etiqueta de confidencialidad del contenedor. Después de quitar la etiqueta de confidencialidad, la configuración de privacidad de la etiqueta permanece y los usuarios ya pueden cambiarla de nuevo.
Acceso de usuarios externos: controla si el propietario del grupo puede agregar invitados al grupo.

Para configurar el Control del uso compartido externo de los sitios de SharePoint etiquetados y Uso del acceso condicional de Azure AD para proteger los sitios etiquetados de SharePoint.

Controlar el uso compartido externo desde sitios de SharePoint etiquetados: seleccione esta opción para seleccionar el uso compartido externo para cualquier usuario, invitados nuevos y existentes, invitados existentes o solo para los usuarios de su organización.
Usar el acceso condicional de Azure AD para proteger los sitios de SharePoint etiquetados: seleccione esta opción solo si su organización la tiene configurada y está usando el Acceso condicional de Azure Active Directory. Luego, seleccione uno de los siguientes parámetros:
- Determinar si los usuarios pueden acceder a los sitios de SharePoint desde dispositivos no administrados: esta opción emplea la característica de SharePoint que usa el acceso condicional de Azure AD para bloquear o limitar el acceso a contenido de SharePoint y OneDrive desde dispositivos no administrados.
- Elija un contexto de autenticación existente: esta opción le permite aplicar condiciones de acceso más estrictas cuando los usuarios acceden a sitios de SharePoint que tienen aplicada esta etiqueta. Estas condiciones se aplican al seleccionar un contexto de autenticación existente que se ha creado y publicado para la implementación de acceso condicional de su organización. Si los usuarios no cumplen las condiciones configuradas o usan aplicaciones que no admiten contextos de autenticación, se les denegará el acceso.

Cuando aplica esta etiqueta de confidencialidad a un contenedor compatible, la etiqueta aplica automáticamente la configuración de protección y clasificación al grupo o sitio conectado. Sin embargo, el contenido de estos contenedores no hereda las etiquetas para la clasificación y configuración, como las marcas visuales o el cifrado.

Asegúrese de que ha habilitado las etiquetas de confidencialidad para los archivos de Office en SharePoint y OneDrive, para que los usuarios puedan etiquetar sus documentos en sitios de SharePoint o sitios del grupo.
Puede asignar automáticamente dicha etiqueta a archivos o correos electrónicos cuando se cumplan las condiciones especificadas. Para más información, consulte Aplicar automáticamente una etiqueta de confidencialidad al contenido.

Habilitar etiquetas de confidencialidad para grupos y sitios

Las opciones de configuración de Configuración de sitio y de grupo no se mostrarán hasta que habilite esta capacidad.

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están planeados para su desuso y se mueven a PowerShell de Microsoft Graph. Los comandos siguientes se han actualizado para reflejar los comandos de Microsoft Graph PowerShell.

Abra una ventana de Windows PowerShell en el equipo.
Conéctese a Microsoft Graph.
```
Connect-MgGraph
```
Capturar la configuración de grupo actual para la organización.
```
$Setting = Get-MgDirectorySetting -Id (Get-MgDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
```
Nota:

Si no se ha creado ninguna configuración de grupo para esta organización de Azure AD, primero debe crear la configuración. Siga los pasos de Azure Active Directory cmdlets para configurar la configuración de grupo para crear las opciones de grupo para esta organización de Azure AD.
Habilite la característica:
```
$Setting["EnableMIPLabels"] = "True"
```
A continuación, guarde los cambios y aplique la configuración:
```
Set-MgDirectorySetting -Id $Setting.Id -DirectorySetting $Setting
```
Nota:

Si usaba etiquetas de confidencialidad antes de septiembre de 2019, también tendrá que sincronizar las etiquetas de confidencialidad con Azure AD.

Para obtener más información e instrucciones, consulte Habilitación de etiquetas de confidencialidad para contenedores y sincronización de etiquetas.

Crear y publicar etiquetas de confidencialidad

El administrador global puede crear y administrar etiquetas de confidencialidad desde el portal de cumplimiento de Microsoft Purview.

Para obtener instrucciones e instrucciones adicionales, consulte Creación y publicación de etiquetas de confidencialidad.

Vaya al portal de cumplimiento de Microsoft Purview>Information Protection.
Seleccione la pestaña Etiquetas y seleccione + Crear una etiqueta para iniciar el Asistente para nueva etiqueta de confidencialidad.
En la página Nombrar y crear una información sobre herramientas para la etiqueta, escriba la información.
En la página Definir el ámbito de la página de la etiqueta, seleccione Grupos y sitios u otros ámbitos.

Las opciones seleccionadas determinan el ámbito de la etiqueta para la configuración que puede configurar y dónde estarán visibles cuando se publiquen.
Siga los mensajes del asistente para la configuración de etiquetas.

Una vez que haya creado una etiqueta de confidencialidad, debe publicar la etiqueta de confidencialidad mediante la creación de una directiva de etiqueta. Los usuarios que tienen asignada una directiva de etiqueta de confidencialidad que incluye esta etiqueta podrán seleccionarla para sitios y grupos.

La configuración de sitio y grupo solo surte efecto al aplicar la etiqueta a un equipo, grupo o sitio. El resto de opciones de configuración de etiqueta, como el cifrado y la marcación de contenido, no se aplican a todo el contenido del equipo, grupo o sitio.

Use etiquetas de confidencialidad con Teams

Los administradores pueden crear una etiqueta de confidencialidad que, cuando se aplica durante la creación del equipo, permite a los usuarios crear equipos con una configuración de privacidad específica (pública o privada).

Por ejemplo, el administrador crea una etiqueta de confidencialidad denominada “Confidencial” con la directiva de que cualquier equipo creado con esta etiqueta debe ser un equipo privado. Cuando un usuario crea un equipo nuevo y selecciona la etiqueta Confidencial, la única opción de privacidad que está disponible para el usuario es Privada. Otras opciones de privacidad como Público y Para toda la organización están deshabilitadas para el usuario.

Recorte de pantalla de la etiqueta de confidencialidad Confidencial.

Cuando se crea el equipo, la etiqueta de confidencialidad está visible en la esquina superior derecha de los canales del equipo.

Recorte de pantalla de la etiqueta de confidencialidad en la ventana del canal de equipo.

Un propietario del equipo puede cambiar la etiqueta de confidencialidad y la configuración de privacidad del equipo en cualquier momento yendo al equipo y, a continuación, haciendo clic en Editar equipo.

Recorte de pantalla de la página de canal Editar mi equipo.

Nota:

Microsoft 365 ya no admitirá las antiguas clasificaciones para los nuevos grupos de Microsoft 365 y sitios de SharePoint después de que habilite etiquetas de confidencialidad para contenedores. Sin embargo, los grupos y sitios existentes que son compatibles con etiquetas de confidencialidad aún mostrarán los valores de clasificación antiguos hasta que los convierta para usar etiquetas de confidencialidad. Para obtener más información, consulte Clasificación de Azure Active Directory y etiquetas de confidencialidad para grupos de Microsoft 365.

Para más información, vea:

Escenarios de ejemplo para etiquetas de confidencialidad

Entre los escenarios de ejemplo para usar etiquetas de confidencialidad con Teams en su organización se incluyen:

Establecer el nivel de privacidad (público o privado) para los equipos
Controlar el acceso de invitado a los equipos

Controlar el acceso de invitado a los equipos

Puede usar etiquetas de confidencialidad para controlar el acceso de invitado a sus equipos. Los equipos creados con una etiqueta que no permite el acceso de invitado solo están disponibles para los usuarios de la organización. Las personas externas a la organización no se pueden agregar al equipo.

Centro de administración de Microsoft Teams

Puede aplicar etiquetas de confidencialidad al crear o editar un equipo en el Centro de administración de Microsoft Teams. Las etiquetas de confidencialidad también están visibles en las propiedades del equipo y en la columna Clasificación de la página Administrar equipos del Centro de administración de Microsoft Teams.

Limitaciones

Antes de usar etiquetas de confidencialidad para Teams, tenga en cuenta las siguientes limitaciones:

Las etiquetas de confidencialidad no son compatibles con las API de Graph de Teams y los cmdlets de PowerShell

Los usuarios no podrán especificar etiquetas de confidencialidad al crear equipos directamente a través de las API de Teams Graph o los cmdlets de PowerShell de Teams. Sin embargo, las API de Graph de grupos modernos y los cmdlets de PowerShell permiten la creación de grupos con etiquetas de confidencialidad. Esto significa que puede crear grupos con etiquetas de confidencialidad mediante estos métodos y, a continuación, convertir estos grupos en equipos.
Compatibilidad con canales privados

Los canales privados que se crean en un equipo heredan la etiqueta de confidencialidad que se aplicó en un equipo. La misma etiqueta se aplica automáticamente en la colección de sitios de SharePoint para el canal privado.

Sin embargo, si un usuario cambia directamente la etiqueta de confidencialidad en un sitio de SharePoint para un canal privado, ese cambio de etiqueta no se refleja en el cliente de Teams. En este escenario, los usuarios siguen viendo la etiqueta de confidencialidad original aplicada en el equipo en el encabezado del canal privado.

Creación y configuración de etiquetas de confidencialidad para Teams

Use las instrucciones de la documentación de Microsoft Purview para crear y configurar etiquetas de confidencialidad para Teams:

Use etiquetas de confidencialidad para proteger el contenido de Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint.

Administración el efecto de las directivas en las etiquetas de confidencialidad y las plantillas de reunión

Aunque algunas directivas de administración(como la configuración de la sala de espera y quién puede presentar) especifican valores predeterminados que el organizador de la reunión puede cambiar, la mayoría de las directivas de administración determinan si una característica determinada está disponible para los usuarios en absoluto.

Las etiquetas de confidencialidad pueden aplicar cifrado de un extremo a otro, marcas de agua y grabación automática incluso si la directiva de administración relacionada está desactivada para el organizador de la reunión. Sin embargo, las plantillas no pueden hacerlo. Administración directivas tienen prioridad sobre la configuración de plantilla.

Por ejemplo, si crea una etiqueta altamente confidencial y la configura para aplicar la marca de agua y el cifrado de un extremo a otro, esa aplicación tendrá lugar incluso si la marca de agua y los cifrados de un extremo a otro están deshabilitados para el organizador de la reunión en la directiva de administración. Sin embargo, si usa una plantilla para activar la marca de agua y el cifrado de un extremo a otro para ese mismo organizador de la reunión, esas características no estarán disponibles en la reunión porque la directiva de administración tiene prioridad sobre ellas.

A medida que planee las plantillas de reunión y las etiquetas de confidencialidad, asegúrese de que la configuración que desea controlar con ellas esté habilitada en las directivas de administración cuando sea necesario.

Etiquetas y plantillas de confidencialidad juntos

Algunas configuraciones solo están disponibles en las etiquetas de confidencialidad y otras solo están disponibles en las plantillas. Los siguientes están disponibles en ambos:

Chat
Comprobar el cifrado de un extremo a otro
Configuración de la sala de espera
Grabación de reuniones
Marca de agua

Cada vez que se usa una etiqueta de confidencialidad, la configuración configurada en la etiqueta tiene prioridad sobre cualquier configuración de organizador de reuniones o plantilla.

La configuración de una etiqueta de confidencialidad se puede dejar sin controlar cuando se crea la etiqueta, lo que permite que una plantilla o el organizador de la reunión controlen esta configuración.

Las etiquetas de confidencialidad se usan a menudo para varios propósitos: etiquetar documentos, sitios y correos electrónicos, así como reuniones. Puede evitar la creación de etiquetas adicionales que son solo para reuniones mediante plantillas junto con las etiquetas para tener en cuenta las variaciones dentro de un tipo determinado de reunión.

Por ejemplo, el departamento de marketing podría tener requisitos diferentes a los del departamento de investigación para reuniones confidenciales. Puede configurar los valores que son comunes a ambos en una etiqueta de confidencialidad y, a continuación, hacer que las plantillas independientes estén disponibles para los dos grupos, lo que refina aún más la configuración de la reunión para ese grupo. Ambas plantillas podrían usar la misma etiqueta.

Directivas basadas en usuarios y directivas basadas en reuniones

Las directivas de Teams, incluidas las directivas de reunión, se aplican en el nivel de usuario o grupo. La configuración de plantillas y etiquetas de confidencialidad se aplica en el nivel de reunión individual donde se usan esas etiquetas y plantillas. Tenga en cuenta dónde tiene sentido configurar la configuración en las directivas de administración de Teams frente a las etiquetas o plantillas de confidencialidad.

Estos son algunos ejemplos:

Si desea diferentes configuraciones de lobby predeterminadas para el departamento de investigación y el departamento de marketing, puede configurar estos valores predeterminados mediante directivas de administración y modificarlos aún más con etiquetas o plantillas.

Si quiere que las marcas de agua solo estén disponibles para los funcionarios de gobernanza, solo puede habilitarlas para aquellas personas que usen una directiva de administrador. A continuación, puede tener plantillas que exijan la marca de agua, pero la marca de agua solo se usará en reuniones organizadas por funcionarios de gobernanza.

Diferentes tipos de reunión con la misma confidencialidad

El uso conjunto de plantillas y etiquetas puede ser útil si tiene diferentes tipos de reuniones que tienen la misma confidencialidad. Por ejemplo, si algunas de las reuniones confidenciales son interactivas y otras son presentaciones en las que hay una interacción mínima de los asistentes, puede crear dos plantillas:

Uno que se usa para presentaciones que desactivan el vídeo y el audio de los asistentes.
Uno para usar para reuniones interactivas que dejan vídeo y audio a discreción del organizador de la reunión.

Ambas plantillas podrían usar la etiqueta Confidencial , que controlaría la configuración adicional, como quién puede omitir la sala de espera y quién puede presentar.

Especificar valores predeterminados que los organizadores de reuniones pueden cambiar

Aunque las etiquetas suelen aplicar una configuración determinada, las plantillas pueden aplicar una configuración o permitir que el organizador de la reunión la cambie. Esto le permite implementar una configuración predeterminada que satisfaga sus necesidades de cumplimiento, al tiempo que ofrece a los organizadores de reuniones la opción de invalidar la configuración si procede.

Por ejemplo, para un nivel de protección de línea base, es posible que desee usar una etiqueta de confidencialidad para desactivar la marca de agua. Al mismo tiempo, puede usar una plantilla para establecer el valor predeterminado para quién puede omitir la sala de espera, pero permitir que el organizador de la reunión cambie la configuración si es necesario.

Puede asignar la etiqueta de protección de línea base a la plantilla para que ambas se usen cuando un organizador de reuniones elija esa plantilla.

Algunas directivas de administración también se pueden usar para establecer un valor predeterminado que puede cambiar un organizador de reuniones. Estos incluyen controles de lobby y quién puede presentar.

Para obtener más información, consulte Uso de plantillas de reunión de Teams, etiquetas de confidencialidad y directivas de administración juntas para reuniones confidenciales.

Etiquetas de confidencialidad para Microsoft Teams Premium

Microsoft Teams Premium reúne etiquetas y directivas de confidencialidad con características de reunión configurables. En función de cómo una organización configure sus etiquetas, Teams Premium aplica un conjunto templado de opciones de reunión designadas diseñadas para mejorar la seguridad y el cumplimiento.

Estas opciones incluyen:

Quién debe esperar en la sala de reuniones
Quién necesita pedir unirse a la reunión
Etiquetas de calendario, por ejemplo, "No reenviar"
Aplicación de la grabación automática
Copia y pegado restringidos desde el chat de reunión
Control de cifrado avanzado para secuencias de audio y vídeo
Marca de agua en contenido y vídeo en directo

Para obtener más información, consulte Uso de etiquetas de confidencialidad para proteger elementos de calendario, reuniones de Teams y chat.

Comentarios

¿Le ha resultado útil esta página?