Administrar etiquetas de confidencialidad en las aplicaciones de Office
Guía de licencias de Microsoft 365 para la seguridad y el cumplimiento.
Cuando haya publicado etiquetas de confidencialidad desde el portal de cumplimiento de Microsoft Purview, empezarán a aparecer en las aplicaciones de Office para que los usuarios clasifiquen y protejan los datos a medida que se creen o editen.
Use la información de este artículo como ayuda para administrar correctamente las etiquetas de confidencialidad en las aplicaciones de Office. Por ejemplo, identifique las versiones mínimas de las aplicaciones que necesitará para características específicas de etiquetado integrado, cualquier información de configuración adicional para estas características y, además, comprenda las interacciones con el cliente de etiquetado unificado de Azure Information Protection y otras aplicaciones y servicios.
Cliente de etiquetado para aplicaciones de escritorio
Para usar las etiquetas de confidencialidad integradas en las aplicaciones de escritorio de Office para Windows y Mac, debe utilizar una edición de suscripción de Office. Este cliente de etiquetado no es compatible con las ediciones independientes de Office, a veces denominadas "Office Perpetua".
Si no puede actualizar a Aplicaciones de Microsoft 365 para empresas para las versiones de suscripción de Office en equipos Windows, puede usar el Cliente de etiquetado unificado de Azure Information Protection (AIP). Sin embargo, este cliente está ahora en modo de mantenimiento y no se recomienda usar el complemento AIP para aplicaciones de Office a menos que deba hacerlo. Para obtener más información, consulte Por qué elegir el etiquetado integrado en lugar del complemento de AIP para las aplicaciones de Office.
Compatibilidad con las funciones de las etiquetas de confidencialidad en las aplicaciones
En las tablas siguientes se muestra la versión mínima de Office que introdujo funcionalidades específicas para las etiquetas de confidencialidad integradas en las aplicaciones de Office. O bien, si la función de la etiqueta está en vista previa pública o en revisión para una versión futura. Use el plan de desarrollo de Microsoft 365 para obtener detalles sobre las nuevas funcionalidades que están planeadas para futuras versiones.
Las nuevas versiones de las aplicaciones de Office están disponibles en diferentes momentos para diferentes canales de actualización. Para Windows, las nuevas funciones se obtienen antes cuando se encuentra en el Canal actual o el Canal mensual para empresas, en lugar del Canal semestral para empresas. Los números de versión mínimos también pueden ser diferentes de un canal de actualización al siguiente. Para obtener más información, vea Introducción a los canales de actualización para las Aplicaciones de Microsoft 365 y Actualizar historial para las Aplicaciones Microsoft 365.
Las nuevas funciones que están en vista previa privada no se incluyen en la tabla, pero es posible que pueda unirse a estas vistas previas nominando a su organización para el programa de vista previa privada de Microsoft Information Protection.
Office para iOS y Office para Android: Las etiquetas de confidencialidad están integradas en las aplicación de Office.
Sugerencia
Al comparar las versiones mínimas en las tablas con las versiones que tiene, recuerde que es común que las versiones de lanzamiento omitan los ceros iniciales.
Por ejemplo, tiene la versión 4.2128.0 y la 4.7.1+ es la versión mínima. Para facilitar la comparación, 4.7.1 (sin ceros iniciales) sería 4.0007.1 (y no 4.7000.1). Su versión de 4.2128.0 es posterior a la 4.0007.1, por lo que es compatible.
Funciones de etiquetas de confidencialidad en Word, Excel y PowerPoint
Los números indicados son las versiones mínimas de la aplicación Office requeridas para cada función.
Nota
Para Windows y el Canal empresarial semestral, es posible que aún no se hayan publicado los números de versión mínimos admitidos. Más información
| Funcionalidad | Windows | Mac | iOS | Android | Web |
|---|---|---|---|---|---|
| Aplicar, cambiar o eliminar manualmente la etiqueta | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | Sí - participar |
| Compatibilidad con varios idiomas | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | En revisión |
| Aplicar una etiqueta predeterminada a nuevos documentos | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | Sí - participar |
| Aplicar una etiqueta predeterminada a documentos existentes | Versión preliminar: implementando en Canal Beta | Versión preliminar: Implementando en Canal actual (versión preliminar) | En revisión | En revisión | Sí - participar |
| Requerir una justificación para cambiar una etiqueta. | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | Sí - participar |
| Proporcionar un vínculo de ayuda a una página de ayuda personalizada. | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | Sí - participar |
| Marcar el contenido | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | Sí - participar |
| Marcados dinámicos con variables. | Canal actual: 2010+ Canal mensual para empresas: 2010+ Canal semestral para empresas: 2102+ |
16.42+ | 2.42+ | 16.0.13328+ | Sí - participar |
| Asignar permisos ahora | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | Sí - participar |
| Permitir que los usuarios asignen permisos: - Solicitar permisos personalizados a los usuarios (usuarios y grupos) |
Canal actual: 2004+ Canal mensual para empresas: 2004+ Canal semestral para empresas: 2008+ |
16.35+ | En revisión | En revisión | En revisión |
| Permitir que los usuarios asignen permisos: - Solicitar permisos personalizados a los usuarios (usuarios, grupos y organizaciones) |
Versión preliminar: implementando en Canal Beta | En revisión | En revisión | En revisión | En revisión |
| Auditoría de la actividad de los usuarios relacionada con las etiquetas | Canal actual: 2011+ Canal mensual para empresas: 2011+ Canal semestral para empresas: 2108+ |
16.43+ | 2.46+ | 16.0.13628+ | Sí |
| Requerir a los usuarios que apliquen una etiqueta a sus correos electrónicos y documentos | Canal actual: 2101+ Canal mensual para empresas: 2101+ Canal semestral para empresas: 2108+ |
16.45+ | 2.47+ | 16.0.13628+ | Sí - participar |
| Aplicar una etiqueta de confidencialidad automáticamente al contenido - Uso de tipos de información confidencial |
Canal actual: 2009+ Canal mensual para empresas: 2009+ Canal semestral para empresas: 2102+ |
16.44+ | En revisión | En revisión | Sí - participar |
| Aplicar una etiqueta de confidencialidad automáticamente al contenido - Uso de clasificadores capacitados |
Canal actual: 2105+ Canal mensual para empresas: 2105+ Canal semestral para empresas: 2108+ |
16.49+ | En revisión | En revisión | Sí - participar |
| Compatibilidad con la coautoría y el autoguardado documentos etiquetados y cifrados | Canal actual: 2107+ Canal mensual para empresas: 2107+ Canal semestral para empresas: 2202+ |
16.51+ | Versión preliminar: 2.58+ cuando usted acepta | Versión preliminar: 16.0.14931+ cuando usted acepta | Sí - participar |
| Compatibilidad con PDF | Vista previa: Canal Beta | En revisión | En revisión | En revisión | En revisión |
Funciones de la etiqueta de confidencialidad en Outlook
Los números indicados son las versiones mínimas de la aplicación Office requeridas para cada función.
Nota
Para Windows y el Canal empresarial semestral, es posible que aún no se hayan publicado los números de versión mínimos admitidos. Más información
| Funcionalidad | Outlook para Windows | Outlook para Mac | Outlook en iOS | Outlook en Android | Outlook en la Web |
|---|---|---|---|---|---|
| Aplicar, cambiar o eliminar manualmente la etiqueta | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Sí |
| Compatibilidad con varios idiomas | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Sí |
| Aplicar una etiqueta predeterminada | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Sí |
| Requerir una justificación para cambiar una etiqueta. | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Sí |
| Proporcionar un vínculo de ayuda a una página de ayuda personalizada. | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Sí |
| Marcar el contenido | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Sí |
| Marcados dinámicos con variables. | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Sí |
| Asignar permisos ahora | Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Sí |
| Permitir a los usuarios asignar permisos: - No reenviar |
Canal actual: 1910+ Canal mensual para empresas: 1910+ Canal semestral para empresas: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Sí |
| Permitir a los usuarios asignar permisos: - Solo cifrar |
Canal actual: 2011+ Canal mensual para empresas: 2011+ Canal semestral para empresas: 2108+ |
16.48+ * | 4.2112.0+ | 4.2112.0+ | Sí |
| Requerir a los usuarios que apliquen una etiqueta a sus correos electrónicos y documentos | Canal actual: 2101+ Canal mensual para empresas: 2101+ Canal semestral para empresas: 2108+ |
16.43+ * | 4.2111+ | 4.2111+ | Sí |
| Auditoría de la actividad de los usuarios relacionada con las etiquetas | Canal actual: 2011+ Canal mensual para empresas: 2011+ Canal semestral para empresas: 2108+ |
16.51+ * | 4.2126+ | 4.2126+ | Sí |
| Aplicar una etiqueta de confidencialidad automáticamente al contenido - Uso de tipos de información confidencial |
Canal actual: 2009+ Canal mensual para empresas: 2009+ Canal semestral para empresas: 2102+ |
16.44+ * | En revisión | En revisión | Sí |
| Aplicar una etiqueta de confidencialidad automáticamente al contenido - Uso de clasificadores capacitados |
Canal actual: 2105+ Canal mensual para empresas: 2105+ Canal semestral para empresas: 2108+ |
16.49+ | En revisión | En revisión | Sí |
| Diferentes opciones de configuración para etiquetas predeterminadas y etiquetas obligatorias | Canal actual: 2105+ Canal mensual para empresas: 2105+ Canal semestral para empresas: 2108+ |
16.43+ * | 4.2111+ | 4.2111+ | Sí |
| Compatibilidad con PDF | En revisión | En revisión | En revisión | En revisión | En revisión |
| Aplicar protección S/MIME | En revisión | Implementando: 16.61+ * | Implementación: 4.2226+ | Implementación: 4.2203+ | En revisión |
Notas al pie:
* Se requiere el nuevo Outlook para Mac
El cliente de etiquetado integrado de Office y el cliente de Azure Information Protection
Si los usuarios tienen el cliente de Azure Information Protection (AIP) instalado en sus equipos Windows, de forma predeterminada, las etiquetas integradas se desactivan en Aplicaciones de Windows Office que las admiten. Dado que las etiquetas integradas no usan un complemento de Office, tal y como las usa el cliente de AIP, tienen la ventaja de una mayor estabilidad y un mejor rendimiento. También admiten las características más recientes, como clasificadores avanzados.
Nota
Si no ve las características de etiquetado que se espera en equipos Windows, a pesar de confirmar las versiones mínimas admitidas para el canal de actualización de Office, puede deberse a que necesita deshabilitar el complemento de AIP.
Para obtener más información sobre la compatibilidad de etiquetado con el cliente de AIP, y cómo deshabilitar este cliente justamente en las aplicaciones de Office, consulte Por qué elegir el etiquetado integrado en lugar del complemento de AIP para las aplicaciones de Office.
Si necesita desactivar el etiquetado integrado en las aplicaciones de Office en Windows
El cliente de etiquetado integrado de Office descarga las etiquetas de confidencialidad y la configuración de directiva de etiquetas de confidencialidad desde el portal de cumplimiento de Microsoft Purview.
Para usar el cliente de etiquetado integrado de Office, debe tener una o más directivas de etiquetas publicadas para los usuarios desde uno de los centros de administración enumerados y una versión compatible de Office.
Si se cumplen ambas condiciones, pero necesita desactivar las etiquetas integradas en las aplicaciones de Windows Office, use la siguiente configuración de directiva de grupo:
Navegar a Configuración de usuario/Plantillas administrativas/Microsoft Office 2016/Configuración de seguridad.
Establecer Usar la función de confidencialidad en Office para aplicar y ver las etiquetas de confidencialidad a 0.
Si más adelante necesita revertir esta configuración, cambie el valor a 1. También es posible que tenga que cambiar el valor a 1 si el botón Confidencialidad no se muestra en la cinta de opciones según lo esperado. Por ejemplo, un administrador anterior ha desactivado esta configuración de etiquetado.
Implementar esta configuración mediante la directiva de grupo o mediante el Servicio de directiva de la nube de Office. La configuración tiene efecto cuando se reinician estas aplicaciones de Office.
Dado que esta configuración es específica de las aplicaciones de Windows Office, no tiene ningún impacto en otras aplicaciones de Windows que admiten etiquetas de confidencialidad (como Power BI) u otras plataformas (como macOS, dispositivos móviles y Office para la Web). Si no quiere que algunos o que todos los usuarios vean y usen etiquetas de confidencialidad en todas las aplicaciones y plataformas, no asigne una directiva de etiquetas de confidencialidad a esos usuarios.
Tipos de archivos compatibles con Office
Las aplicaciones de Office que tienen etiquetado integrado para archivos de Word, Excel y PowerPoint admiten el formato Open XML (como .docx y .xlsx), pero no el formato de Microsoft Office 97-2003 (como .doc y .xls), formato de documento abierto (como .odt y .ods) u otros formatos. Cuando no se admite un tipo de archivo para el etiquetado integrado, el botón de confidencialidad no está disponible en la aplicación de Office.
El cliente de etiquetado unificado de Azure Information Protection es compatible tanto con el formato Open XML como con el formato de Microsoft Office 97-2003. Para obtener más información, consulte Tipos de archivos compatibles con el cliente de etiquetado unificado de Azure Information Protection en la guía de administración de dicho cliente.
Para otras soluciones de etiquetado, compruebe en su documentación los tipos de archivo compatibles.
Plantillas de protección y etiquetas de confidencialidad
Las plantillas de protección definidas por el administrador, como las que se definen para el Cifrado de mensajes de Office 365, no son visibles en las aplicaciones de Office cuando se utiliza el etiquetado integrado. Esta experiencia simplificada refleja que no es necesario seleccionar una plantilla de protección, ya que los mismos ajustes se incluyen con las etiquetas de confidencialidad que tienen el cifrado activado.
Puede convertir una plantilla existente en una etiqueta de confidencialidad cuando use el cmdlet New-Label con el parámetro EncryptionTemplateId.
Opciones de administración de derechos de información (IRM) y etiquetas de confidencialidad
Las etiquetas de confidencialidad que se configuran para aplicar el cifrado eliminan la complejidad de que los usuarios especifiquen su propia configuración de cifrado. En muchas aplicaciones de Office, los usuarios pueden seguir configurando manualmente estos ajustes de cifrado individuales mediante las opciones de Information Rights Management (IRM). Por ejemplo, para las aplicaciones de Windows:
- Para un documento: Archivo > Información > Proteger documento > Restringir el acceso
- para un correo electrónico: en la pestaña Opciones > Cifrar
Cuando los usuarios etiquetan inicialmente un documento o correo electrónico, pueden anular los ajustes de configuración de la etiqueta con sus propios ajustes de cifrado. Por ejemplo:
Un usuario aplica la etiqueta Confidencial/todos los empleados a un documento y esta etiqueta está configurada para aplicar la configuración de cifrado a todos los usuarios de la organización. A continuación, este usuario configura manualmente los ajustes del IRM para restringir el acceso a un usuario ajeno a su organización. El resultado final es un documento etiquetado como Confidencial/todos los empleados y encriptado, pero los usuarios de su organización no pueden abrirlo como se esperaba.
Un usuario aplica la etiqueta Confidencial/sólo para destinatarios a un correo electrónico y este correo está configurado para aplicar la configuración de cifrado de No reenviar. En la aplicación de Outlook, este usuario selecciona manualmente la configuración de IRM para Solo cifrar. El resultado final es que aunque el correo siga cifrado, puede ser reenviado por los destinatarios, a pesar de tener la etiqueta de Confidencial/Solo para destinatarios.
Como excepción, en el caso de Outlook en la Web, las opciones del menú Cifrar no están disponibles para que el usuario las seleccione cuando la etiqueta seleccionada actualmente aplica el cifrado.
Un usuario aplica la etiqueta General un documento, y esta etiqueta no está configurada para aplicar el cifrado. A continuación, este usuario configura manualmente los parámetros del IRM para restringir el acceso al documento. El resultado final es un documento etiquetado General, pero que también aplica un cifrado para que algunos usuarios no puedan abrirlo como se espera.
Si el documento o el correo electrónico ya está etiquetado, un usuario puede realizar cualquiera de estas acciones si el contenido no está ya encriptado, o tiene el derecho de uso Exportar o Control total.
Para una experiencia de etiquetado más uniforme con los informes significativos, proporcione etiquetas y orientación adecuadas para que los usuarios apliquen solo etiquetas para proteger los documentos y correos electrónicos. Por ejemplo:
Para los casos excepcionales en los que los usuarios deben asignar sus propios permisos, proporcione etiquetas que permitan a los usuarios asignar sus propios permisos.
En lugar de que los usuarios eliminen manualmente el cifrado después de seleccionar una etiqueta que aplique cifrado, proporcione una alternativa de subetiqueta cuando los usuarios necesiten una etiqueta con la misma clasificación, pero sin cifrado. Como:
- Confidencial/todos los empleados
- Confidencial/cualquiera (sin cifrado)
Puede deshabilitar la configuración de IRM para impedir que los usuarios los seleccionen:
- Outlook para Windows:
- Claves del Registro
DWORD:00000001DisableDNF y DisableEO deHKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM - Asegúrese de que la configuración de directiva de grupo Configuración de cifrado predeterminada para el botón Cifrar no está configurada
- Claves del Registro
- Outlook para Mac:
- Claves DisableEncryptOnly y DisableDoNotForward documentadas en Establecer preferencias para Outlook para Mac
- Outlook en la web:
- Parámetros SimplifiedClientAccessDoNotForwardDisabled y SimplifiedClientAccessEncryptOnlyDisabled documentados para Set-IRMConfiguración
- Outlook para iOS y Android: estas aplicaciones no admiten que los usuarios apliquen cifrado sin etiquetas, por lo que no hay nada que deshabilitar.
- Outlook para Windows:
Nota
Si los usuarios eliminan manualmente el cifrado de un documento etiquetado que está almacenado en SharePoint o OneDrive y usted ha habilitado las etiquetas de confidencialidad para los archivos de Office en SharePoint y OneDrive, el cifrado de la etiqueta se restaurará automáticamente la próxima vez que se acceda al documento o se descargue.
Aplicar etiquetas de confidencialidad a los archivos, correos electrónicos y archivos adjuntos
Los usuarios pueden aplicar una sola etiqueta a la vez para cada documento o correo electrónico.
Cuando etiqueta un mensaje de correo electrónico que tiene archivos adjuntos, los archivos adjuntos heredan la etiqueta solo si la etiqueta que aplica al mensaje de correo electrónico aplica cifrado y el archivo adjunto es un documento de Office que aún no está cifrado. Debido a que la etiqueta heredada aplica cifrado, el archivo adjunto se vuelve a cifrar.
Un archivo adjunto no hereda las etiquetas del mensaje de correo electrónico cuando la etiqueta aplicada al mensaje de correo electrónico no aplica el cifrado o el archivo adjunto ya está cifrado.
Ejemplos de herencia de etiquetas, donde la etiqueta Confidencial aplica encriptación y la etiqueta General no aplica encriptación:
Un usuario crea un nuevo mensaje de correo electrónico y le aplica la etiqueta Confidencial. A continuación, agregan un documento de Word que no está etiquetado ni cifrado. Como resultado de la herencia, el documento recibe la nueva etiqueta de Confidencial y ahora se le aplica el cifrado a partir de esa etiqueta.
Un usuario crea un nuevo mensaje de correo electrónico y le aplica la etiqueta Confidencial. A continuación, agregan un documento de Word con la etiqueta General y este archivo no está cifrado. Como resultado de la herencia, el documento se etiqueta de nuevo como Confidencial y ahora se le aplica el cifrado a partir de esa etiqueta.
Compatibilidad con la etiqueta de confidencialidad
Con las aplicaciones con RMS: si abre un documento o correo electrónico etiquetado y cifrado en una aplicación con RMSque no es compatible con las etiquetas de confidencialidad, la aplicación sigue aplicando el cifrado y la administración de derechos.
Con el cliente de Azure Information Protection: puede ver y cambiar las etiquetas de confidencialidad que aplica a los documentos y correos electrónicos con el cliente de etiquetado integrado de Office utilizando el cliente de Azure Information Protection, y al revés
Con otras versiones de Office: cualquier usuario autorizado puede abrir documentos y correos electrónicos etiquetados en otras versiones de Office. Sin embargo, sólo puede ver o cambiar la etiqueta en las versiones de Office compatibles o utilizando el cliente de Azure Information Protection. Las versiones de la aplicación de Office compatibles se enumeran en la sección anterior
Compatibilidad para archivos de SharePoint y OneDrive protegidos por etiquetas de confidencialidad
Para utilizar el cliente de etiquetado integrado de Office con Office en la web para los documentos en SharePoint o OneDrive, asegúrese de haber habilitado las etiquetas de confidencialidad para los archivos de Office en SharePoint y OneDrive.
Compatibilidad con usuarios externos y contenidos etiquetados
Cuando se etiqueta un documento o un correo electrónico, la etiqueta se almacena como metadatos que incluyen su inquilino y un GUID de la etiqueta. Cuando un documento o correo electrónico etiquetado es abierto por una aplicación de Office que admite etiquetas de confidencialidad, estos metadatos se leen y sólo si el usuario pertenece al mismo tenant, la etiqueta se muestra en su aplicación. Por ejemplo, en el caso de las etiquetas integradas en Word, PowerPoint y Excel, el nombre de la etiqueta aparece en la barra de estado.
Esto significa que si comparte documentos con otra organización que utiliza nombres de etiquetas diferentes, cada organización puede aplicar y ver su propia etiqueta aplicada al documento. Sin embargo, los siguientes elementos de una etiqueta aplicada son visibles para los usuarios ajenos a su organización:
Marcas de contenido. Cuando una etiqueta aplica un encabezado, pie de página o marca de agua, estos se agregan directamente al contenido y permanecen visibles hasta que alguien los modifica o los elimina.
El nombre y la descripción de la plantilla de protección subyacente de una etiqueta que aplicó el cifrado. Esta información se muestra en una barra de mensajes en la parte superior del documento, para proporcionar información sobre quién está autorizado a abrir el documento, y sus derechos de uso para ese documento.
Compartir documentos encriptados con usuarios externos
Además de restringir el acceso a los usuarios de su propia organización, puede ampliar el acceso a cualquier otro usuario que tenga una cuenta en Azure Active Directory. Sin embargo, si su organización utiliza directivas de acceso condicional, consulte la siguiente sección para obtener consideraciones adicionales.
Todas las aplicaciones de Office y otras aplicaciones con RMS pueden abrir documentos encriptados después de que el usuario se haya autenticado correctamente.
Si los usuarios externos no tienen una cuenta en Azure Active Directory, pueden autenticarse utilizando cuentas de invitados en su tenant. Estas cuentas de invitados también se pueden utilizar para acceder a los documentos compartidos en SharePoint o OneDrive cuando se han habilitado las etiquetas de confidencialidad para los archivos de Office en SharePoint y OneDrive:
Una opción es crear por usted mismo estas cuentas de invitado. Puede especificar cualquier dirección de correo electrónico que estos usuarios ya utilicen. Por ejemplo, su dirección de Gmail.
La ventaja de esta opción es que puedes restringir el acceso y los derechos a usuarios específicos especificando su dirección de correo electrónico en la configuración de cifrado. El inconveniente es la sobrecarga administrativa para la creación de la cuenta y la coordinación con la configuración de la etiqueta.
Otra opción es usar la integración de SharePoint y OneDrive con Azure AD B2B para que las cuentas de invitados se creen automáticamente cuando sus usuarios compartan enlaces.
La ventaja de esta opción es que la carga administrativa es mínima, ya que las cuentas se crean automáticamente, y la configuración de las etiquetas es más sencilla. Para este escenario, debe seleccionar la opción de encriptación Agregar cualquier usuario autentificado porque no conocerá las direcciones de correo electrónico de antemano. El inconveniente es que esta configuración no permite restringir los derechos de acceso y uso a usuarios específicos.
Los usuarios externos también pueden utilizar una cuenta de Microsoft para abrir documentos encriptados cuando utilizan Windows y las Aplicaciones de Microsoft 365 (las que antes eran aplicaciones de Office 365) o la edición independiente de Office 2019. Más recientemente, las cuentas de Microsoft también son compatibles con la apertura de documentos cifrados en macOS (Aplicaciones de Microsoft 365, versión 16.42+), Android (versión 16.0.13029+) e iOS (versión 2.42+). Por ejemplo, un usuario de su organización comparte un documento encriptado con un usuario externo a su organización, y la configuración de encriptación especifica una dirección de correo electrónico de Gmail para el usuario externo. Este usuario externo puede crear su propia cuenta de Microsoft que utiliza su dirección de correo electrónico de Gmail. A continuación, tras iniciar sesión con esta cuenta, pueden abrir el documento y editarlo, según las restricciones de uso especificadas para ellos. Para ver un ejemplo de este escenario, consulte Abrir y editar el documento protegido.
Nota
La dirección de correo electrónico de la cuenta de Microsoft debe coincidir con la dirección de correo electrónico especificada para restringir el acceso a la configuración de cifrado.
Cuando un usuario con una cuenta de Microsoft abre un documento encriptado de esta manera, se crea automáticamente una cuenta de invitado para el inquilino si no existe ya una cuenta de invitado con el mismo nombre. Cuando existe una cuenta de invitado, se puede utilizar para abrir documentos en SharePoint y OneDrive utilizando Office en la web, además de abrir documentos encriptados desde las aplicaciones de escritorio y móviles de Office compatibles.
Sin embargo, la cuenta automática de invitado no se crea inmediatamente en este escenario, debido a la latencia de la replicación. Si especifica direcciones de correo electrónico personales como parte de la configuración del cifrado de etiquetas, le recomendamos que cree las correspondientes cuentas de invitado en Azure Active Directory. A continuación, comunique a estos usuarios que deben utilizar esta cuenta para abrir un documento cifrado de su organización.
Sugerencia
Dado que no puede estar seguro de que los usuarios externos vayan a utilizar una aplicación cliente de Office compatible, compartir enlaces desde SharePoint y OneDrive después de crear cuentas de invitado (para usuarios específicos) o cuando use la integración de SharePoint y OneDrive con Azure AD B2B (para cualquier usuario autenticado) es un método más fiable para admitir la colaboración segura con usuarios externos.
Directivas de acceso condicional
Si su organización ha implementado Azure Active Directory con directivas de acceso condicional, compruebe la configuración de esas directivas. Si las directivas incluyen Microsoft Azure Information Protection y la directiva se extiende a usuarios externos, esos usuarios externos deben tener una cuenta de invitado en su cuenta empresarial, incluso si tienen una cuenta de Azure AD en su propia cuenta empresarial.
Sin esta cuenta de invitado, no pueden abrir el documento cifrado y ver un mensaje de error. El texto del mensaje podría informarles de que su cuenta debe agregarse como usuario externo en la cuenta empresarial, con la instrucción incorrecta para este escenario de cerrar sesión e iniciar sesión de nuevo con una cuenta de usuario Azure Active Directory diferente.
Si no puede crear y configurar cuentas de invitado en su inquilino para usuarios externos que necesiten abrir documentos cifrados por sus etiquetas, debe eliminar Azure Information Protection de las directivas de acceso condicional o excluir a los usuarios externos de las directivas.
Para obtener más información sobre el acceso condicional y Azure Information Protection, el servicio de cifrado utilizado por las etiquetas de confidencialidad, consulte la pregunta frecuente, Veo que Azure Information Protection aparece como una aplicación en la nube disponible para el acceso condicional, ¿cómo funciona?
Cuando las aplicaciones de Office aplican el marcado y el cifrado de contenidos
Las aplicaciones de Office aplican el marcado de contenidos y el cifrado con etiqueta de confidencialidad de forma diferente, según la aplicación que utilice.
| Aplicación | Marcado de contenido | Cifrado |
|---|---|---|
| Word, Excel y PowerPoint en todas las plataformas | De forma inmediata | De forma inmediata |
| Outlook para PC y Mac | Después de que Exchange Online envíe el correo electrónico | De forma inmediata |
| Outlook en la web, iOS, y Android | Después de que Exchange Online envíe el correo electrónico | Después de que Exchange Online envíe el correo electrónico |
Las soluciones que aplican etiquetas sensibles a archivos fuera de las aplicaciones de Office lo hacen aplicando etiquetas metadatos al archivo. En este caso, el contenido marcado desde la configuración de la etiqueta no se inserta en el archivo, sino que se aplica la codificación.
Cuando esos archivos se abren en una aplicación de escritorio de Office, el cliente de etiquetado unificado de Azure Information Protection aplica automáticamente las marcas de contenido cuando el archivo se guarda por primera vez. Las marcas de contenido no se aplican automáticamente cuando se utiliza el etiquetado integrado para aplicaciones de escritorio, móviles o web.
Los escenarios que incluyen la aplicación de una etiqueta de confidencialidad fuera de las aplicaciones de Office incluyen:
El escáner, el Explorador de archivos y PowerShell del cliente de etiquetado unificado de Azure Information Protection
Directivas de etiquetado automático para SharePoint y OneDrive
Exportación de datos etiquetados y encriptados desde Power BI
Microsoft Defender for Cloud Apps
Para estos escenarios, utilizando sus aplicaciones de Office, un usuario con etiquetado incorporado puede aplicar las marcas de contenido de la etiqueta eliminando o sustituyendo temporalmente la etiqueta actual y volviendo a aplicar la etiqueta original.
Marcas dinámicas con variables
Importante
Si sus aplicaciones de Office no admiten esta capacidad, aplican las marcas como el texto original especificado en la configuración de la etiqueta, en lugar de resolver las variables.
El cliente de etiquetado unificado Azure Information Protection admite marcas dinámicas. Para el etiquetado integrado en Office, consulte las tablas de la sección funcionalidades de esta página para ver las versiones mínimas admitidas.
Cuando se configura una etiqueta de confidencialidad para las marcas de contenido, se pueden utilizar las siguientes variables en la cadena de texto para su cabecera, pie de página o marca de agua:
| Variable | Descripción | Ejemplo de cuando las etiquetas son aplicadas |
|---|---|---|
${Item.Label} |
Nombre de visualización de la etiqueta aplicada | General |
${Item.Name} |
Nombre del archivo o asunto del correo electrónico del contenido etiquetado | Sales.docx |
${Item.Location} |
Ruta y nombre de archivo del documento que se va a etiquetar, o el asunto del correo electrónico que se va a etiquetar | \\Sales\2020\Q3\Report.docx |
${User.Name} |
Nombre del usuario que aplica la etiqueta | Richard Simone |
${User.PrincipalName} |
Nombre principal del usuario de Azure AD (UPN) del usuario que aplica la etiqueta | rsimone@contoso.com |
${Event.DateTime} |
Fecha y hora en que se etiqueta el contenido, en la zona horaria local del usuario que aplica la etiqueta en aplicaciones de Microsoft 365 o UTC (hora universal coordinada) para Office Online y directivas de etiquetado automático | 8/10/2020 1:30 PM |
Nota
La sintaxis de estas variables distingue entre mayúsculas y minúsculas.
Configuración de diferentes marcas visuales para Word, Excel, PowerPoint y Outlook
Como variable adicional, puede configurar las marcas visuales por tipo de aplicación de Office utilizando una declaración de variable "If.App" en la cadena de texto, e identificar el tipo de aplicación utilizando los valores Word, Excel, PowerPoint, o Outlook. También puede abreviar estos valores, lo cual es necesario si desea especificar más de uno en la misma sentencia If.App.
Utilice la siguiente sintaxis:
${If.App.<application type>}<your visual markings text> ${If.End}
Igual que el resto de las marcas visuales dinámicas, la sintaxis distingue mayúsculas de minúsculas, lo que incluye las abreviaturas para cada tipo de aplicación (WEPO).
Ejemplos:
Establezca el texto de la cabecera sólo para los documentos de Word:
${If.App.Word}This Word document is sensitive ${If.End}Sólo en las cabeceras de los documentos de Word, la etiqueta aplica el texto de cabecera "Este documento de Word es confidencial". No se aplica ningún texto de cabecera a otras aplicaciones de Office.
Establezca un texto de pie de página para Word, Excel y Outlook, y un texto de pie de página diferente para PowerPoint:
${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}En Word, Excel y Outlook, la etiqueta aplica el texto a pie de página "Este contenido es confidencial". En PowerPoint, la etiqueta aplica el texto de pie de página "Esta presentación es confidencial".
Establezca un texto de marca de agua específico para Word y PowerPoint, y luego un texto de marca de agua para Word, Excel y PowerPoint:
${If.App.WP}This content is ${If.End}ConfidentialEn Word y PowerPoint, la etiqueta aplica el texto de marca de agua "Este contenido es confidencial". En Excel, la etiqueta aplica el texto de marca de agua "Confidencial". En Outlook, la etiqueta no aplica ningún texto de marca de agua porque las marcas de agua como marcas visuales no son compatibles con Outlook.
Requerir que los usuarios apliquen una etiqueta al correo electrónico y a los documentos
Importante
El cliente de etiquetado unificado de Azure Information Protectiones compatible con el etiquetado obligatorio. Para el etiquetado incorporado a las aplicaciones de Office, consulte las tablas de la sección de funciones de esta página para ver las versiones mínimas.
Para usar el etiquetado obligatorio para documentos pero no para correos electrónicos, consulte las instrucciones en la siguiente sección que explica cómo configurar las opciones específicas de Outlook.
Para usar el etiquetado obligatorio para Power BI, consulte directiva de etiquetas obligatorias para Power BI.
Cuando la configuración de directiva Requerir que los usuarios apliquen una etiqueta a su correo electrónico y documentos está seleccionada, los usuarios asignados a la directiva deben seleccionar y aplicar una etiqueta de confidencialidad en los escenarios siguientes:
Para el cliente de etiquetado unificado de Azure Information Protection:
- Para documentos (Word, Excel, PowerPoint): cuando se guarda un documento sin etiqueta o los usuarios cierran el documento.
- Para los correos electrónicos (Outlook): En el momento en que los usuarios envían un mensaje sin etiqueta.
Para el etiquetado integrado en las aplicaciones de Office:
- Para los documentos (Word, Excel, PowerPoint): cuando se abre o guarda un documento sin etiqueta.
- Para los correos electrónicos (Outlook): en el momento en que los usuarios envían un mensaje de correo electrónico sin etiqueta.
Información adicional para el etiquetado incorporado:
Cuando se pide a los usuarios que añadan una etiqueta de confidencialidad porque abren un documento sin etiqueta, pueden agregar una etiqueta o elegir abrir el documento en modo de sólo lectura.
Cuando el etiquetado obligatorio está en vigor, los usuarios no pueden eliminar las etiquetas de confidencialidad de los documentos, pero pueden cambiar una etiqueta existente.
Cuando el etiquetado obligatorio está en vigor, la opción Imprimir en PDF no estará disponible cuando un documento esté etiquetado o cifrado. Para más información, consulte la sección Compatibilidad con PDF de esta página.
Para obtener orientación sobre cuándo utilizar esta configuración, consulte la información sobre la configuración de directivas.
Nota
Si usa la configuración de directiva de etiquetado predeterminada para documentos y correos electrónicos, además del etiquetado obligatorio:
La etiqueta predeterminada siempre tiene prioridad sobre el etiquetado obligatorio. Pero en el caso de los documentos, el cliente de etiquetado unificado de Azure Information Protection aplica la etiqueta predeterminada a todos los documentos sin etiquetar, mientras que las etiquetas integradas aplican la etiqueta predeterminada a los documentos nuevos y no a los documentos existentes sin etiqueta. Esta diferencia en el comportamiento significa que cuando use etiquetado obligatorio con la configuración de etiquetas predeterminadas, probablemente se pedirá a los usuarios que apliquen una etiqueta de confidencialidad más a menudo cuando usan el etiquetado integrado que cuando usan el cliente de etiquetado unificado de Azure Information Protection.
Implementación en curso: las aplicaciones de Office que usan el etiquetado integrado y admiten una etiqueta predeterminada para documentos existentes. Para obtener más información, consulte la tabla de funcionalidades de Word, Excel y PowerPoint.
Opciones específicas de Outlook para etiquetas predeterminadas y etiquetas obligatorias
Para el etiquetado integrado, identifique las versiones mínimas de Outlook que admiten estas características mediante la tabla de capacidades para Outlook en esta página, y la fila Configuración diferente para la etiqueta predeterminada y el etiquetado obligatorio. Todas las versiones de Azure Information Protection del cliente de etiquetado unificado admiten estas opciones específicas de Outlook.
Cuando la aplicación de Outlook sea compatible con una configuración de etiqueta predeterminada diferente a la configuración de etiqueta predeterminada para documentos:
- En la configuración de la directiva de etiquetas del portal de cumplimiento de Microsoft Purview, en la página Aplicar una etiqueta predeterminada a los correos electrónicos, puede especificar la etiqueta de confidencialidad que se aplicará a todos los correos electrónicos sin etiquetar o no especificar ninguna etiqueta predeterminada. Esta configuración es independiente de la configuración Aplicar esta etiqueta de forma predeterminada a los documentos establecida en la página de la configuración anterior Configuración de directivas para documentos.
Cuando la aplicación Outlook no admite una configuración de etiqueta predeterminada que sea diferente de la configuración de etiqueta predeterminada para los documentos: Outlook siempre usará el valor que especifique para Aplicar esta etiqueta de forma predeterminada a los documentos en la página de configuración de directivas de etiquetas Configuración de directivas para documentos.
Cuando la aplicación de Outlook admita desactivar la etiqueta obligatoria:
- En la configuración de directiva de etiquetas del portal de cumplimiento de Microsoft Purview, en la página de Configuración de directivas, seleccione Requerir a los usuarios que apliquen una etiqueta a su correo electrónico o a los documentos. Después, seleccione Siguiente > Siguiente y desactive la casilla Requerir que los usuarios apliquen una etiqueta a sus mensajes. Seleccione la casilla si quiere que la etiqueta obligatoria se aplique a correos electrónicos, así como a documentos.
Cuando la aplicación de Outlook no admita desactivar la etiqueta obligatoria: si selecciona Requerir que los usuarios apliquen una etiqueta a su correo electrónico o documentos como configuración de directiva, Outlook siempre pedirá a los usuarios que seleccionen una etiqueta para los correos electrónicos que no la tengan.
Nota
Si ha configurado las opciones avanzadas de PowerShell OutlookDefaultLabel y DisableMandatoryInOutlook con los cmdlets Set-LabelPolicy o New-LabelPolicy:
Los valores elegidos para esta configuración de PowerShell se reflejan en la configuración de directivas de etiquetas en el portal de cumplimiento de Microsoft Purview y funcionan automáticamente para las aplicaciones de Outlook que admiten esta configuración. El resto de las opciones avanzadas de PowerShell siguen siendo compatibles solo con el cliente de etiquetado unificado de Azure Information Protection.
Configurar una etiqueta para aplicar la protección S/MIME en Outlook
Nota
Esta funcionalidad se está implementando actualmente para el etiquetado integrado. Identifique las versiones mínimas de Outlook que admiten esta característica mediante la tabla de capacidades de Outlook en esta página y la fila Aplicar protección S/MIME.
Si configura una etiqueta para aplicar la protección S/MIME, pero la aplicación de Outlook aún no la admite, la etiqueta se sigue mostrando en Outlook y se puede aplicar, pero se omite la configuración de S/MIME. No podrá seleccionar esta etiqueta para las directivas de etiquetado automático de Exchange.
Esta configuración no está disponible en el Centro de cumplimiento de Microsoft Purview. Debe usar la configuración avanzada de PowerShell con el cmd Set-Label o New-Label después de conectarse a Office 365 Centro de seguridad y cumplimiento PowerShell.
Use esta configuración solo cuando tenga una implementación S/MIME en funcionamiento y quiera que una etiqueta aplique automáticamente este método de protección para los correos electrónicos en lugar de la protección predeterminada que usa el cifrado de la administración de derechos de Azure Information Protection. La protección resultante será la misma que cuando un usuario selecciona manualmente las opciones S/MIME de Outlook.
| Configuración | Clave o valor de configuración avanzada |
|---|---|
| Firma digital S/MIME | SMimeSign="True" |
| Cifrado S/MIME | SMimeEncrypt="True" |
La etiqueta que configure para estas opciones no tiene que configurarse para el cifrado en el portal de cumplimiento. Pero si es así, la protección S/MIME reemplaza el cifrado de Rights Management solo en Outlook. Para otras aplicaciones, la etiqueta aplica la configuración de cifrado especificada en el portal de cumplimiento de Microsoft Purview.
Comandos de PowerShell de ejemplo, donde el GUID de la etiqueta de confidencialidad es 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}
Para obtener más ayuda sobre cómo especificar la configuración avanzada de PowerShell, consulte Sugerencias de PowerShell para especificar la configuración avanzada.
Compatibilidad con PDF
Para el etiquetado integrado, use las tablas de la sección funcionalidades de esta página para identificar las versiones mínimas admitidas. El cliente de etiquetado unificado de Azure Information Protection no admite PDF en aplicaciones de Office.
Word, Excel y PowerPoint admiten los métodos siguientes para convertir un documento de Office en un documento PDF:
- Archivo > Guardar como > PDF
- Archivo > Exportar > PDF
- Compartir > Enviar una copia > PDF
Esta acción se registra con el evento de auditoría del Archivo cuyo nombre se ha cambiado desde el grupo de auditoría Actividades de archivos y páginas. En los resultados de la búsqueda de auditoría en el portal de cumplimiento, verá que los detalles de este evento de auditoría muestran SensitivityLabeledFileRenamed para el campo Actividad.
Cuando se crea el PDF, hereda la etiqueta con cualquier marca de contenido y cifrado. Los archivos PDF cifrados se pueden abrir con Microsoft Edge en Windows o Mac. Para obtener más información y para lectores alternativos, vea ¿Cuáles son los lectores de PDF compatibles para archivos PDF protegidos?
Escenarios de PDF no admitidos:
Imprimir en PDF
Si los usuarios seleccionan esta opción, se les advierte de que el documento perderá la protección de la etiqueta y el cifrado (si se aplica), y deben confirmar para continuar. Si la directiva de etiqueta de confidencialidad requiere justificación para quitar una etiqueta o reducir su clasificación, verá este mensaje.
Dado que esta opción quita la etiqueta de confidencialidad, esta opción no estará disponible para los usuarios si usa el etiquetado obligatorio. Esta configuración hace referencia a la configuración de directiva de etiqueta de confidencialidad que requiere que los usuarios apliquen una etiqueta a sus correos electrónicos y documentos.
Formato y cifrado PDF/A
Este formato PDF diseñado para el archivado a largo plazo no se admite cuando la etiqueta aplica cifrado y evitará que los usuarios conviertan documentos de Office en PDF. Para obtener información de configuración, consulte la documentación de directiva de grupo para exigir el cumplimiento de PDF con ISO 19005-1 (PDF/A).
Protección con contraseña y cifrado
La opción Archivo > Información > Proteger documento > Cifrar con contraseña no se admite cuando la etiqueta del documento aplica cifrado. En este escenario, la opción Cifrar con contraseña deja de estar disponible para los usuarios.
Para más información sobre esta funcionalidad, vea el anuncio Aplicar etiquetas de confidencialidad a archivos PDF creados con aplicaciones de Office.
Actividades de etiquetado de auditoría
Para obtener información sobre los eventos de auditoría generados por las actividades de etiquetas de confidencialidad, vea la sección Actividades de etiquetas de confidencialidad de Buscar en el registro de auditoría en el portal de cumplimiento de Microsoft Purview.
Esta información de auditoría se representa visualmente en el explorador de contenido y en el explorador de actividades para ayudarle a comprender cómo se usan las etiquetas de confidencialidad y dónde se encuentra el contenido etiquetado.
También puede crear informes personalizados con su elección de administración de eventos e información de seguridad (SIEM) al exportar y configurar los registros de auditoría. Para obtener soluciones de creación de informes a gran escala, consulte la referencia de la API de Actividad de administración de Office 365.
Sugerencia
Para ayudar a crear informes personalizados, consulte las siguientes entradas de blog: