Cómo migrar etiquetas de Azure Information Protection a etiquetas de confidencialidad unificadas

Se aplica a: Azure Information Protection, Office 365

Relevante para clientesde Azure Information Protection para Windows

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso a partir del 31 de marzo de 2021. Ya no se proporciona soporte técnico para las versiones clásicas de cliente y el mantenimiento ya no se lanzará.

El cliente clásico se retirará oficialmente y dejará de funcionar el 31 de marzo de 2022.

Todos los clientes del cliente clásico de Azure Information Protection actuales deben migrar Microsoft Information Protection la plataforma unificada de etiquetado y actualizar al cliente de etiquetado unificado. Más información en nuestro blog de migración.

Migre las etiquetas de Azure Information Protection a la plataforma de etiquetado unificada para que pueda usarlas como etiquetas de confidencialidad por clientes y servicios compatibles con el etiquetado unificado.

Nota

Si su suscripción a Azure Information Protection es bastante nueva, es posible que no tenga que migrar etiquetas porque el inquilino ya está en la plataforma de etiquetado unificada. Para obtener más información, vea ¿Cómo puedo determinar si mi inquilino está en la plataforma de etiquetado unificada?

Después de migrar las etiquetas, no verá ninguna diferencia con el cliente clásico de Azure Information Protection, ya que este cliente sigue descargando las etiquetas con la directiva de Azure Information Protection desde Azure Portal. Sin embargo, ahora puede usar las etiquetas con el cliente de etiquetado unificado de Azure Information Protection y otros clientes y servicios que usan etiquetas de confidencialidad.

Antes de leer las instrucciones para migrar las etiquetas, es posible que le resultaran útiles las siguientes preguntas más frecuentes:

Roles administrativos compatibles con la plataforma de etiquetado unificada

Si usa roles de administrador para la administración delegada en su organización, es posible que tenga que realizar algunos cambios para la plataforma de etiquetado unificada:

El Azure AD de Azure Information Protection (anteriormente administrador de Information Protection)no es compatible con la plataforma de etiquetado unificada. Si este rol administrativo se usa en su organización para administrar Azure Information Protection, agregue los usuarios que tienen este rol Azure AD los roles de administrador de cumplimiento,administrador de datos de cumplimiento o administrador de seguridad. Si necesita ayuda con este paso, vea Dar acceso a los usuarios al centro de Microsoft 365 cumplimiento. También puede asignar estos roles en el portal de Azure AD y en el Centro de cumplimiento de Microsoft 365.

Como alternativa al uso de roles, en el Centro de cumplimiento de Microsoft 365, puede crear un nuevo grupo de roles para estos usuarios y agregar roles de administrador de etiquetas de confidencialidad u configuración de la organización a este grupo.

Si no proporciona a estos usuarios acceso a la Centro de cumplimiento de Microsoft 365 mediante una de estas configuraciones, no podrán configurar Azure Information Protection en Azure Portal después de migrar las etiquetas.

Los administradores globales de su inquilino pueden seguir administrando etiquetas y directivas en Azure Portal y en el Centro de cumplimiento de Microsoft 365 después de migrar las etiquetas.

Antes de empezar

La migración de etiquetas tiene muchas ventajas, pero es irreversible. Antes de migrar, asegúrese de que es consciente de los siguientes cambios y consideraciones:

Soporte técnico del cliente para el etiquetado unificado

Asegúrese de que tiene clientes compatibles con etiquetas unificadas y, si es necesario, esté preparado para la administración tanto en Azure Portal (para clientes que no admiten etiquetas unificadas) como en el Centro de cumplimiento de Microsoft 365 (para clientes que admiten etiquetas unificadas).

Configuración de directivas

Las directivas, incluida la configuración de directiva y quién tiene acceso a ellas (directivas de ámbito), y no se migran todas las configuraciones avanzadas de cliente. Las opciones para configurar estas opciones después de la migración de etiquetas son las siguientes:

  • El Centro de cumplimiento de Microsoft 365
  • Office 365 PowerShell de cumplimiento de seguridad, que debe usar para configurar la configuración avanzada del cliente.

Importante

No todas las opciones de configuración de una etiqueta migrada son compatibles con Centro de cumplimiento de Microsoft 365. Use la tabla de la configuración de etiquetas que no se admite en la sección Centro de cumplimiento de Microsoft 365 para ayudarle a identificar esta configuración y el curso de acción recomendado.

Plantillas de protección

  • Las plantillas que usan una clave basada en la nube y que forman parte de una configuración de etiqueta también se migran con la etiqueta. No se migran otras plantillas de protección.

  • Si tiene etiquetas configuradas para una plantilla predefinida, edite estas etiquetas y seleccione la opción Establecer permisos para configurar las mismas opciones de protección que tenía en la plantilla. Las etiquetas con plantillas predefinidas no bloquearán la migración de etiquetas, pero esta configuración de etiqueta no se admite en el Centro de cumplimiento de Microsoft 365.

    Sugerencia

    Para ayudarle a volver a configurar estas etiquetas, es posible que le sea útil tener dos ventanas del explorador: una ventana en la que selecciona el botón Editar plantilla de la etiqueta para ver la configuración de protección y la otra ventana para configurar la misma configuración al seleccionar Establecer permisos.

  • Después de migrar una etiqueta con la configuración de protección basada en la nube, el ámbito resultante de la plantilla de protección es el ámbito definido en Azure Portal (o mediante el módulo de PowerShell de AIPService) y el ámbito definido en el Centro de cumplimiento deMicrosoft 365.

Mostrar nombres

Para cada etiqueta, Azure Portal muestra solo el nombre para mostrar de la etiqueta, que puede editar. Los usuarios ven este nombre de etiqueta en sus aplicaciones.

El Centro de cumplimiento de Microsoft 365 muestra tanto este nombre para mostrar para una etiqueta como el nombre de la etiqueta. El nombre de la etiqueta es el nombre inicial que especifique cuando se crea la etiqueta por primera vez y esta propiedad la usa el servicio back-end para fines de identificación. Al migrar las etiquetas, el nombre para mostrar sigue siendo el mismo y el nombre de la etiqueta se cambia al id. de etiqueta desde Azure Portal.

Nombres para mostrar en conflicto

Antes de migrar, asegúrese de que no tendría nombres para mostrar en conflicto una vez completada la migración. Los nombres para mostrar en el mismo lugar de la jerarquía de etiquetado deben ser únicos.

Por ejemplo, considere la siguiente lista de etiquetas:

  • Público
  • General
  • Confidencial
    • Confidencial\HR
    • Confidencial\Finanzas
  • Secreto
    • Secreto\HR
    • Secreto\Finanzas

En esta lista, Público,General,Confidencialy Secreto son todas las etiquetas primarias y no pueden tener nombres duplicados. Además, Confidencial\RRHH y Confidencial\Finanzas están en el mismo lugar de la jerarquía y tampoco pueden tener nombres duplicados.

Sin embargo, las subetiquetas de distintos padres, como Confidencial\RRHH y Secreto\HR, no están en el mismo lugar de la jerarquía y, por lo tanto, pueden tener los mismos nombres individuales.

Cadenas localizadas en etiquetas

Las cadenas localizadas para las etiquetas no se migran. Defina nuevas cadenas localizadas para las etiquetas migradas mediante Office 365 PowerShell de cumplimiento de seguridad y el parámetro &&para Set-Label.

Editar etiquetas migradas en el Centro de cumplimiento de Microsoft 365

Después de la migración, al editar una etiqueta migrada en Azure Portal, el mismo cambio se refleja automáticamente en el Centro de cumplimiento de Microsoft 365.

Sin embargo, al editar una etiqueta migrada en el Centro de cumplimiento de Microsoft 365, debe volver al Portal de Azure, Azure Information Protection - Panel de etiquetado unificado y seleccionar Publicar.

Esta acción adicional es necesaria para que los clientes de Azure Information Protection (clásico) resalte los cambios de etiqueta.

Configuración de etiquetas que no se admite en el Centro de cumplimiento de Microsoft 365

Use la tabla siguiente para identificar qué opciones de configuración de una etiqueta migrada no son compatibles con el Centro de cumplimiento de Microsoft 365. Si tiene etiquetas con esta configuración, cuando se complete la migración, use las instrucciones de administración de la columna final antes de publicar las etiquetas en el Centro de cumplimiento de Microsoft 365.

Si no está seguro de cómo están configuradas las etiquetas, vea su configuración en Azure Portal. Si necesita ayuda con este paso, consulte Configurar la directiva de Azure Information Protection.

Los clientes de Azure Information Protection (clásico) pueden usar todas las opciones de configuración de etiquetas enumeradas sin ningún problema porque siguen descargando las etiquetas desde Azure Portal.

Configuración de etiquetas Compatible con clientes de etiquetado unificados Instrucciones para la Centro de cumplimiento de Microsoft 365
Estado de habilitado o deshabilitado

Este estado no se sincroniza con el Centro de cumplimiento de Microsoft 365
No aplicable El equivalente es si la etiqueta se publica o no.
Color de etiqueta que seleccione de la lista o especifique con código RGB No hay ninguna opción de configuración para los colores de etiqueta. En su lugar, puede configurar colores de etiqueta en Azure Portal o usar PowerShell.
Protección basada en la nube o protección basada en HYOK con una plantilla predefinida No No hay ninguna opción de configuración para plantillas predefinidas. No se recomienda publicar una etiqueta con esta configuración.
Protección basada en la nube con permisos definidos por el usuario para Word, Excel y PowerPoint El Centro de cumplimiento de Microsoft 365 admite una opción de configuración para permisos definidos por el usuario.

Si publica una etiqueta con esta configuración, compruebe los resultados de aplicar la etiqueta de la tabla siguiente.
Protección basada en HYOK con permisos definidos por el usuario para Outlook (No reenviar) No No hay ninguna opción de configuración para HYOK. No se recomienda publicar una etiqueta con esta configuración. Si lo hace, los resultados de aplicar la etiqueta se muestran en la tabla siguiente.
Nombre de fuente personalizado, tamaño y color de fuente personalizado por código RGB para marcas visuales (encabezado, pie de página, marca de agua) La configuración para marcas visuales se limita a una lista de colores y tamaños de fuente. Puede publicar esta etiqueta sin cambios, aunque no puede ver los valores configurados en el Centro de cumplimiento de Microsoft 365.

Para cambiar estas opciones, use el cmdlet New-Label Office 365 Centro de cumplimiento de seguridad. Para facilitar la administración, considere la posibilidad de cambiar el color a una de las opciones enumeradas en el Centro de cumplimiento de Microsoft 365.

Nota:el Centro de cumplimiento de Microsoft 365 admite una lista predefinida de definiciones de fuente. Las fuentes y colores personalizados solo son compatibles con el cmdlet New-Label.

Si está trabajando con el cliente clásico, realice estos cambios en la etiqueta en Azure Portal.
Variables en marcas visuales (encabezado, pie de página) Esta configuración de etiqueta es compatible con los clientes AIP y Office etiquetado integrado para aplicaciones selectas.

Si está trabajando con etiquetas integradas con una aplicación que no admite esta configuración y publica esta etiqueta sin cambios, las variables se muestran como texto en los clientes, en lugar de mostrar el valor dinámico.

Para obtener más información, vea la Microsoft 365 de datos.
Marcas visuales por aplicación Esta configuración de etiqueta solo es compatible con los clientes AIP y no Office etiquetado integrado.

Si está trabajando con el etiquetado integrado y publica esta etiqueta sin cambios, la configuración de marcado visual se muestra como texto variable en lugar de las marcas visuales que ha configurado para mostrar en cada aplicación.
Protección "Solo para mí" El Centro de cumplimiento de Microsoft 365 no le permite guardar la configuración de cifrado que aplique ahora, sin especificar ningún usuario. En Azure Portal, esta configuración da como resultado una etiqueta que aplica la protección "Solo para mí".

Como alternativa, cree una etiqueta que aplique cifrado y especifique un usuario con permisos y, después, edite la plantilla de protección asociada con PowerShell. En primer lugar, use el cmdlet New-AipServiceRightsDefinition (vea el ejemplo 3) y, después, Set-AipServiceTemplateProperty con el parámetro RightsDefinitions.
Condiciones y configuración asociada

Incluye etiquetas automáticas y recomendadas y sus información sobre herramientas
No aplicable Vuelva a configurar las condiciones mediante el etiquetado automático como una configuración independiente de la configuración de etiquetas.

Comparar el comportamiento de la configuración de protección de una etiqueta

Use la tabla siguiente para identificar cómo se comporta de forma diferente la misma configuración de protección para una etiqueta, dependiendo de si la usa el cliente clásico de Azure Information Protection, el cliente de etiquetado unificado de Azure Information Protection o las aplicaciones Office que tienen el etiquetado integrado (también conocido como "etiquetado Office nativo"). Las diferencias en el comportamiento de las etiquetas pueden cambiar la decisión de publicar las etiquetas, especialmente cuando tiene una combinación de clientes en su organización.

Si no está seguro de cómo está configurada la configuración de protección, vea su configuración en el panel Protección, en Azure Portal. Si necesita ayuda con este paso, vea Configurar una etiqueta para la configuración de protección.

Las opciones de protección que se comportan de la misma manera no se muestran en la tabla, con las siguientes excepciones:

  • Cuando usa aplicaciones Office con etiquetado integrado, las etiquetas no se ven en el Explorador de archivos a menos que también instale el cliente de etiquetado unificado de Azure Information Protection.
  • Cuando usa aplicaciones Office con etiquetado integrado, si la protección se aplicó previamente independientemente de una etiqueta, esa protección se conserva [1].
Configuración de protección para una etiqueta Cliente clásico de Azure Information Protection Cliente de etiquetado unificado de Azure Information Protection Office aplicaciones con etiquetado integrado
HYOK (AD RMS) con una plantilla: Visible en Word, Excel, PowerPoint, Outlook y explorador de archivos

Cuando se aplica esta etiqueta:

- La protección HYOK se aplica a documentos y correos electrónicos
Visible en Word, Excel, PowerPoint, Outlook y explorador de archivos

Cuando se aplica esta etiqueta:

- No se aplica ninguna protección y se quita la protección [2] si se aplicó previamente con una etiqueta

- Si la protección se aplicó previamente independientemente de una etiqueta, esa protección se conserva
Visible en Word, Excel, PowerPoint y Outlook

Cuando se aplica esta etiqueta:

- No se aplica ninguna protección y se quita la protección [2] si se aplicó previamente con una etiqueta

- Si la protección se aplicó previamente independientemente de una etiqueta, esa protección se conserva [1]
HYOK (AD RMS) con permisos definidos por el usuario para Word, Excel, PowerPoint y explorador de archivos: Visible en Word, Excel, PowerPoint y el Explorador de archivos

Cuando se aplica esta etiqueta:

- La protección HYOK se aplica a documentos y correos electrónicos
Visible en Word, Excel y PowerPoint

Cuando se aplica esta etiqueta:

- La protección no se aplica y la protección se quita [2] si se aplicó previamente con una etiqueta

- Si la protección se aplicó previamente independientemente de una etiqueta, esa protección se conserva
Visible en Word, Excel y PowerPoint

Cuando se aplica esta etiqueta:

- La protección no se aplica y la protección se quita [2] si se aplicó previamente con una etiqueta

- Si la protección se aplicó previamente independientemente de una etiqueta, esa protección se conserva
HYOK (AD RMS) con permisos definidos por el usuario para Outlook: Visible en Outlook

Cuando se aplica esta etiqueta:

- Do Not Forward using HYOK protection is applied to emails
Visible en Outlook

Cuando se aplica esta etiqueta:

- La protección no se aplica y se quita [2] si se aplicó previamente con una etiqueta

- Si la protección se aplicó previamente independientemente de una etiqueta, esa protección se conserva
Visible en Outlook

Cuando se aplica esta etiqueta:

- La protección no se aplica y se quita [2] si se aplicó previamente con una etiqueta

- Si la protección se aplicó previamente independientemente de una etiqueta, esa protección se conserva [1]
Nota al pie 1

En Outlook, la protección se conserva con una excepción: cuando un correo electrónico se ha protegido con la opción de cifrar solo(Cifrar),esa protección se quita.

Nota al pie 2

La protección se quita si el usuario tiene un derecho de uso o un rol compatible con esta acción:

Si el usuario no tiene uno de estos derechos de uso o roles, la etiqueta no se aplica y se conserva la protección original.

Para migrar etiquetas de Azure Information Protection

Use las siguientes instrucciones para migrar el espacio empresarial y las etiquetas de Azure Information Protection para usar el almacén de etiquetado unificado.

Debe ser administrador de cumplimiento normativo, administrador de datos de cumplimiento, administrador de seguridad o administrador global para migrar las etiquetas.

  1. Si aún no lo ha hecho, abra una nueva ventana del explorador e inicie sesión en Azure Portal. A continuación, vaya al panel de Azure Information Protection.

    Por ejemplo, en el cuadro de búsqueda de recursos, servicios y documentos: Empiece a escribir Información y seleccione Azure Information Protection.

  2. En la opción de menú Administrar, seleccione Etiqueta unificada.

  3. En el panel Azure Information Protection - Unified labeling, seleccione Activar y siga las instrucciones en línea.

    Si la opción para activar no está disponible, compruebe el estado de etiquetado unificado:Si ve Activado,el inquilino ya está usando el almacén de etiquetado unificado y no es necesario migrar las etiquetas.

Para las etiquetas que se migraron correctamente, ahora pueden ser usadas por clientes y servicios compatibles con el etiquetado unificado. Sin embargo, primero debe publicar estas etiquetas en el Centro de cumplimiento de Microsoft 365.

Importante

Si edita las etiquetas fuera de Azure Portal, para clientes de Azure Information Protection (clásico), vuelva a este panel de Azure Information Protection - Unified labeling y seleccione Publicar.

Copiar directivas

Después de migrar las etiquetas, puede seleccionar una opción para copiar directivas. Si selecciona esta opción, se enviará una copia única de las directivas con su configuración de directiva y cualquier configuración avanzada de cliente a la Centro de cumplimiento de Microsoft 365.

Las directivas copiadas correctamente con su configuración y etiquetas se publican automáticamente en los usuarios y grupos asignados a las directivas en Azure Portal. Tenga en cuenta que, para la directiva Global, esto significa que todos los usuarios. Si no está listo para que las etiquetas migradas de las directivas copiadas se publiquen, después de copiar las directivas, puede quitar las etiquetas de las directivas de etiquetas en el centro de etiquetado de administración.

Antes de seleccionar la opción Copiar directivas (versión preliminar) en el panel Azure Information Protection - Unified labeling, tenga en cuenta lo siguiente:

  • La opción Copiar directivas (vista previa) no está disponible hasta que se active el etiquetado unificado para el inquilino.

  • No puede elegir de forma selectiva las directivas y la configuración que desea copiar. Todas las directivas (la directiva global y las directivas de ámbito) se seleccionan automáticamente para que se copien y se copian todas las configuraciones compatibles con la configuración de directiva de etiquetas. Si ya tiene una directiva de etiqueta con el mismo nombre, se sobrescribirá con la configuración de directiva en Azure Portal.

  • Algunas opciones avanzadas de configuración de cliente no se copian porque, para el cliente de etiquetado unificado de Azure Information Protection, se admiten como configuración avanzada de etiquetas en lugar de configuración de directiva. Puede configurar estas opciones de configuración avanzadas de etiquetas Microsoft 365 Centro de cumplimiento de PowerShell. La configuración avanzada del cliente que no se copia:

  • A diferencia de la migración de etiquetas en la que se sincronizan los cambios posteriores en las etiquetas, la acción Copiar directivas no sincroniza los cambios posteriores en las directivas o la configuración de directiva. Puede repetir la acción de directiva de copia después de realizar cambios en Azure Portal y las directivas existentes y su configuración se sobrescribirán de nuevo. O bien, use los cmdlets Set-LabelPolicy o Set-Label con el parámetro AdvancedSettings de Office 365 Centro de cumplimiento de seguridad de PowerShell.

  • La acción Copiar directivas comprueba lo siguiente para cada directiva antes de copiarla:

    • Los usuarios y grupos asignados a la directiva están actualmente en Azure AD. Si falta una o más cuentas, la directiva no se copia. La pertenencia al grupo no está activada.

    • La directiva Global contiene al menos una etiqueta. Como los centros de etiquetado de administradores no admiten directivas de etiquetas sin etiquetas, no se copia una directiva global sin etiquetas.

  • Si copia directivas y, después, las elimina del centro de etiquetado de administrador, espere al menos dos horas antes de volver a usar la acción Copiar directivas para garantizar el tiempo suficiente para que la eliminación se replique.

  • Las directivas copiadas de Azure Information Protection no tendrán el mismo nombre, sino que se denominarán con un prefijo de AIP_. Los nombres de directivas no se pueden cambiar posteriormente.

Para obtener más información sobre cómo configurar la configuración de directiva, la configuración avanzada del cliente y la configuración de etiquetas para el cliente de etiquetado unificado de Azure Information Protection, vea Configuraciones personalizadas para el cliente de etiquetado unificado de Azure Information Protection en la guía de administración.

Nota

El soporte técnico de Azure Information Protection para copiar directivas se encuentra actualmente en VISTA PREVIA. Los Términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a las características de Azure que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Clientes y servicios compatibles con el etiquetado unificado

Para confirmar si los clientes y servicios que usa admiten el etiquetado unificado, consulte su documentación para comprobar si pueden usar etiquetas de confidencialidad que se publican desde el Centro de cumplimiento de Microsoft 365.

Los clientes que actualmente admiten el etiquetado unificado incluyen:
Entre los servicios que admiten actualmente el etiquetado unificado se incluyen:
  • Power BI

  • Prevención de pérdida de datos de punto de conexión (DLP)

  • Office en línea y Outlook en la Web

    Para obtener más información, vea Habilitar etiquetas de confidencialidad Office archivos en SharePoint y OneDrive.

  • Microsoft SharePoint, OneDrive para el trabajo o la escuela, OneDrive para el hogar, Teams y Microsoft 365 grupos

    Para obtener más información, vea Usar etiquetas de confidencialidad para proteger el contenido Microsoft Teams, Microsoft 365 gruposy SharePoint sitios .

  • Microsoft Defender para aplicaciones en la nube

    Este servicio admite etiquetas antes de la migración al almacén de etiquetado unificado y después de la migración, usando la siguiente lógica:

    • Si el Centro de cumplimiento de Microsoft 365 etiquetas de confidencialidad, estas etiquetas se recuperan del Centro de cumplimiento de Microsoft 365. Para seleccionar estas etiquetas en Cloud App Security, al menos una etiqueta debe publicarse para al menos un usuario.

    • Si el Centro de cumplimiento de Microsoft 365 no tiene etiquetas de confidencialidad, las etiquetas de Azure Information Protection se recuperan desde Azure Portal.

  • Servicios de proveedores de software y desarrolladores que usan Microsoft Information Protection SDK.

Pasos siguientes

Instrucciones y sugerencias de nuestro equipo de experiencia del cliente:

Acerca de las etiquetas de confidencialidad:

Implementar el cliente de etiquetado unificado AIP:

Si aún no lo ha hecho, instale el cliente de etiquetado unificado de Azure Information Protection.

Para obtener más información, vea: