Configuración de equipos con protección de datos con un nivel de confidencialidad alto

  • Artículo

Icono de informaciónAlgunas características de este artículo requieren Microsoft Syntex: Administración avanzada de SharePoint

En este artículo, observamos la configuración de un equipo con un nivel de protección de confidencialidad alta. Asegúrese de que ha completado los pasos descritos en Implementar equipos con la protección de línea base antes de seguir los pasos de este artículo.

Para este nivel de protección, se crea una etiqueta de sensibilidad que puede usarse en toda la organización para los equipos y archivos altamente confidenciales.

El nivel de confidencialidad alto ofrece las siguientes protecciones adicionales al nivel de línea base:

  • Una etiqueta de confidencialidad para el equipo que le permite activar o desactivar el uso compartido de invitados y aplica una directiva de acceso condicional para el acceso al sitio de SharePoint.
  • La etiqueta también se usa como etiqueta predeterminada para los archivos y cifra los archivos a los que se aplica. Solo los miembros de su organización y los invitados que haya especificado podrán descifrar los archivos que usen esta etiqueta.
  • Solo los propietarios del equipo podrán crear canales privados.
  • El acceso al sitio está restringido a los miembros del equipo.

Demostración de vídeo

Vea este vídeo para conocer los procedimientos descritos en este artículo.

Uso compartido de invitados

Según la naturaleza de su empresa, es posible que quiera habilitar o no el uso compartido de invitados para equipos que contienen datos con un nivel de confidencialidad alto. Si tiene previsto colaborar con personas ajenas a su organización en el equipo, le recomendamos que habilite el uso compartido de invitados. Microsoft 365 incluye una variedad de características de seguridad y cumplimiento para ayudarle a compartir contenido confidencial de forma segura. Por lo general, se trata de una opción más segura que enviar correo directamente a las personas de fuera de su organización.

Para más información sobre el uso compartido de invitados de forma segura, vea los recursos siguientes:

Para permitir o bloquear el uso compartido de invitados, usamos controles disponibles en etiquetas de confidencialidad.

Contexto de autenticación

Usamos un contexto de autenticación Microsoft Entra para aplicar condiciones de acceso más estrictas cuando los usuarios acceden a sitios de SharePoint.

En primer lugar, agregue un contexto de autenticación en Microsoft Entra identificador.

Para agregar un contexto de autenticación

  1. En Microsoft Entra acceso condicional, en Administrar, seleccione Contextos de autenticación.

  2. Seleccione Nuevo contexto de autenticación.

  3. Escriba un nombre y una descripción y active la casilla Publicar en aplicaciones .

    Captura de pantalla de la interfaz de usuario de agregar contexto de autenticación.

  4. Seleccione Guardar.

A continuación, cree una directiva de acceso condicional que se aplique a ese contexto de autenticación y que requiera que los invitados usen la autenticación multifactor al acceder a SharePoint.

Para crear una nueva directiva de acceso condicional, haga lo siguiente:

  1. En Microsoft Entra acceso condicional, seleccione Crear nueva directiva.

  2. Escriba un nombre para la directiva.

  3. En la pestaña Usuarios , elija la opción Seleccionar usuarios y grupos y, a continuación, active la casilla Usuarios invitados o externos .

  4. Elija Usuarios invitados de colaboración B2B en la lista desplegable.

  5. En la pestaña Recursos de destino , en Seleccionar a qué se aplica esta directiva, elija Contexto de autenticación y active la casilla del contexto de autenticación que ha creado.

    Captura de pantalla de las opciones de contexto de autenticación en la configuración de acciones o aplicaciones en la nube para una directiva de acceso condicional.

  6. En la pestaña Conceder , seleccione Requerir autenticación multifactor y, a continuación, seleccione Seleccionar.

  7. Elija si desea habilitar la directiva y, a continuación, seleccione Crear.

Señalaremos al contexto de autenticación en la etiqueta de confidencialidad.

Etiquetas de confidencialidad

Para el nivel de protección altamente confidencial, usamos una etiqueta de confidencialidad para clasificar al equipo. También usamos esta etiqueta para clasificar y cifrar archivos individuales en el equipo. (También se puede usar en archivos de otras ubicaciones de archivos, como SharePoint o OneDrive).

Como primer paso, debe habilitar las etiquetas de confidencialidad para Teams. Consulte Uso de etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, Grupos de Microsoft 365 y sitios de SharePoint para obtener más información.

Si ya tiene las etiquetas de confidencialidad implementadas en la organización, tenga en cuenta que se adapta a la estrategia general de etiquetas. Si es necesario, puede cambiar el nombre o la configuración para satisfacer las necesidades de su organización.

Cuando haya habilitado las etiquetas de confidencialidad para Teams, el siguiente paso es crear la etiqueta.

Crear una etiqueta de confidencialidad

  1. Abra el portal de cumplimiento de Microsoft Purview.
  2. En Soluciones, expanda Protección de la información.
  3. SeleccioneCrear una etiqueta.
  4. Asigne un nombre a la etiqueta. Le sugerimos Confidencialidad alta, pero puede elegir otro nombre si ya está en uso.
  5. Agregue un nombre para mostrar y una descripción y, a continuación, seleccione Siguiente.
  6. En la página Definir el ámbito de esta etiqueta, seleccione Elementos, Archivos, Correos electrónicos y Grupos & sitios. Desactive la casilla Reuniones .
  7. Seleccione Siguiente.
  8. En la página Elegir configuración de protección para archivos y correos electrónicos , seleccione Aplicar o quitar cifrado y, a continuación, seleccione Siguiente.
  9. En la página Cifrado, elija Configurar opciones de cifrado.
  10. En Asignar permisos a usuarios y grupos específicos, seleccione Asignar permisos.
  11. Seleccione Agregar todos los usuarios y grupos de la organización.
  12. Si hay invitados que deben tener permisos para descifrar archivos, seleccione Agregar usuarios o grupos y agréguelos.
  13. Seleccione la opción Guardar y, a continuación, el botón Siguiente.
  14. En la página Etiquetado automático de archivos y correos electrónicos , seleccione Siguiente.
  15. En la página Definir la configuración de protección para grupos y sitios , seleccione Privacidad y acceso de usuario externo y Uso compartido externo y acceso condicional y seleccione Siguiente.
  16. En la página Definir privacidad y acceso a usuarios externos, en Privacidad, seleccione la opción Privado.
  17. Si desea permitir el acceso de invitado, en Acceso de usuarios externos, seleccione Permitir que los propietarios del grupo de Microsoft 365 agreguen personas de fuera de su organización al grupo como invitados.
  18. Seleccione Siguiente.
  19. En la página Definir el uso compartido externo y la configuración de acceso condicional , seleccione Controlar el uso compartido externo desde sitios de SharePoint etiquetados.
  20. En El contenido se puede compartir con, elija Invitados nuevos y existentes si va a permitir el acceso de invitado o Solo los usuarios de su organización en caso contrario.
  21. Seleccione Usar Microsoft Entra acceso condicional para proteger sitios de SharePoint etiquetados.
  22. Seleccione la opción Elegir un contexto de autenticación existente y, a continuación, seleccione el contexto de autenticación que creó en la lista desplegable.
  23. Seleccione Siguiente.
  24. En la página Etiquetado automático de recursos de datos esquematizados , seleccione Siguiente.
  25. Seleccione Crear etiqueta y, a continuación, haga clic en Listo.

Una vez que haya creado la etiqueta, debe comunicarla a los usuarios que la van a usar. Para la protección confidencial, ponemos la etiqueta a disposición de todos los usuarios. La etiqueta se publica en el portal de cumplimiento Microsoft Purview, en la página Directivas de etiqueta en Protección de la información. Si tiene una directiva existente que se aplica a todos los usuarios, agregue esta etiqueta a esa directiva. Si necesita crear una directiva nueva, vea Publicar etiquetas de confidencialidad creando una directiva de etiqueta.

Configuración de Teams

Se realiza una configuración adicional del escenario altamente confidencial en el propio equipo y en el sitio de SharePoint asociado al equipo, por lo que el siguiente paso es crear un equipo.

Crearemos el equipo en el Centro de administración de Teams.

Para crear un equipo para información con un nivel de confidencialidad alto

  1. En el Centro de administración de Teams, expanda Teams y seleccione Administrar equipos.
  2. Seleccione Agregar.
  3. Escriba un nombre y una descripción para el equipo.
  4. Agregue uno o varios propietarios para el equipo. (Guárdese como propietario para que pueda elegir una etiqueta de confidencialidad predeterminada para los archivos siguientes).
  5. Elija la etiqueta de confidencialidad que creó para obtener información altamente confidencial en la lista desplegable Confidencialidad .
  6. Seleccione Aplicar.

Configuración de canal privado

En este nivel, restringimos la creación de canales privados a los propietarios del equipo.

Para restringir la creación de un canal privado

  1. En el Centro de administración de Teams, seleccione el equipo que creó y, a continuación, seleccione Editar.
  2. Expanda Permisos de mensaje.
  3. Establezca Agregar y editar canales privados en Desactivado.
  4. Seleccione Aplicar.

Configuración del canal compartido

Los canales compartidos no tienen configuración a nivel de equipo. La configuración de canal compartido que configure en el Centro de administración de Teams y el centro de administración de Microsoft Entra se aplican a usuarios individuales.

Configuración de SharePoint

Cada vez que cree un nuevo equipo con la etiqueta de confidencialidad alta, debe realizar dos pasos en SharePoint:

  • Restringir el acceso al sitio solo a los miembros del equipo
  • Elija una etiqueta de confidencialidad predeterminada para la biblioteca de documentos conectada al equipo.

La etiqueta de confidencialidad predeterminada debe configurarse en el propio sitio y no se puede configurar desde el Centro de administración de SharePoint ni a través de PowerShell.

Restricción del acceso al sitio a los miembros del equipo

Cada vez que cree un nuevo equipo con la etiqueta altamente confidencial, debe activar la restricción de acceso al sitio en el sitio de SharePoint asociado. Esto impide que personas ajenas al equipo accedan al sitio o a su contenido. (Esto requiere una Microsoft Syntex: licencia de administración avanzada de SharePoint).

Si no ha usado antes la restricción de acceso al sitio, debe activarla para su organización.

  1. En el Centro de administración de SharePoint, expanda Directivas y haga clic en Control de acceso.
  2. Seleccione Restricción de acceso al sitio.
  3. Seleccione Permitir restricción de acceso y, a continuación, seleccione Guardar.

Esto puede tardar hasta una hora en surtir efecto.

Para activar la restricción de acceso al sitio para el sitio

  1. En el Centro de administración de SharePoint, expanda Sitios y seleccione Sitios activos.
  2. Seleccione el sitio que desea administrar.
  3. En la pestaña Configuración , seleccione Editar en la sección Acceso restringido al sitio .
  4. Seleccione el cuadro Restringir acceso a este sitio y seleccione Guardar.

Elección de una etiqueta de confidencialidad predeterminada para los archivos

Usaremos la etiqueta de confidencialidad que creamos como etiqueta de confidencialidad predeterminada para la biblioteca de documentos del sitio que está conectada a Teams. Esto aplicará automáticamente la etiqueta altamente confidencial a los nuevos archivos compatibles con etiquetas que se carguen en la biblioteca, cifrándolos. (Esto requiere una Microsoft Syntex: licencia de administración avanzada de SharePoint).

Debe ser propietario del equipo para realizar esta tarea.

Para establecer una etiqueta de confidencialidad predeterminada para una biblioteca de documentos

  1. En Teams, vaya al canal General del equipo que desea actualizar.

  2. En la barra de herramientas del equipo, seleccione Archivos.

  3. Seleccione Abrir en SharePoint.

  4. En el sitio de SharePoint, abra Configuración y, a continuación, elija Configuración de biblioteca.

  5. En el panel flotante Configuración de biblioteca, seleccione Etiquetas de confidencialidad predeterminadas y, a continuación, seleccione la etiqueta altamente confidencial en el cuadro desplegable.

Para obtener más información sobre cómo funcionan las etiquetas de biblioteca predeterminadas, vea Configurar una etiqueta de confidencialidad predeterminada para una biblioteca de documentos de SharePoint y Agregar una etiqueta de confidencialidad a la biblioteca de documentos de SharePoint.

Consulte también

Crear y configurar etiquetas de confidencialidad y sus directivas