Migración de etiquetas de Azure Information Protection a etiquetas de confidencialidad unificadas

Migre etiquetas de Azure Information Protection a la plataforma de etiquetado unificado para que pueda usarlas como etiquetas de confidencialidad por clientes y servicios que admiten el etiquetado unificado.

Nota:

Si la suscripción de Azure Information Protection es bastante nueva, es posible que no tenga que migrar etiquetas porque el inquilino ya está en la plataforma de etiquetado unificado.

Después de migrar las etiquetas, no verá ninguna diferencia con el cliente clásico de Azure Information Protection, ya que este cliente sigue descargando las etiquetas con la directiva de Azure Information Protection desde Azure Portal. Sin embargo, ahora puede usar las etiquetas con el cliente de etiquetado unificado de Azure Information Protection y otros clientes y servicios que usan etiquetas de confidencialidad.

Antes de leer las instrucciones para migrar las etiquetas, puede encontrar las siguientes preguntas más frecuentes útiles:

Roles de administración que admiten la plataforma de etiquetado unificado

Si usa roles de administrador para la administración delegada en su organización, es posible que tenga que realizar algunos cambios en la plataforma de etiquetado unificado:

El rol de Microsoft Entra del administrador de Azure Information Protection (anteriormente administrador de Information Protection) no es compatible con la plataforma de etiquetado unificado. Si este rol administrativo se usa en su organización para administrar Azure Information Protection, agregue los usuarios que tienen este rol a los roles de Microsoft Entra de administrador de cumplimiento, administrador de datos de cumplimiento o administrador de seguridad. Si necesita ayuda con este paso, consulte Concesión de acceso a los usuarios al portal de cumplimiento Microsoft Purview. También puede asignar estos roles en el Centro de administración Microsoft Entra y el portal de cumplimiento Microsoft Purview.

Como alternativa, para usar roles, en el portal de cumplimiento Microsoft Purview, puede crear un nuevo grupo de roles para estos usuarios y agregar roles de Administrador de etiqueta de confidencialidad o Configuración de la organización a este grupo.

Si no concede a estos usuarios acceso al portal de cumplimiento Microsoft Purview mediante una de estas configuraciones, no podrán configurar Azure Information Protection en Azure Portal después de migrar las etiquetas.

Los administradores globales del inquilino pueden seguir administrando etiquetas y directivas tanto en Azure Portal como en el portal de cumplimiento Microsoft Purview después de migrar las etiquetas.

Antes de empezar

La migración de etiquetas tiene muchas ventajas, pero es irreversible. Antes de migrar, asegúrese de que conoce los siguientes cambios y consideraciones:

Compatibilidad con el cliente para el etiquetado unificado

Asegúrese de que tiene clientes que admiten etiquetas unificadas y, si es necesario, prepárese para la administración en Azure Portal (para clientes que no admiten etiquetas unificadas) y el portal de cumplimiento Microsoft Purview (para el cliente que admite etiquetas unificadas).

Configuración de directivas

Las directivas, incluida la configuración de directiva y quién tiene acceso a ellas (directivas con ámbito) y todas las configuraciones de cliente avanzadas no se migran. Las opciones para configurar estas opciones después de la migración de etiquetas incluyen lo siguiente:

Importante

No todas las configuraciones de una etiqueta migrada son compatibles con el portal de cumplimiento Microsoft Purview. Use la tabla de la configuraciones de etiqueta que no se admiten en la sección portal de cumplimiento Microsoft Purview para ayudarle a identificar estas configuraciones y el curso de acción recomendado.

Plantillas de protección

  • Las plantillas que usan una clave basada en la nube y que forman parte de una configuración de etiqueta también se migran con la etiqueta . No se migran otras plantillas de protección.

  • Si tiene etiquetas configuradas para una plantilla predefinida, edite estas etiquetas y seleccione la opción Establecer permisos para configurar las mismas opciones de protección que tenía en la plantilla. Las etiquetas con plantillas predefinidas no bloquearán la migración de etiquetas, pero esta configuración de etiqueta no se admite en el portal de cumplimiento Microsoft Purview.

    Sugerencia

    Para ayudarle a volver a configurar estas etiquetas, es posible que le resulte útil tener dos ventanas del explorador: una ventana en la que seleccione el botón Editar plantilla para la etiqueta para ver la configuración de protección y la otra ventana para configurar las mismas opciones al seleccionar Establecer permisos.

  • Una vez migrada una etiqueta con la configuración de protección basada en la nube, el ámbito resultante de la plantilla de protección es el ámbito definido en Azure Portal (o mediante el módulo de PowerShell AIPService) y el ámbito definido en el portal de cumplimiento Microsoft Purview.

Nombre para mostrar

Para cada etiqueta, Azure Portal muestra solo el nombre para mostrar de la etiqueta, que puede editar. Los usuarios ven este nombre de etiqueta en sus aplicaciones.

El portal de cumplimiento Microsoft Purview muestra este nombre para mostrar para una etiqueta y el nombre de la etiqueta. El nombre de la etiqueta es el nombre inicial que se especifica cuando se crea la etiqueta por primera vez y el servicio back-end usa esta propiedad con fines de identificación. Al migrar las etiquetas, el nombre para mostrar sigue siendo el mismo y se cambia el nombre de la etiqueta al identificador de etiqueta de Azure Portal.

Nombres para mostrar en conflicto

Antes de migrar, asegúrese de que no tendría nombres para mostrar en conflicto una vez completada la migración. Los nombres para mostrar en el mismo lugar de la jerarquía de etiquetado deben ser únicos.

Por ejemplo, considere la siguiente lista de etiquetas:

  • Pública
  • General
  • Confidencial
    • Confidencial\RR. HH.
    • Confidencial\Finanzas
  • Secreto
    • Secreto\RR. HH.
    • Secreto\Finanzas

En esta lista, Público, General, Confidencial y Secreto son todas las etiquetas primarias y no pueden tener nombres duplicados. Además, Confidencial\RR. HH. y Confidencial\Finanzas están en el mismo lugar de la jerarquía y tampoco pueden tener nombres duplicados.

Sin embargo, las subetiquetas entre distintos elementos primarios, como Confidencial\RR. HH. y Secreto\RR. HH., no están en el mismo lugar de la jerarquía y, por tanto, pueden tener los mismos nombres individuales.

Cadenas localizadas en etiquetas

Las cadenas localizadas de las etiquetas no se migran. Defina nuevas cadenas localizadas para las etiquetas migradas mediante Security & Compliance PowerShell y el parámetro Locale Configuración para Set-Label.

Edición de etiquetas migradas en el portal de cumplimiento Microsoft Purview

Después de la migración, al editar una etiqueta migrada en Azure Portal, el mismo cambio se refleja automáticamente en el portal de cumplimiento Microsoft Purview.

Sin embargo, al editar una etiqueta migrada en el portal de cumplimiento Microsoft Purview, debe volver a Azure Portal, al panel de etiquetado unificado de Azure Information Protection y seleccionar Publicar.

Esta acción adicional es necesaria para que los clientes de Azure Information Protection (clásico) recojan los cambios de etiqueta.

Opciones de configuración de etiquetas que no se admiten en el portal de cumplimiento Microsoft Purview

Use la tabla siguiente para identificar qué valores de configuración de una etiqueta migrada no son compatibles con el portal de cumplimiento Microsoft Purview. Si tiene etiquetas con esta configuración, cuando se complete la migración, use las instrucciones de administración de la columna final antes de publicar las etiquetas en el portal de cumplimiento Microsoft Purview.

Si no está seguro de cómo están configuradas las etiquetas, vea su configuración en Azure Portal. Si necesita ayuda con este paso, consulte Configuración de la directiva de Azure Information Protection.

Los clientes de Azure Information Protection (clásico) pueden usar todas las configuraciones de etiqueta enumeradas sin problemas porque siguen descargando las etiquetas de Azure Portal.

Configuración de la etiqueta Compatible con clientes de etiquetado unificado Guía para el Portal de cumplimiento Microsoft Purview
Estado de habilitado o deshabilitado

Este estado no está sincronizado con el portal de cumplimiento Microsoft Purview
No aplicable El equivalente es si la etiqueta se publica o no.
Color de etiqueta que seleccione de la lista o especifique mediante código RGB No hay ninguna opción de configuración para los colores de etiqueta. En su lugar, puede configurar los colores de las etiquetas en Azure Portal o usar PowerShell.
Protección basada en la nube o protección basada en HYOK mediante una plantilla predefinida No No hay ninguna opción de configuración para plantillas predefinidas. No se recomienda publicar una etiqueta con esta configuración.
Protección basada en la nube mediante permisos definidos por el usuario para Word, Excel y PowerPoint El portal de cumplimiento Microsoft Purview admite una opción de configuración para permisos definidos por el usuario.

Si publica una etiqueta con esta configuración, compruebe los resultados de aplicar la etiqueta de la tabla siguiente.
Protección basada en HYOK mediante permisos definidos por el usuario para Outlook (no reenviar) No No hay ninguna opción de configuración para HYOK. No se recomienda publicar una etiqueta con esta configuración. Si lo hace, los resultados de aplicar la etiqueta se muestran en la tabla siguiente.
Nombre de fuente personalizado, tamaño y color de fuente personalizado por código RGB para marcas visuales (encabezado, pie de página, marca de agua) La configuración de las marcas visuales se limita a una lista de colores y tamaños de fuente. Puede publicar esta etiqueta sin cambios, aunque no puede ver los valores configurados en el portal de cumplimiento Microsoft Purview.

Para cambiar estas opciones, use el cmdlet New-Label office 365 Security & Compliance Center. Para facilitar la administración, considere la posibilidad de cambiar el color a una de las opciones enumeradas en el portal de cumplimiento Microsoft Purview.

Nota: El portal de cumplimiento Microsoft Purview admite una lista predefinida de definiciones de fuentes. Las fuentes y colores personalizados solo se admiten mediante el cmdlet New-Label.

Si trabaja con el cliente clásico, realice estos cambios en la etiqueta en Azure Portal.
Variables en marcas visuales (encabezado, pie de página) Esta configuración de etiqueta es compatible con los clientes de AIP y el etiquetado integrado de Office para aplicaciones selectas.

Si está trabajando con el etiquetado integrado mediante una aplicación que no admite esta configuración y publica esta etiqueta sin cambios, las variables se muestran como texto en los clientes, en lugar de mostrar el valor dinámico.

Para más información, consulte la documentación de Microsoft 365.
Marcas visuales por aplicación Esta configuración de etiqueta solo es compatible con los clientes de AIP y no con el etiquetado integrado de Office.

Si está trabajando con el etiquetado integrado y publica esta etiqueta sin cambios, la configuración de marcado visual se muestra como texto variable en lugar de las marcas visuales que ha configurado para mostrar en cada aplicación.
Protección "Solo para mí" El portal de cumplimiento Microsoft Purview no permite guardar la configuración de cifrado que aplique ahora, sin especificar ningún usuario. En Azure Portal, esta configuración da como resultado una etiqueta que aplica la protección "Solo para mí".

Como alternativa, cree una etiqueta que aplique el cifrado y especifique un usuario con los permisos y, a continuación, edite la plantilla de protección asociada mediante PowerShell. En primer lugar, use el cmdlet New-AipServiceRightsDefinition (vea el ejemplo 3) y, a continuación, Set-AipServiceTemplateProperty con el parámetro RightsDefinitions.
Condiciones y configuración asociada

Incluye el etiquetado automático y recomendado, y sus información sobre herramientas
No aplicable Vuelva a configurar las condiciones mediante el etiquetado automático como una configuración independiente de los valores de etiqueta.

Comparación del comportamiento de la configuración de protección de una etiqueta

Use la tabla siguiente para identificar cómo se comporta la misma configuración de protección para una etiqueta de forma diferente, en función de si la usa el cliente clásico de Azure Information Protection, el cliente de etiquetado unificado de Azure Information Protection o laa aplicaciones de Office que tienen el etiquetado integrado (también conocido como "etiquetado nativo de Office"). Las diferencias en el comportamiento de las etiquetas pueden cambiar la decisión de si publicar las etiquetas, especialmente cuando tiene una combinación de clientes de su organización.

Si no está seguro de cómo están configuradas las opciones de protección, vea sus valores en el panel Protección, en Azure Portal. Si necesita ayuda con este paso, consulte Para configurar una etiqueta para la configuración de protección.

La configuración de protección que se comporta de la misma manera no aparece en la tabla, con las siguientes excepciones:

  • Al usar aplicaciones de Office con etiquetas integradas, las etiquetas no están visibles en Explorador de archivos a menos que también instale el cliente de etiquetado unificado de Azure Information Protection.
  • Cuando se usan aplicación de Office con etiquetado integrado, si la protección se aplicó anteriormente independientemente de una etiqueta, esa protección se conserva [1].
Configuración de protección para una etiqueta Cliente clásico de Azure Information Protection Cliente de etiquetado unificado de Azure Information Protection Aplicaciones de Office con etiquetado integrado
HYOK (AD RMS) con una plantilla: Visible en Word, Excel, PowerPoint, Outlook y Explorador de archivos

Cuando se aplica esta etiqueta:

- La protección HYOK se aplica a documentos y correos electrónicos
Visible en Word, Excel, PowerPoint, Outlook y Explorador de archivos

Cuando se aplica esta etiqueta:

- No se aplica ninguna protección y se quita la protección [2] si se aplicó previamente mediante una etiqueta

- Si la protección se aplicó anteriormente independientemente de una etiqueta, esa protección se conserva
Visible en Word, Excel, PowerPoint y Outlook

Cuando se aplica esta etiqueta:

- No se aplica ninguna protección y se quita la protección [2] si se aplicó previamente mediante una etiqueta

- Si la protección se aplicó anteriormente independientemente de una etiqueta, esa protección se conserva [1]
HYOK (AD RMS) con permisos definidos por el usuario para Word, Excel, PowerPoint y Explorador de archivos: Visible en Word, Excel, PowerPoint y Explorador de archivos

Cuando se aplica esta etiqueta:

- La protección HYOK se aplica a documentos y correos electrónicos
Visible en Word, Excel y PowerPoint

Cuando se aplica esta etiqueta:

- La protección no se aplica y se quita la protección [2] si se aplicó previamente mediante una etiqueta

- Si la protección se aplicó anteriormente independientemente de una etiqueta, esa protección se conserva
Visible en Word, Excel y PowerPoint

Cuando se aplica esta etiqueta:

- La protección no se aplica y se quita la protección [2] si se aplicó previamente mediante una etiqueta

- Si la protección se aplicó anteriormente independientemente de una etiqueta, esa protección se conserva
HYOK (AD RMS) con permisos definidos por el usuario para Outlook: Visible en Outlook

Cuando se aplica esta etiqueta:

- No reenviar mediante la protección HYOK se aplica a los correos electrónicos
Visible en Outlook

Cuando se aplica esta etiqueta:

- La protección no se aplica y se quita [2] si anteriormente se aplicó mediante una etiqueta

- Si la protección se aplicó anteriormente independientemente de una etiqueta, esa protección se conserva
Visible en Outlook

Cuando se aplica esta etiqueta:

- La protección no se aplica y se quita [2] si anteriormente se aplicó mediante una etiqueta

- Si la protección se aplicó anteriormente independientemente de una etiqueta, esa protección se conserva [1]
Nota al pie 1

En Outlook, la protección se conserva con una excepción: cuando se ha protegido un correo electrónico con la opción de solo cifrado (Cifrar), esa protección se quita.

Nota al pie 2

La protección se quita si el usuario tiene un derecho de uso o un rol que admite esta acción:

Si el usuario no tiene uno de estos derechos de uso o roles, la etiqueta no se aplica y se conserva la protección original.

Para migrar las etiquetas de Azure Information Protection

Use las instrucciones siguientes para migrar el inquilino y las etiquetas de Azure Information Protection para usar el almacén de etiquetado unificado.

Debe ser administrador de cumplimiento, administrador de datos de cumplimiento, administrador de seguridad o administrador global para migrar las etiquetas.

  1. Si aún no lo ha hecho, abra una nueva ventana del explorador e inicie sesión en Azure Portal. Después, vaya al panel Azure Information Protection.

    Por ejemplo, en el cuadro de búsqueda de recursos, servicios y documentos empiece a escribir Information y seleccione Azure Information Protection.

  2. En la opción de menú Administrar, seleccione Etiquetado unificado.

  3. En el panel Azure Information Protection: Etiquetado unificado, seleccione Activar y siga las instrucciones en línea.

    Si la opción para activar no está disponible, compruebe el estado de etiquetado unificado: si ve Activado, el inquilino ya usa el almacén de etiquetado unificado y no es necesario migrar las etiquetas.

Para las etiquetas que se han migrado correctamente, ahora los clientes y los servicios que admiten el etiquetado unificado pueden usarlas. Sin embargo, primero debe publicar estas etiquetas en el portal de cumplimiento Microsoft Purview.

Importante

Si edita las etiquetas fuera de Azure Portal, para los clientes de Azure Information Protection (clásico), vuelva a este panel de etiquetado unificado de Azure Information Protection y seleccione Publicar.

Copiar directivas

Después de migrar las etiquetas, puede seleccionar una opción para copiar directivas. Si selecciona esta opción, se envía una copia única de las directivas con su configuración de directiva y cualquier configuración de cliente avanzada al portal de cumplimiento Microsoft Purview.

Las directivas copiadas correctamente con su configuración y etiquetas se publican automáticamente en los usuarios y grupos que se asignaron a las directivas en Azure Portal. Tenga en cuenta que para la directiva global, esto significa todos los usuarios. Si no está listo para que se publiquen las etiquetas migradas en las directivas copiadas, después de copiar las directivas, puede quitar las etiquetas de las directivas de etiqueta en el centro de etiquetado de administración.

Antes de seleccionar la opción Copiar directivas (versión preliminar) en el panel de etiquetado unificado de Azure Information Protection, tenga en cuenta lo siguiente:

  • La opción Copiar directivas (versión preliminar) no está disponible hasta que se active el etiquetado unificado para el inquilino.

  • No puede elegir de forma selectiva las directivas y la configuración que se van a copiar. Todas las directivas (directiva Global y cualquier directiva con ámbito) se seleccionan automáticamente para copiarse y se copian todas las configuraciones que se admiten como configuración de directiva de etiqueta. Si ya tiene una directiva de etiqueta con el mismo nombre, se sobrescribirá con la configuración de directiva en Azure Portal.

  • Algunas opciones avanzadas de configuración de cliente no se copian porque para el cliente de etiquetado unificado de Azure Information Protection, se admiten como configuración avanzada de etiquetas en lugar de como configuración de directiva. Puede configurar estas opciones avanzadas de etiqueta con Security & Compliance PowerShell. La configuración avanzada del cliente que no se copia:

  • A diferencia de la migración de etiquetas en la que se sincronizan los cambios posteriores en las etiquetas, la acción Copiar directivas no sincroniza ningún cambio posterior en las directivas ni en la configuración de directiva. Puede repetir la acción de la directiva de copia después de realizar cambios en Azure Portal, y las directivas existentes y su configuración se sobrescribirán de nuevo. O bien, use los cmdlets Set-LabelPolicy o Set-Label con el parámetro Advanced Configuración de Security & Compliance PowerShell.

  • La acción Copiar directivas comprueba lo siguiente para cada directiva antes de copiarla:

    • Los usuarios y grupos asignados a la directiva se encuentran actualmente en Microsoft Entra ID. Si faltan una o varias cuentas, la directiva no se copia. No se comprueba la pertenencia a grupos.

    • La directiva global contiene al menos una etiqueta. Dado que los centros de etiquetado de administración no admiten directivas de etiquetas sin etiquetas, no se copia una directiva global sin etiquetas.

  • Si copia directivas y, a continuación, las elimina del centro de etiquetado de administración, espere al menos dos horas antes de usar la acción Copiar directivas de nuevo para garantizar el tiempo suficiente para que la eliminación se replique.

  • Las directivas copiadas de Azure Information Protection no tendrán el mismo nombre, sino que se denominarán con un prefijo de AIP_. Los nombres de directiva no se pueden cambiar posteriormente.

Para más información sobre cómo configurar las opciones de directiva, la configuración avanzada del cliente y la configuración de etiquetas para el cliente de etiquetado unificado de Azure Information Protection, consulte Configuraciones personalizadas para el cliente de etiquetado unificado de Azure Information Protection desde la guía de administración.

Nota:

La compatibilidad de Azure Information Protection con las directivas de copia está actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Clientes y servicios que admiten el etiquetado unificado

Para confirmar si los clientes y servicios que usa admiten el etiquetado unificado, consulte su documentación para comprobar si pueden usar etiquetas de confidencialidad publicadas desde el portal de cumplimiento Microsoft Purview.

Los clientes que admiten actualmente el etiquetado unificado incluyen
Los servicios que admiten actualmente el etiquetado unificado incluyen

Portales de administración que se usarán después de migrar las etiquetas

Después de migrar las etiquetas en Azure Portal, siga administrándolas en una de las siguientes ubicaciones, en función de los clientes que haya instalado:

Remoto Descripción
Solo clientes y servicios de etiquetado unificado Si solo tiene instalados clientes de etiquetado unificado, administre las etiquetas en el portal de cumplimiento Microsoft Purview, que es donde los clientes de etiquetado unificado descargan las etiquetas y su configuración de directiva.

Para obtener instrucciones, consulte Crear y configurar etiquetas de confidencialidad y sus directivas.
Solo el cliente clásico Si ha migrado las etiquetas, pero aún tiene instalado el cliente clásico, siga usando Azure Portal para editar las etiquetas y la configuración de directiva. El cliente clásico sigue descargando etiquetas y configuraciones de directiva de Azure.
Tanto el cliente clásico de AIP como los clientes de etiquetado unificado Si tiene instalados los dos clientes, use el portal de cumplimiento Microsoft Purview o Azure Portal para realizar cambios en las etiquetas.

Para que los clientes clásicos recojan los cambios de etiqueta realizados en el portal de cumplimiento Microsoft Purview, vuelva a Azure Portal para publicarlos. En el panel >Azure Information Protection: etiquetado unificado de Azure Portal, seleccione Publicar.

Siga usando Azure Portal para informes centrales y el detector.

Pasos siguientes

Guía y consejos del equipo de experiencia del cliente:

Acerca de etiquetas de confidencialidad:

Implementar el cliente de etiquetado unificado AIP:

Si aún no lo ha hecho, instale el cliente de etiquetado unificado de Azure Information Protection.

Para más información, vea: