Guía Paso a Paso para Configurar Microsoft Purview en Microsoft 365 y Azure

Guía Paso a Paso para Configurar Microsoft Purview

Esta guía “de la A a la Z” cubre todo el ciclo de vida de Microsoft Purview: desde la activación de licencias hasta la automatización de informes en Power BI. Encontrarás comandos de PowerShell, rutas gráficas, scripts de ejemplo, plantillas regulatorias (GDPR, PCI-DSS, ENS, HIPAA) y buenas prácticas que hemos aplicado en proyectos reales de sectores banca, salud y sector público.

Índice (navegación rápida)

Prerequisitos, Arquitectura y Licenciamiento
Creación y Distribución de Etiquetas (Information Protection)
Data Loss Prevention: Exchange, Teams, SharePoint y Dispositivos
Endpoint DLP: Windows 11, macOS y Servers
AIP / Purview Scanner On-Prem (File Servers y SharePoint 2013)
Insider Risk Management: Políticas, Señales y Workflows
eDiscovery Premium: Conservación, Revisión e IA Relevancia
Audit Standard & Premium + Origen Sentinel
Gobernanza de Datos: Data Map, Glossary & Lineage
Monitorización, Reportes y Automatización
Casos de Uso Avanzados
Checklist 30-60-90 días

1. Prerequisitos, Arquitectura y Licenciamiento

1.1 Dependencias técnicas

Tenant Microsoft 365 con dominios verificados.
Roles “Compliance Administrator” y “Global Administrator” para la puesta en marcha.
Intune (o ConfigMgr + co-management) si vas a usar Endpoint DLP.
Microsoft Defender for Cloud Apps para controlar SaaS de terceros (Shadow IT) con DLP.
Red híbrida si deseas escanear datos on-prem con el AIP Scanner.

1.2 Módulos PowerShell recomendados

Install-Module ExchangeOnlineManagement     # Comandos EXO + DLP
Install-Module AzureAD                      # Gestión de roles
Install-Module AzureInformationProtection   # AIP / Scanner
Install-Module Microsoft.Graph.Compliance   # Graph (beta) Purview
Install-Module Az.Purview                   # Escáner multi-cloud (Data Map)

1.3 Licenciamiento granular

Si tu presupuesto es limitado, puedes combinar licencias:

E3 + E5 Compliance Add-on: desbloquea Auto-etiquetado, Endpoint DLP, IRM y Audit Premium.
Business Premium + AIP P1 Add-on: buen punto de partida para pymes que solo necesitan cifrado manual y DLP Exchange.
Purview Governance SKU: se factura por “capacity units” (escaneos/hora) para Data Map.

2. Creación y Distribución de Etiquetas (Information Protection)

2.1 Metodología de clasificación

Inventariar datos: usa “Content Explorer” para detectar PII, PCI y secretos.
Diseñar taxonomía: máximo 5-7 niveles fáciles de entender.
Mapear controles: Confidencial ≡ cifrado + restricción externo; Público ≡ sin encriptar.

2.2 Creación rápida vía Portal

Purview ▸ Information Protection ▸ + Create sensitivity label.
Define Scope (File & Email / Site / Group / Teams).
Marca Encryption: “Only people in your organization”.
Configura Content Marking: cabecera + marca de agua.

2.3 Ejemplo completo PowerShell (etiqueta con doble clave)

# Requiere módulo AzureInformationProtection
Import-Module AzureInformationProtection

$rights = New-AipServiceRightsDefinition -Rights "VIEW,EDIT" -Users "user@empresa.com"
New-AipServiceTemplate -Name "Ultra-Secreto" -Description "Datos estratégicos" `
  -ProtectionLevel "DoubleKeyEncryption" `
  -RightsDefinitions $rights `
  -Domain "empresa.com"

2.4 Implementar Auto-etiquetado con reglas personalizadas

Patrón Sensible	Umbral	Etiqueta Aplicada
Tarjeta de crédito + CVV + nombre cliente	>= 1 coincidencia	Confidencial-PCI
Número IBAN y palabra “Transferencia”	>= 1 coincidencia	Confidencial-Finanzas
Regex “(secret\|token)=”	>= 2 coincidencias	Secreto-Clave

3. Data Loss Prevention: Exchange, Teams, SharePoint y Dispositivos

3.1 Plantillas regulatorias out-of-the-box

PCI DSS v4.0
GDPR – Artículo 32 (EU)
ENS Alta (España)
HIPAA (US Health)

Estas plantillas incluyen reglas predeterminadas que puedes desplegar en solo 3 clics y luego personalizar.

3.2 Política DLP con excepciones (ejemplo real)

# Objetivo: permitir envío de contratos PDF cifrados
New-DlpCompliancePolicy -Name "Bloqueo PII Externos" `
 -SharePointLocation All -OneDriveLocation All -Mode Enforced

# Regla principal
$r = New-DlpComplianceRule -Policy "Bloqueo PII Externos" `
 -Name "Bloquear PII*" -BlockAccess $true `
 -ContentContainsSensitiveInformation @{Name="EU PII"; minCount=1}

# Excepción: archivos con etiqueta "Contratos-Cifrado"
Set-DlpComplianceRule $r.Identity -ExceptIfContentContainsSensitivityLabelIds `
  (Get-Label -Name "Contratos-Cifrado").Guid

3.3 Activar notificaciones y personalizar coaching

En la misma regla, habilita User notifications con plantilla adaptada a tu idioma corporativo y añade un enlace a la política interna (SharePoint Intranet).

4. Endpoint DLP: Windows 11, macOS y Servers

4.1 Flujos de trabajo

Onboard el dispositivo a Defender for Endpoint.
Intune ▸ Endpoint Security ▸ Data Loss Prevention ▸ Crear política.
Elige escenario: “Bloquear copiar a portapapeles datos clasific. Confidencial”.
Habilita File Activity Exploder para inspeccionar ZIP y archivos generados por ChatGPT.

4.2 Control granular por proceso

Ej.: bloquear Microsoft Edge para subir a *://*.mega.nz/* pero permitir Edge a sharepoint.com.

4.3 Monitorear en tiempo real

Security Portal ▸ Activity explorer → filtra por Endpoint DLP.
Crea alerta automatizada “>10 bloqueos en 5 minutos” → Logic Apps → Teams SecOps.

5. AIP / Purview Scanner On-Prem (File Servers)

Instala Azure Information Protection Unified Labeling Client.

Registra el scanner:

Install-AIPScanner
Set-AIPAuthentication -AppId <GUID> -AppSecret <Secret>

Define repositorios: Set-AIPScannerRepository -Path "\\fileserver\legal"
Agrega plan de escaneo incremental cada 6 h.
Visualiza resultados en “Content Explorer ▸ On-premises scanner”.

Tip: Si escaneas PDF muy grandes, ajusta MaxConsecutiveErrors y pool de hilos para evitar timeouts.

6. Insider Risk Management (IRM)

6.1 Señales disponibles

Categoría	Ejemplos	Proveedores
Actividad de archivo	Copias masivas, impresión, USB	Endpoint DLP
Correo y Chat	Lenguaje tóxico, intención de renuncia	Defender Office 365
Identidad	Inicios imposibles, borrado MFA	Entra ID Protection

6.2 Políticas recomendadas

Data theft by departing users: activa 45 d antes/30 d después.
VPN / RDP anomalías: correlaciona con Sentinel via conector “Advanced Hunting”.

6.3 Workflows

Integra con Communication Compliance para revisar lenguaje tóxico y enviar plan correctivo a RRHH. Añade aprobaciones en Teams.

7. eDiscovery Premium: Conservación, Revisión e IA

7.1 Script para crear retención legal a 10 usuarios

$custodians = "alice@corp.com","bob@corp.com" …
New-ComplianceCase -Name "Litigio-2024"
$custodians | % { Add-ComplianceCaseCustodian -Case "Litigio-2024" -User $_ }
Enable-CaseHoldPolicy "Litigio-2024" -Query "label:Confidencial"

7.2 Revisión con “Themes” y “Near duplicates”

Reduce 40 % el volumen a revisar. Activa “Conversation thread” para Teams.

8. Audit Standard & Premium + Origen Sentinel

8.1 Exportación continua a Sentinel (Azure Monitor Agent)

Set-MailboxAuditBypassAssociation -Identity "AzureSentinelCollector" -AuditEnabled $true
New-DataConnector -Name "PurviewAudit" -Kind Office365

8.2 Ejemplos de consultas KQL

// Descarga masiva de archivos >500 MB
OfficeActivity
| where Operation == "FileDownloaded"
| summarize TotalMB = sum(FileSize)/1024/1024 by UserId
| where TotalMB > 500

9. Gobernanza de Datos: Data Map, Glossary & Lineage

9.1 Escanear S3 y SQL Server

az purview account show --name corp-purview
az purview scan rule-set create --account-name corp-purview \
 --scan-ruleset-name "S3_GDPR" --data-source-type AmazonS3
az purview scan run --account-name corp-purview --name "S3_GDPR_Scan"

9.2 Crear glosario empresarial

Define términos (CustomerID, MRN, IBAN) y asócialos a columnas descubiertas; facilita la búsqueda para analistas y evita duplicidades.

10. Monitorización, Reportes y Automatización

10.1 Power BI Dashboard

Conector “Microsoft 365 Compliance” (OData).
Importa tablas LabelActivity, DLPIncidents, IRMAlerts.
Visualiza tendencias de fuga PII vs. trimestre anterior.

10.2 Logic Apps → correo ejecutivo

Dispara un email semanal al CISO con eventos Audit “MailboxPermissionChanged”.

10.3 Azure Functions para auto-remediación

Si OfficeActivity.DeviceName contiene “Kiosk-” y detecta Endpoint DLP print blocked, revoca acceso Entra ID al instante.

11. Casos de Uso Avanzados

11.1 IA Generativa y Datos Confidenciales

Bloquea que usuarios suban código clasificado a ChatGPT web gracias a Endpoint DLP + URL categorías “AI services”.

11.2 Multicloud – DLP en Box y Google Drive

Defender for Cloud Apps aplica la misma política DLP que en OneDrive gracias a sesión proxy, sin agentes.

11.3 Control de secretos en repos Git

Integración entre GitHub Advanced Security → envia alertas a Purview Classification logrando un inventario unificado.

12. Checklist 30-60-90 días

Fase	Objetivos clave
0-30 d	Etiquetas publicadas, DLP Test, Endpoint pilot, Audit Std
31-60 d	DLP Enforced, IRM plantilla “Departing”, Scanner on-prem
61-90 d	Audit Premium, eDiscovery activo, Data Map tres fuentes

Conclusión

Microsoft Purview no es solo “otro producto de seguridad”; es la columna vertebral que conecta clasificación, protección, detección y gobierno de datos. Siguiendo esta guía —desde scripts PowerShell hasta portales gráficos, pasando por integración con Sentinel y Power BI— podrás desplegar Purview de forma robusta, obtener insights medibles y cumplir normativas sin frenar la innovación.

¿Necesitas acelerar tu proyecto? Contáctanos en Cloud Fighters para mentoring, implementación o servicios gestionados.