Guía completa: Cómo configurar Microsoft Purview (2025) — seguridad, gobierno y cumplimiento de datos

Resumen ejecutivo — Purview en 5 ideas

• Suite unificada que integra data security, risk & compliance y data governance en un único portal con navegación simplificada.
• Ámbitos: protege y gobierna datos en Microsoft 365, endpoints, multicloud y datos on-prem a través de Data Map/Unified Catalog.
• Casos clave: etiquetado de sensibilidad y retención, DLP (incluido Endpoint DLP), eDiscovery, auditoría, Information Barriers, Insider Risk y Adaptive Protection.
• Gobierno: registro y escaneo de orígenes, clasificación automática, linaje y catálogo unificado; compatibilidad con Microsoft Fabric/OneLake.
• Licencias: funciones avanzadas (por ejemplo, Audit Premium, eDiscovery Premium, Insider Risk, Adaptive Protection) exigen E5/E5 Compliance.

Qué es Microsoft Purview y dónde se utiliza

Microsoft Purview es el paraguas de soluciones de Microsoft para seguridad de datos, gobierno y cumplimiento. Centraliza la protección (etiquetas, DLP), el riesgo y cumplimiento (eDiscovery, auditoría, barreras de información, insider risk) y el gobierno (Data Map, escaneos, catálogo). Se administra desde el Microsoft Purview portal.

Se usa en Microsoft 365, endpoints Windows/macOS, fuentes de datos Azure, multicloud y on-prem mediante conectores y self-hosted integration runtime para escaneos.

Quién debe usarlo y roles recomendados

• Compliance Admin / Data Security Admin: configuración de etiquetas, DLP, retención, auditoría y eDiscovery.
• Insider Risk Admin/Analyst: políticas de insider risk y Adaptive Protection.
• Data Curator/Data Reader (gobierno): catálogo, glosario, dominios y escaneos en Data Map.
• Administradores delegados con admin units para acotar DLP y otras políticas por área u organización.

Requisitos y licencias

Purview está incluido a distintos niveles en Microsoft 365. Para capacidades avanzadas (p. ej., Audit Premium, eDiscovery Premium, Insider Risk, Adaptive Protection), se requiere Microsoft 365 E5 o el add-on E5 Compliance.

En DLP, los locations compatibles incluyen Exchange, SharePoint, OneDrive, Teams, endpoint y Microsoft 365 Copilot.

Arquitectura y soluciones

• Data security: etiquetas de sensibilidad y políticas DLP (incluido endpoint), controles en Copilot.
• Risk & compliance: retención/records, eDiscovery, auditoría, Insider Risk/Adaptive Protection, Information Barriers, Communication Compliance.
• Data governance: Data Map & Unified Catalog para registrar, escanear, clasificar y gobernar datos (Azure, on-prem, multicloud), con integración con Microsoft Fabric/OneLake.

Plan de despliegue en 4 fases

1. Base: revisar licencias y roles; activar Auditoría; definir dominios/alcances de DLP y retención.
2. Protección: crear etiquetas de sensibilidad, publicar políticas y habilitar DLP (simulación > imponer); onboard de dispositivos para Endpoint DLP.
3. Riesgo & cumplimiento: políticas de retención, eDiscovery (Premium) operativo y flujos de auditoría.
4. Gobierno: crear cuenta de Purview (gobierno), registrar fuentes, ejecutar escaneos, glosario y dominios; integrar Fabric/OneLake si aplica.

Alta y primer arranque del portal de Purview

Accede a Microsoft Purview portal para gestionar soluciones de seguridad, riesgo y gobierno con navegación unificada. La puesta en marcha debe priorizar seguridad, reversibilidad y trazabilidad: personas (roles), plataforma (licencias y conectividad) y procesos (cambios controlados, pruebas y KPIs).

1) Prerrequisitos y licencias

• Alcance inicial (primer mes): Information Protection (etiquetas), DLP (incluido Endpoint), Data Lifecycle Management (retención/records), eDiscovery (Premium), Auditoría, Insider Risk, Information Barriers, Communication Compliance y Gobierno (Data Map/Unified Catalog).
• Licenciamiento: capacidades avanzadas (Audit Premium, eDiscovery Premium, Insider Risk, Adaptive Protection, IB) requieren E5 o el add-on E5 Compliance. Prioriza licencias en colectivos de mayor riesgo.
• Portales: usa el Microsoft Purview portal para Seguridad/Riesgo/Cumplimiento y la cuenta de Purview (Gobierno) en Azure para Data Map/escaneos/catálogo.

2) Permisos y separación de ambientes

• RBAC por grupos (evita asignar a individuos): Information Protection Admin, DLP Admin, Records/Compliance Admin, eDiscovery Manager/Admin, Audit Admin, Insider Risk Admin/Analyst, IB Admin, Comm. Compliance Admin, Purview Data Curator/Reader.
• Unidades administrativas: segmenta delegación por país/filial o dominio de datos (aplica a DLP, Retención, Insider Risk, Comm. Compliance…).
• Ambientes: define Dev/Pruebas (piloto), Pre y Prod. Flujo de cambios Dev → Pre → Prod con doble aprobación.

3) Conectividad, salud y auditoría

• Conectividad Microsoft 365: permite endpoints en proxy/firewall; Office actualizado para built-in labeling.
• Auditoría unificada: valida ingestión de eventos (180 días estándar); si necesitas más, habilita retención extendida y/o export a SIEM.
• Device onboarding (Endpoint DLP): incorpora Windows 10/11 y macOS por Intune/GPO/script; organiza por device groups (VIP, laboratorio, alto riesgo).

4) Arranque guiado en el portal

1. En Soluciones, ejecuta los wizards de Information Protection, DLP, DLM, eDiscovery, Auditoría e Insider Risk. Documenta decisiones (quién, cuándo y por qué).
2. En Roles y ámbitos, crea unidades administrativas y asigna propietarios por región/área con scope explícito.
3. En Auditoría, confirma retención por defecto y planifica export automático o consultas programadas.

5) Guardrails iniciales

• Etiquetas: set mínimo (Público, Interno, Confidencial, Secreto) con mandatory labeling + etiqueta por defecto. Piloto por grupos.
• DLP: política global en modo auditoría (Exchange/SharePoint/OneDrive/Teams y, si aplica, Copilot). Observa 2–3 semanas y endurece por oleadas.
• Retención: política amplia (p. ej., 7 años en Exchange/SPO/OD) + etiquetas de Record para series críticas.

Checklist de aceptación (salida de Fase 0)

Comandos útiles (arranque)

# Conectar a PowerShell de Seguridad & Cumplimiento


Install-Module ExchangeOnlineManagement -Scope CurrentUser
Import-Module ExchangeOnlineManagement
Connect-IPPSSession

Ver grupos de roles relacionados con eDiscovery

Get-RoleGroup | Where-Object {$_.Name -like "eDiscovery"}

Auditoría: búsqueda (48h) y export

Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-2) -EndDate (Get-Date) `
-Operations FileDownloaded, MailItemsAccessed -ResultSize 500 | Export-Csv .\audit.csv -NoType

Crear cuenta de gobierno (Data Map) en Azure — comando rápido

# Extensión de Purview en Azure CLI (se instala al primer uso)


az extension add --name purview

Crear cuenta (gobierno). Requiere permisos en la suscripción y provider registrado.

az purview account create
--name  --resource-group  --location 
--sku Standard

Después, usa el Purview governance portal para registrar orígenes y definir escaneos (Managed Identity o credenciales; SHIR para on-prem).

Etiquetas de sensibilidad — tipos, alcance y publicación

Las etiquetas de sensibilidad clasifican y protegen contenido; pueden incluir cifrado, marcas visuales y controles de acceso. Se aplican a archivos y correos, a contenedores (Teams, M365 Groups, SharePoint/OneDrive) y a Power BI. El objetivo es reducir fricción a los usuarios mientras el sistema hace cumplir la política.

Diseño de taxonomía y publicación

• Niveles base: Público → Interno → Confidencial → Secreto. Añade subetiquetas por normativa (GDPR, PCI, HIPAA) o por unidad de negocio.
• Políticas de publicación: publica a grupos (piloto, producción, externos) con mandatory labeling, default label, justificación al bajar de nivel y policy tips en Office.
• Gobernanza: define responsables de creación/aprobación de etiquetas y revisiones periódicas para evitar “label sprawl”.

Protecciones por tipo

• Archivos/correos: cifrado con permisos por usuario/grupo/dominio, marcas visuales (cabecera/pie/agua), expiración de acceso, “No reenviar”.
• Contenedores: controlan privacidad (público/privado), acceso de invitados, uso compartido externo, acceso desde dispositivos no administrados.
• Power BI: las etiquetas se heredan en exportaciones y pueden combinarse con DLP de Power BI.

Autoetiquetado (en tránsito y en reposo)

• Tipos de información sensible (SIT): PII locales (DNI/NIF/NIE, IBAN, pasaporte), financieras, salud; usa comprobaciones de formato y proximidad.
• EDM (Exact Data Match): diccionarios hasheados (IDs de cliente, números de contrato) para coincidencia exacta con baja tasa de falsos positivos.
• Clasificadores entrenables: entrenados con documentos reales (contratos, CVs, facturas) para detectar patrones semánticos.

Clientes y cobertura

• Office (Windows/macOS/web): usa built-in labeling. Evita coexistencia con clientes heredados (AIP clásicos).
• MIP Scanner: para repositorios on-prem; ejecuta escaneos programados con identidad administrada o credenciales restringidas.

Crear y publicar con PowerShell (ejemplo básico del artículo original)

# 1) Conectar a Security & Compliance PowerShell


Install-Module ExchangeOnlineManagement -Scope CurrentUser
Import-Module ExchangeOnlineManagement
Connect-IPPSSession # MFA compatible

2) Crear etiqueta de sensibilidad

New-Label -Name "Confidencial" -Tooltip "Datos internos" `
-EncryptionEnabled $true -ContentType "File, Email"

3) Publicar la etiqueta a todos los usuarios

New-LabelPolicy -Name "Politica Publicacion Confidencial" -Labels "Confidencial" -ExchangeLocation All

PowerShell y Graph (avanzado)

# Crear y publicar (versión extendida)


Connect-IPPSSession
New-Label -Name "Confidencial" -EncryptionEnabled $true -ContentMarkingHeaderEnabled $true -ContentMarkingFooterEnabled $true New-LabelPolicy -Name "LP-Confidencial" -Labels "Confidencial"
-ExchangeLocation All -SharePointLocation All -OneDriveLocation All -ModernGroupLocation All

POST https://graph.microsoft.com/v1.0/drives/{driveId}/items/{itemId}/assignSensitivityLabel

Content-Type: application/json
{
"assignmentMethod": "standard",
"justificationText": "Clasificación por regla",
"labelId": "{guid-etiqueta}"
}

Validación y KPIs

• Usa Content explorer y Activity explorer para cobertura/uso de etiquetas.
• KPIs: % contenido etiquetado, tiempo de adopción, ratio de bajadas de nivel, falsos positivos/negativos por detector.
• Material de adopción: guía “cuándo elegir cada etiqueta” y vídeos de 2 minutos.

Data Loss Prevention (DLP), Endpoint DLP y Copilot

DLP protege datos en Microsoft 365 (correo, sitios, OneDrive, Teams), en dispositivos (Endpoint DLP) y en Microsoft 365 Copilot. Usa tipos de información sensible, diccionarios, etiquetas de sensibilidad y condiciones de contexto. La clave: empezar en modo auditoría, medir y endurecer por fases.

Anatomía de una política DLP

• Ámbitos: ubicaciones (M365, Devices, Copilot) + filtros (grupos, sitios, etiquetas, tamaño/tipo de archivo).
• Condiciones: SITs, EDM, clasificadores entrenables, etiquetas de sensibilidad, palabras clave, recuentos y proximidad.
• Acciones: auditar, notificar (policy tips + correo), bloquear, bloquear con override, abrir incidente/alerta.
• Modos: Simulación → Notificación → Imposición (bloqueo) por oleadas.

Endpoint DLP (Windows/macOS)

1. Onboarding por Intune, GPO o script. Si ya usas Defender for Endpoint, hereda onboarding.
2. Endpoint settings: dominios permitidos/no permitidos, impresoras, apps y rutas excluidas; control de USB, copy/paste, subida web, impresión y screen capture.
3. Device groups: políticas específicas para VIP, desarrollo, laboratorios o terceros.
4. UX: policy tips y override con justificación para continuidad de negocio.

DLP para Copilot

Incluye la ubicación Copilot para Microsoft 365 en tus políticas. Ejemplo: auditar y luego bloquear prompts/respuestas que contengan PII sensible o contenido etiquetado ≥ “Confidencial”.

Crear política DLP (PowerShell básico — bloque original)

# Política DLP y regla simple (ejemplo)


New-DlpCompliancePolicy -Name "DLP-PII-Global" -Mode TestWithoutNotifications -ExchangeLocation All -SharePointLocation All -OneDriveLocation All
New-DlpComplianceRule -Name "Detectar-PII" -Policy "DLP-PII-Global" -ContentContainsSensitiveInformation @{Name="U.S. Social Security Number (SSN)"; minCount="1"}
-BlockAccess $true -UserNotification $true

PowerShell (creación extendida)

Connect-IPPSSession

Política DLP en simulación (M365)

New-DlpCompliancePolicy -Name "DLP-ES-PII" -ExchangeLocation All -SharePointLocation All -OneDriveLocation All -TeamsLocation All
-Mode TestWithoutNotifications

Regla: detectar DNI con bloqueo y justificación

New-DlpComplianceRule -Name "Regla-DNI" -Policy "DLP-ES-PII" -ContentContainsSensitiveInformation @{Name="Spain DNI"; MinCount="1"}
-BlockAccess $true -BlockAccessScope "All" -UserNotification "Email"

Recetas de referencia

Operación y ajuste fino

• Revisa Activity explorer y Alertas a diario las primeras semanas.
• Define umbrales de severidad y playbooks de respuesta (quién, cuánto tiempo, cómo documentar).
• Audita excepciones (override) y consolida reglas específicas si son recurrentes.

Retención y Records — Data Lifecycle Management

Las políticas de retención y etiquetas de retención/records permiten conservar o eliminar contenido según normas de negocio y regulatorias. Soportan scopes estáticos y scopes adaptativos. Son el ancla de tu programa de gobierno y cumplimiento.

Conceptos clave

• Retain: conserva X días/años; al expirar, elimina o permite decisión del usuario.
• Records: inmutabilidad y controles adicionales (bloqueo de edición/eliminación). Regulatory record endurece aún más las restricciones.
• Eventos: retención por hitos (fin de contrato, baja de empleado) con event-based retention.
• Ámbitos adaptativos: aplicación dinámica por atributos (departamento, país, etiquetas de sitio, etc.).
• Teams: políticas distintas para chats, canales estándar, privados y compartidos.

Crear política de retención (bloque original)

# Política de retención de 7 años para Exchange/SharePoint/OneDrive


New-RetentionCompliancePolicy -Name "RET-7Años" -ExchangeLocation All -SharePointLocation All -OneDriveLocation All
New-RetentionComplianceRule -Name "RET-7Años-Regla" -Policy "RET-7Años" -RetentionDuration 2555 -RetentionAction Keep

PowerShell (extendido: etiqueta Record y política global)

Connect-IPPSSession

Etiqueta de retención "Record" 7 años

New-ComplianceTag -Name "RET-7Años-Record" -RetentionAction Keep -RetentionDuration 2555 `
-RecordLabelSettings "Locked" -ReviewerEmail "records@contoso.com
"

Política global de retención (SPO/OD/EXO)

New-RetentionCompliancePolicy -Name "RET-Global-7A" -ExchangeLocation All -SharePointLocation All -OneDriveLocation All

Regla asociada

New-RetentionComplianceRule -Name "RET-Global-7A-Regla" -Policy "RET-Global-7A" `
-RetentionDuration 2555 -RetentionAction Keep

Buenas prácticas

• Comienza con una política global y añade Record labels a series críticas (contratos, finanzas).
• Activa revisión de disposición y conserva proof of disposition (quién, cuándo, por qué).
• Evita “retener todo para siempre”: incrementa costes y riesgo.

eDiscovery (Premium) y Auditoría

eDiscovery ofrece tres niveles: Content Search, eDiscovery (Standard) y eDiscovery (Premium) con flujo de trabajo de extremo a extremo (preservar, recopilar, revisar, analizar y exportar). La experiencia clásica está retirada y el flujo moderno unifica casos, búsquedas y retenciones en Purview.

Flujo recomendado de un caso

1. Crear caso y asignar roles (Manager/Reviewer) con mínimo privilegio.
2. Identificar custodios (usuarios, sitios, equipos/canales de Teams, Viva Engage) y aplicar legal hold.
3. Recopilar con KQL; añade resultados a review sets.
4. Revisión y análisis: deduplicación, casi duplicados, themes, resaltado, etiquetas de revisión.
5. Exportar (PST, nativos, CSV) con cadena de custodia y hash.

Particularidades

• Teams: incluye chats, canales estándar/privados/compartidos; alinea con políticas de retención.
• Holds: se aplican a buzón primario y archivo; documenta excepciones.
• Non-custodial: sitios/ubicaciones no ligadas a un usuario concreto.

Consultas KQL útiles

# Correos con palabra clave y rango


subject:"contrato" AND sent>=2025-01-01 AND sent<=2025-09-30

Teams: mensajes que contienen IBAN

"IBAN" AND kind=im

Auditoría (Unified Audit Log)

• Standard: ~180 días de retención; actividades de usuario/admin habituales.
• Premium: eventos de alto valor (p. ej., MailItemsAccessed detallado), mayor retención y exportación continua.

PowerShell (búsquedas y auditoría)

Connect-IPPSSession

eDiscovery Standard: búsqueda rápida

New-ComplianceSearch -Name "BUSQ-Contratos" -ExchangeLocation All -ContentMatchQuery 'subject:"contrato"'
Start-ComplianceSearch -Identity "BUSQ-Contratos"
Get-ComplianceSearch -Identity "BUSQ-Contratos"

Auditoría: exportar últimos 7 días

Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) `
-Operations MailItemsAccessed, FileAccessed -ResultSize 5000 | Export-Csv .\audit-last7d.csv -NoType

Buenas prácticas

• Separa quién configura de quién revisa.
• Haz muestreos antes de recopilar a gran escala.
• Conserva pruebas de cadena de custodia (hash, quién exportó, cuándo y qué).

Insider Risk & Adaptive Protection

Insider Risk correlaciona señales (DLP, actividad de archivos, impresiones, uploads, accesos anómalos, descargas masivas) para detectar fuga de datos, robo de IP o incumplimientos de políticas. Adaptive Protection aplica dinámicamente controles más estrictos (p. ej., DLP) a usuarios con mayor riesgo.

Plantillas de políticas típicas

• Departing users: empleados con baja próxima y patrón de exfiltración (USB, nubes personales, correo externo).
• Data leaks: filtraciones a dominios externos o repositorios no permitidos.
• Policy violations: violaciones repetidas (bypass de controles, desactivar protección, borrar evidencias).

Despliegue seguro

1. Privacidad: activa seudonimización de usuarios para analistas; restringe desanonimización a roles autorizados.
2. Señales: integra DLP/Endpoint y orígenes (SPO/OD/Teams/Exchange); asegúrate de que Auditoría captura actividades clave.
3. Watchlists: listas de RR. HH./Legal para colectivos en observación (bajas, litigios, accesos privilegiados).
4. Adaptive Protection: mapea niveles de riesgo → políticas DLP progresivas (auditar → override → bloqueo total).
5. Casos: triage, investigación, documentación y cierre con acciones correctivas.

Métricas

• Alertas por mes y severidad.
• Tiempo medio de investigación y resolución.
• % de casos escalados a eDiscovery o acciones disciplinarias.

Information Barriers y Communication Compliance

Information Barriers (IB) restringe comunicación y colaboración entre segmentos (ej.: finanzas vs. ventas, M&A vs. resto). Afecta a chat, reuniones y acceso/colaboración a archivos. Communication Compliance supervisa comunicaciones para detectar lenguaje o conductas indebidas (acoso, amenazas, divulgación no autorizada) con flujos de revisión.

Information Barriers — pasos de despliegue

1. Segmentos: usa atributos de Entra ID (departamento, país, función) o grupos dinámicos.
2. Políticas allow/deny: define quién puede hablar con quién. Si necesitas medir impacto, empieza en “report only”.
3. Aplicación: activa políticas; valida en Teams (chat/reunión) y en SharePoint/OneDrive (acceso y búsqueda).
4. Operación: automatiza asignación de segmentos (altas/bajas de HR) y revisa excepciones (proyectos mixtos, auditores externos).

Communication Compliance — pasos

1. Roles y privacidad: separa autores de política y revisores; activa anonimización si procede.
2. Clasificadores: combina preentrenados (insultos, amenazas, PII) con entrenables de tu corpus.
3. Políticas: define ubicaciones (correo, Teams, Viva Engage, Copilot), umbrales, ventanas de muestreo y severidades.
4. Flujo: triage → revisión de contexto → remediación (aviso, formación, escalado a HR/Legal).

Controles y límites

• IB puede bloquear chat, reuniones y acceso/colaboración a archivos entre segmentos. Documenta excepciones por proyecto.
• Comm. Compliance no es vigilancia masiva: delimita políticas, transparencia y mínima retención compatible con tu regulación.

Gobierno de datos — Data Map, Unified Catalog y Fabric/OneLake

El plano de gobierno de Purview construye un mapa de datos con orígenes, clasificaciones y linaje, y un catálogo unificado para descubrir activos, solicitar acceso y estandarizar definiciones. La integración con Microsoft Fabric/OneLake aporta continuidad de gobierno desde los orígenes hasta el análisis.

Arquitectura y prerequisitos

• Cuenta de Purview (Azure) por inquilino/región.
• Identidad: Managed Identity para Azure; Self-Hosted Integration Runtime (SHIR) para on-prem y fuera de Azure.
• Red: private endpoints y reglas de proxy donde aplique; plan de aperturas con seguridad.
• Roles: Data Curator (glosario, dominios), Data Reader (consulta), Data Source Admin (registro/escaneos).

Registro de orígenes y escaneos

1. Registrar orígenes (ADLS Gen2, Azure SQL, Synapse, Power BI, SAP, SaaS, on-prem via SHIR…).
2. Reglas de escaneo: tipos de fichero, profundidad, patrones, periodicidad (incrementales si es posible).
3. Clasificación: habilita clasificadores de PII/finanzas/salud y clasificadores/EDM propios.
4. Linaje: integra con ADF/Synapse/Fabric para visualizar transformaciones end-to-end.

Glosario de negocio y dominios

• Glosario: términos con definiciones, sinónimos, ejemplos y responsables. Usa templates para series repetitivas (KPIs, métricas).
• Dominios: agrupa activos por área (Finanzas, Comercial, Operaciones) con propietarios claros y SLA de calidad.

Fabric/OneLake

• Gobierna elementos de Fabric (Lakehouses, Warehouses, Pipelines, Notebooks) y representa su linaje en Purview.
• OneLake: utiliza shortcuts para datos compartidos y refleja etiquetas/ACL coherentes; publica en el catálogo.

Coste, rendimiento y KPIs

• Escanea por rutas y con reglas específicas; evita full scans innecesarios.
• Programa ventanas fuera de pico y usa escaneo incremental.
• KPIs: % activos catalogados, % activos clasificados, tiempo de escaneo, búsquedas en catálogo, solicitudes de acceso atendidas.

1. Crear cuenta de Microsoft Purview (gobierno) en Azure (una por inquilino; ver quickstarts y Bicep si automatizas).
2. Registrar orígenes (Azure Blob/ADLS, Azure SQL, etc.), definir autenticación (Managed Identity/Account Key) y escaneos periódicos.
3. Usa Unified Catalog y clasificación automática; integra con Microsoft Fabric/OneLake vía el portal.
4. Buenas prácticas: checklist de preparación de fuentes a escala y scan rulesets coherentes.

CLI/PowerShell (gobierno)

# Azure CLI: extensión Purview y creación de cuenta


az extension add --name purview
az purview account create
--name  --resource-group  --location  --sku Standard

Listar cuentas

az purview account list -o table

# Az.Purview (PowerShell)
Install-Module Az.Purview -Scope CurrentUser

Listar orígenes registrados (endpoint de tu cuenta)

Get-AzPurviewDataSource -Endpoint "https://.purview.azure.com/"

Automatización — PowerShell, Azure CLI y API

Automatiza para lograr consistencia, idempotencia y trazabilidad. Estructura repositorios con módulos y parámetros por entorno (dev/pre/prod) y pipelines con aprobaciones.

Conectar a Security & Compliance PowerShell

Install-Module ExchangeOnlineManagement -Scope CurrentUser


Import-Module ExchangeOnlineManagement
Connect-IPPSSession # Soporta MFA, REST

Azure CLI / Az.* (gobierno)

# Ver cuentas y fuentes en gobierno


az purview account list -o table

# Ejemplo con Az.Purview (gobierno)
Install-Module Az.Purview -Scope CurrentUser
Get-AzPurviewDataSource -Endpoint "https://.purview.azure.com/"

Etiquetas (crear/publicar)

Connect-IPPSSession


New-Label -Name "Interno" -EncryptionEnabled $false -ContentMarkingFooterEnabled $true
New-Label -Name "Secreto" -EncryptionEnabled $true
New-LabelPolicy -Name "LP-Global" -Labels "Interno","Secreto" `
-ExchangeLocation All -SharePointLocation All -OneDriveLocation All -ModernGroupLocation All

DLP (política + regla)

Connect-IPPSSession


New-DlpCompliancePolicy -Name "DLP-Global" -Mode TestWithoutNotifications -ExchangeLocation All -SharePointLocation All -OneDriveLocation All -TeamsLocation All New-DlpComplianceRule -Name "Bloqueo-PII" -Policy "DLP-Global"
-ContentContainsSensitiveInformation @{Name="Spain DNI"; MinCount="1"} -BlockAccess $true

Retención/Records

Connect-IPPSSession


New-ComplianceTag -Name "REG-10A" -RetentionAction Keep -RetentionDuration 3650 -RecordLabelSettings "Locked"
New-RetentionCompliancePolicy -Name "RET-Global-10A" -ExchangeLocation All -SharePointLocation All -OneDriveLocation All
New-RetentionComplianceRule -Name "RET-Rule-10A" -Policy "RET-Global-10A" -RetentionDuration 3650 -RetentionAction Keep

eDiscovery y Auditoría

Connect-IPPSSession


New-ComplianceSearch -Name "BUSQ-Contrato" -ExchangeLocation All -ContentMatchQuery 'subject:"contrato"'
Start-ComplianceSearch -Identity "BUSQ-Contrato"
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) `
-Operations MailItemsAccessed, FileAccessed -ResultSize 5000 | Export-Csv .\audit.csv -NoType

Gobierno (Azure CLI)

# Añadir administrador de la colección raíz


az purview account add-root-collection-admin --name  --object-id 

Graph API — ejemplos

# Asignar etiqueta de sensibilidad a un archivo


POST https://graph.microsoft.com/v1.0/drives/{driveId}/items/{itemId}/assignSensitivityLabel

Authorization: Bearer 
Content-Type: application/json
{
"assignmentMethod": "standard",
"justificationText": "Aplicación desde automatización",
"labelId": "{guid-etiqueta}"
}

# (Ejemplo) Listar etiquetas de sensibilidad
GET https://graph.microsoft.com/v1.0/security/informationProtection/sensitivityLabels

Authorization: Bearer 

CI/CD (Azure DevOps) — patrón mínimo

# .azure-pipelines.yml


trigger: none
pool: { vmImage: 'windows-latest' }
steps:

task: PowerShell@2
displayName: 'Configurar Purview (etiquetas/DLP)'
inputs:
targetType: 'inline'
script: |
Install-Module ExchangeOnlineManagement -Scope CurrentUser -Force
Import-Module ExchangeOnlineManagement
Connect-IPPSSession
# Ejecuta aquí los cmdlets New-Label/New-LabelPolicy/New-DlpCompliancePolicy...

Versionado y rollback

• Usa archivos de parámetros por entorno (dev/pre/prod).
• Versiona cambios (vYYYY.MM.DD) y genera artefactos (CSV/JSON) con el estado publicado.
• Prepara scripts de reversión (poner en Test o deshabilitar políticas) y documéntalos junto a los de despliegue.

Mejores prácticas — 80/20 que funcionan

• Empieza en simulación (DLP/autoetiquetado) y mide con Activity explorer; después impón con excepciones controladas.
• Admin units para delegar sin perder control (DLP/retención).
• Auditoría activada desde el día 0 (y revisa si necesitas Audit Premium).
• Insider Risk + Adaptive Protection para responder dinámicamente al riesgo del usuario.
• Data Map: ejecuta el readiness checklist y homogeneiza autenticación/red antes de los escaneos.

Errores comunes y cómo evitarlos

• Publicar todas las etiquetas a todos: mejor publicar por grupos/roles y formar a usuarios clave.
• Olvidar Copilot en DLP: añade explícitamente el location Copilot.
• Habilitar IB sin plan de segmentos: define Organization Segments y aplica políticas en estado Active de forma escalonada.
• Escanear sin preparar permisos/red: usa el readiness checklist para evitar falsos fallos.

Preguntas frecuentes — configuración de Purview

Enlaces oficiales de Microsoft — documentación y portales

• Introducción al portal de Microsoft Purview
• Soluciones de riesgo y cumplimiento
• Novedades y navegación del portal
• Purview: descripción de servicio y licenciamiento
• Etiquetas de sensibilidad: ámbitos y configuración
• Connect-IPPSSession (PowerShell)
• Cmdlets de DLP (New-DlpCompliancePolicy/Rule)
• Endpoint DLP: primeros pasos
• Crear políticas de retención
• eDiscovery en Microsoft Purview
• Auditoría: introducción y requisitos
• Adaptive Protection
• Information Barriers
• Communication Compliance
• Data Map: registrar y escanear orígenes
• Azure CLI (extensión Purview)

Conclusión orientada a negocio — Purview como palanca de control y productividad

Configurar Microsoft Purview con un enfoque por fases y guardrails claros permite reducir riesgo regulatorio, exfiltración y costes por pérdida de datos, a la vez que aumenta la productividad gracias a clasificaciones consistentes y gobierno real de la información. Con Purview, seguridad, cumplimiento y datos hablan el mismo idioma.