Sensitivity Labels (MIP)

Etiquetas que viajan con el dato

Las sensitivity labels (etiquetas de confidencialidad) son una característica de Microsoft Purview Information Protection (antes Microsoft Information Protection / MIP). Permiten clasificar contenido por su nivel de sensibilidad y, opcionalmente, aplicar protecciones técnicas (cifrado, marcas de agua, restricciones de copia).

Lo que las hace especiales en Power BI: la etiqueta acompaña al dato cuando se exporta. Si exportas un dataset con etiqueta "Confidencial" a Excel, el archivo Excel hereda la etiqueta y sus protecciones.

Ejemplo típico de jerarquía de etiquetas:

Antes de empezar comprueba que tienes

• Licencia Microsoft 365 E3/E5 (o equivalente) para crear y publicar etiquetas desde Purview
• Power BI Pro o PPU para aplicar etiquetas en el Service
• El admin de tenant debe haber activado las sensitivity labels en Power BI: Admin portal → Information protection → "Allow users to apply sensitivity labels for content"
• Las etiquetas deben estar publicadas con un policy en Purview que incluya a los usuarios de Power BI

Dónde aparece el selector

Una vez activadas, el selector de etiqueta aparece en:

• Power BI Desktop: barra superior → desplegable de sensitivity
• Power BI Service: en datasets, informes, dashboards, dataflows, lakehouses... cada artefacto tiene su etiqueta
• Workspace settings: ver/filtrar etiquetas de todos los artefactos
• API REST y PowerShell: aplicación programática

La etiqueta se aplica por artefacto, no por workspace.

Las etiquetas se propagan en cadena

Power BI propaga etiquetas automáticamente en dos direcciones:

Desde el origen → al dataset

Si conectas Power BI a un origen que ya tiene una etiqueta MIP (un archivo Excel, una tabla en Azure SQL etiquetada, etc.), el dataset hereda la etiqueta más restrictiva detectada.

Del dataset → al informe → al export

Un informe hereda la etiqueta del dataset que consume. Si exportas a PDF, Excel o PowerPoint, el archivo resultante también la hereda. Es la cadena de custodia del dato.

Cuándo la herencia se rompe

• Cuando alguien con permisos aplica una etiqueta manualmente sobre la automática
• Cuando el admin ha configurado etiquetas como "obligatorias" en lugar de "heredables"
• Cuando el origen no soporta etiquetas MIP (la mayoría de orígenes no Microsoft)

Más allá de pintar una etiqueta

Una etiqueta puede ser solo informativa o aplicar protección real via Azure Rights Management (RMS). Cuando un usuario exporta un informe etiquetado con protección RMS a Excel/PDF:

• El archivo se cifra y solo lo abren los usuarios autorizados
• Pueden bloquearse acciones como copiar/pegar, imprimir o reenviar
• Las marcas de agua y los pies de página confidenciales se incrustan automáticamente
• El acceso puede revocarse después de la distribución

Esto es lo que diferencia las sensitivity labels de un "tag" decorativo: protegen el dato fuera de Power BI.

Etiquetar centenares de artefactos sin morir en el intento

• Default labels by workspace: el admin puede definir una etiqueta por defecto para los nuevos artefactos en un workspace
• API REST de Power BI: hay endpoints para listar y modificar etiquetas masivamente (InformationProtection APIs)
• PowerShell + módulo MicrosoftPowerBIMgmt: el patrón típico para "etiqueta inicial" en migraciones
• Purview compliance portal: permite escanear y reportar contenido sin etiquetar

Workflow recomendado en una migración

1. Definir y publicar 3–4 etiquetas en Purview
2. Activar mandatory labels en Power BI desde el admin portal
3. Aplicar etiqueta "Internal" por defecto a todos los workspaces existentes con script
4. Comunicar a los autores cómo cambiarla al subir contenido más sensible
5. Auditar mensualmente artefactos con etiqueta default que deberían estar más restringidos