Microsoft Purview: Gobernanza IA Completa para 2026
· AI Governance · 17 min de lectura
By Juan Pedro Márquez
He visto el mismo patrón en cada proyecto de Copilot que arranca con entusiasmo y frena en seco tres meses después. El equipo de IT activa Microsoft 365 Copilot, los primeros usuarios lo prueban, alguien pregunta "¿puede Copilot ver los salarios?" y nadie sabe responder con certeza. Ahí es cuando llaman.
La respuesta técnicamente correcta es: Copilot ve lo que el usuario tiene permiso para ver. El problema es que en la mayoría de las organizaciones, los permisos de SharePoint son un desastre acumulado durante años. Sitios con "Everyone" como miembro. Carpetas heredando permisos que nadie recuerda haber configurado. Documentos confidenciales sin etiquetar que llevan cinco años accesibles para toda la empresa porque nadie notó que eran accesibles.
La IA no crea este problema. Lo hace visible. Y lo hace visible a velocidad de máquina.
Antes de que desplegara Copilot con un cliente en el sector financiero en Madrid, pasamos seis semanas haciendo exactamente lo que describo en este artículo: inventario de datos con Purview Data Map, taxonomía de etiquetas de sensibilidad, revisión de permisos en SharePoint y configuración de políticas DLP para interacciones de IA. Fue trabajo tedioso. Fue el trabajo que hizo posible el despliegue sin incidentes.
Este artículo es la guía práctica que ojalá hubiera tenido disponible entonces.
Microsoft Purview es la plataforma que Microsoft ha construido para abordar la gobernanza de datos en la era de la IA. No voy a recorrerte las características — voy a explicarte cómo usarla como base arquitectónica para el despliegue responsable de IA en la empresa.
Antes de empezar

Antes de configurar una sola etiqueta de sensibilidad o política DLP, tienes que tener esto claro:
- [ ] Tienes acceso de administrador a Microsoft Purview y has confirmado las licencias disponibles en tu tenant (muchas capacidades avanzadas requieren E3 o E5)
- [ ] Has identificado los cinco o diez sitios de SharePoint con mayor volumen de contenido sensible — estos son tu punto de partida, no el inventario completo
- [ ] Tienes una persona de negocio (no solo IT) responsable de aprobar la taxonomía de etiquetas de sensibilidad — el negocio debe ser dueño de cómo se clasifica su información
- [ ] El registro de auditoría de Microsoft 365 está habilitado y has verificado que captura interacciones de Copilot
- [ ] Tienes un entorno no productivo donde probar configuraciones de etiquetas antes de publicarlas ampliamente
- [ ] Has comunicado a los empleados que sus interacciones con Copilot pueden ser registradas y revisadas con fines de cumplimiento — esto no es opcional bajo GDPR
- [ ] Has revisado los procesos de retención por litigio existentes para determinar si necesitan actualizarse para incluir los registros de interacción de Copilot
Si más de dos de estas casillas están vacías, empezar por la configuración técnica es el orden equivocado. La gobernanza de datos es trabajo de personas antes de ser trabajo de herramientas.
Preguntas que debes hacerte (y hacerle a tu equipo)

¿Si Copilot pudiera responder cualquier pregunta que un empleado le haga sobre datos internos, ¿qué respuesta sería inaceptable?
Esta pregunta concreta es más útil que hablar de "riesgos abstractos". Obliga al negocio a identificar los datos que realmente importa proteger, no una lista genérica.
¿Cuántos sitios de SharePoint tienen "Everyone" o "All Company" como miembro, y nadie sabe por qué?
En el 90% de los proyectos con los que trabajo, la respuesta es "más de los que pensábamos". Esto no es culpa de nadie — es la acumulación natural de años de trabajo colaborativo sin política de permisos. La IA simplemente hace que importe más.
¿Tenemos capacidad para revisar manualmente alertas de riesgo interno si Purview las genera?
Configurar Insider Risk Management sin equipo para revisar las alertas es peor que no configurarlo. Las alertas sin respuesta crean falsa seguridad y posible responsabilidad legal si luego hay un incidente.
¿Qué datos de nuestra organización están sujetos a obligaciones de retención o restricciones legales, y sabemos dónde están?
Muchas organizaciones tienen políticas de retención en papel que no se corresponden con dónde viven realmente los datos. El Data Map de Purview te ayuda a cerrar esa brecha — pero alguien tiene que revisar los resultados.
¿Estamos preparados para que eDiscovery solicite las interacciones de Copilot de un empleado en un procedimiento legal?
Porque ese escenario ya es posible hoy. Los prompts y respuestas de Copilot son registros descubribles. Si no tienes un proceso para producirlos, es mejor saberlo ahora.
¿Cuál es nuestro nivel de madurez de gobernanza de datos hoy, y cuál necesita ser antes de desplegar Copilot ampliamente?
La honestidad aquí vale más que el entusiasmo. Un despliegue de Copilot con gobernanza de Nivel 1 es un riesgo que la mayoría de las organizaciones no quieren asumir cuando lo ven articulado en estos términos.
Visión General de Microsoft Purview: Más Que una Herramienta de Cumplimiento

Muchas organizaciones todavía piensan en Microsoft Purview principalmente como una herramienta de cumplimiento y auditoría. Ese enfoque era incompleto antes de la era de la IA. Hoy es activamente peligroso.
Microsoft Purview es una plataforma unificada de gobernanza de datos, riesgo y cumplimiento que abarca todo tu patrimonio de datos: Microsoft 365, Azure, fuentes locales y entornos de terceros. Proporciona capacidades en cuatro dominios principales:
- Gobernanza de Datos — Data Map, Catálogo de Datos, Data Estates Insights
- Protección de la Información — Etiquetas de sensibilidad, cifrado, políticas DLP
- Riesgo y Cumplimiento — Gestión de Riesgos Internos, Cumplimiento de Comunicaciones, eDiscovery
- Seguridad IA — Purview AI Hub para Copilot y otras cargas de trabajo de IA
Lo que hace a Purview arquitectónicamente importante para la IA es la profundidad de integración. Las etiquetas de sensibilidad aplicadas en Purview fluyen directamente hacia cómo Microsoft 365 Copilot procesa y presenta el contenido. Las políticas DLP configuradas en Purview impiden activamente que Copilot incluya contenido restringido en sus respuestas. Los registros de auditoría capturados por Purview registran cada interacción de Copilot con fines de cumplimiento y análisis forense.
Nota: Microsoft Purview requiere licenciamiento apropiado. Muchas capacidades avanzadas requieren licencias de Microsoft 365 E3 o E5, y algunas funciones requieren E5 o el complemento de Cumplimiento de Microsoft 365 E5. Valida siempre los requisitos de licenciamiento antes de diseñar tu arquitectura de gobernanza.
Purview AI Hub: Visibilidad Sobre Tu Actividad de Copilot

El Microsoft Purview AI Hub es el centro operativo para la gobernanza de IA. Proporciona visibilidad específicamente sobre cómo la IA — Copilot para Microsoft 365, agentes de Copilot Studio y aplicaciones de IA de terceros — interactúa con los datos de tu organización.
El AI Hub presenta varias categorías de información:
Explorador de Actividades para IA muestra qué usuarios están interactuando con herramientas de IA, qué etiquetas de sensibilidad estaban presentes en el contenido referenciado en esas interacciones, y si se activaron políticas DLP.
Datos sensibles en prompts y respuestas de IA — Purview puede detectar cuándo los usuarios envían datos sensibles (números de tarjetas de crédito, números de pasaporte, datos de salud) en prompts de IA. He visto organizaciones descubrir este comportamiento por primera vez en el AI Hub — no porque los empleados tuvieran mala intención, sino porque era lo más natural para resolver su tarea.
Descubrimiento de aplicaciones de IA proporciona una vista de qué aplicaciones de IA se están utilizando en tu organización, incluyendo herramientas de IA no autorizadas que los empleados pueden estar usando fuera de entornos gestionados.
Mi recomendación: antes de expandir el licenciamiento de Copilot a una población de usuarios amplia, dedica tiempo al AI Hub con un grupo piloto. Entiende la línea base. Casi con certeza encontrarás brechas en etiquetas de sensibilidad, sitios de SharePoint con permisos excesivos y comportamientos de usuario que tus políticas necesitan abordar.
Data Map y Catálogo de Datos para la Preparación de IA

Antes de poder gobernar los datos para IA, necesitas saber qué datos tienes.
El Microsoft Purview Data Map es un inventario automatizado y vivo de tu patrimonio de datos. Utiliza escaneo y clasificación para descubrir fuentes de datos, identificar tipos de datos sensibles y construir un catálogo de activos con su linaje, propiedad y clasificación.
Para la preparación de IA, esto importa de dos maneras:
Primero, el Data Map te dice qué datos sensibles existen y dónde. Antes de que Copilot tenga acceso a un sitio de SharePoint, deberías saber si ese sitio contiene contenido clasificado como confidencial o sujeto a requisitos de retención específicos.
Segundo, el Catálogo de Datos permite a los administradores de datos documentar el significado de negocio, la propiedad y el uso apropiado de los activos de datos. Para las cargas de trabajo de IA, esto se vuelve importante al decidir qué fuentes de datos son apropiadas para la fundamentación — el patrón RAG que Copilot utiliza para responder preguntas a partir del conocimiento organizacional.
Nota: Al incorporar fuentes de datos al Purview Data Map, comienza con tus entornos de mayor riesgo primero — SharePoint Online, Exchange Online y cualquier cuenta de Azure Data Lake Storage. Estos tienden a contener la mayor variedad de datos sensibles y son típicamente las primeras fuentes a las que accederán las cargas de trabajo de IA.
Etiquetas de Sensibilidad: La Primera Línea de Defensa para la IA
Las etiquetas de sensibilidad son la piedra angular de la protección de la información para las cargas de trabajo de IA. Una etiqueta de sensibilidad es una etiqueta de clasificación — aplicada a un documento, correo electrónico, reunión de Teams o sitio de SharePoint — que lleva consigo la aplicación de políticas. Las etiquetas pueden imponer cifrado, marcas de agua y restricciones de acceso que persisten con el contenido independientemente de dónde se mueva.
Para la IA, las etiquetas de sensibilidad cumplen una función específica y crítica: le dicen a Microsoft 365 Copilot qué puede y qué no puede hacer con el contenido. Copilot respeta los permisos de las etiquetas de sensibilidad. Si un documento está etiquetado como Confidencial y cifrado para permitir acceso solo a miembros de un grupo específico, Copilot no mostrará el contenido de ese documento a usuarios fuera de ese grupo.
Una taxonomía de etiquetas bien diseñada para la preparación de IA:
| Etiqueta | Descripción | Comportamiento de IA |
|---|---|---|
| Público | Contenido aprobado para compartir externamente | Copilot puede referenciar y resumir libremente |
| Interno | Uso interno general | Copilot referencia según permisos del usuario |
| Confidencial | Sensible para el negocio, distribución limitada | Copilot referencia solo con membresía de grupo |
| Altamente Confidencial | Restringido, a menudo cifrado | Copilot bloqueado de resumir/extraer |
| Regulado | Sujeto a obligaciones legales/de cumplimiento | Copilot sujeto a aplicación de política DLP |
La configuración de cifrado en las etiquetas Confidencial y Altamente Confidencial es lo que crea los límites de aplicación firmes para la IA. Las etiquetas sin cifrado son consultivas; las etiquetas con cifrado son controles técnicos.
Implementando la Protección de la Información para Copilot
# Conectar a PowerShell de Seguridad y Cumplimiento
Connect-IPPSSession -UserPrincipalName [email protected]
# Crear la etiqueta de sensibilidad Confidencial con restricciones de IA
New-Label `
-Name "Confidencial_IA_Restringido" `
-DisplayName "Confidencial - IA Restringido" `
-Tooltip "Aplicar a contenido que no debe ser resumido ni extraído por herramientas de IA." `
-EncryptionEnabled $true `
-EncryptionProtectionType UserDefined `
-SiteAndGroupProtectionEnabled $true `
-SiteAndGroupProtectionPrivacy Private
# Crear una política de etiquetas dirigida a tu población de usuarios de Copilot
New-LabelPolicy `
-Name "Politica_Gobernanza_Copilot" `
-Labels "Confidencial_IA_Restringido", "Altamente_Confidencial" `
-ExchangeLocation All `
-SharePointLocation All `
-ModernGroupLocation All `
-Comment "Política de etiquetas de sensibilidad para gobernanza IA - despliegue Copilot"
# Verificar que la etiqueta está publicada
Get-LabelPolicy -Identity "Politica_Gobernanza_Copilot" |
Select-Object Name, Labels, ExchangeLocation, SharePointLocation
# Aplicar etiqueta por defecto a un sitio SharePoint sensible
Set-SPOSite `
-Identity "https://tutenant.sharepoint.com/sites/ProyectosConfidenciales" `
-SensitivityLabel "Confidencial_IA_Restringido"
Nota: El parámetro
EncryptionProtectionTypecontrola qué ocurre con el cifrado existente cuando se aplica una etiqueta. Prueba las configuraciones de etiquetas en un tenant no productivo antes de publicar ampliamente.
Más allá de la creación de etiquetas, configura políticas de Prevención de Pérdida de Datos (DLP) que aborden específicamente las interacciones de IA. Purview DLP ahora soporta Copilot como endpoint — puedes escribir políticas que detecten cuándo tipos de información sensible aparecen en prompts o respuestas de Copilot y bloquear la interacción o generar alertas para revisión.
Gestión de Riesgos Internos para Interacciones con IA
La Gestión de Riesgos Internos de Microsoft Purview está diseñada para detectar patrones anómalos de comportamiento que pueden indicar amenazas internas. Con la IA ha ganado una relevancia que antes no tenía.
La IA amplifica el riesgo interno. Un empleado que anteriormente podía exfiltrar datos sensibles copiando archivos a una unidad USB ahora tiene una interfaz conversacional que puede extraer, resumir y reempaquetar información sensible rápidamente.
La Gestión de Riesgos Internos para escenarios de Copilot se centra en:
Actividades secuenciales — Un usuario que busca documentos sensibles usando Copilot, descarga los documentos y luego envía un resumen externamente por correo electrónico representa una secuencia de varios pasos que la Gestión de Riesgos Internos puede detectar como un patrón correlacionado.
Exfiltración acumulativa — Usuarios enviando grandes volúmenes de contenido generado por IA a destinatarios externos, especialmente cuando ese contenido referencia documentos internos con etiquetas de sensibilidad elevadas.
Violaciones de contenido prioritario — Las interacciones con contenido designado como contenido prioritario pueden tener mayor peso en la puntuación de riesgo.
Configura políticas de Gestión de Riesgos Internos que incluyan la actividad de Copilot en alcance desde el primer día de tu despliegue de IA. Hacerlo de forma reactiva, después de un incidente, es siempre más caro que haberlo configurado antes.
Cumplimiento de Comunicaciones en la Era Copilot

El Cumplimiento de Comunicaciones de Microsoft Purview proporciona capacidades de supervisión para las comunicaciones organizacionales — detectando violaciones de políticas, incumplimiento regulatorio y contenido inapropiado a través de correo electrónico, Teams e interacciones de Copilot.
Para industrias reguladas — servicios financieros, salud, gobierno — el cumplimiento de comunicaciones no es opcional. A medida que los empleados usan Copilot para redactar comunicaciones, generar análisis y resumir información regulada, esas interacciones se convierten en parte del registro de cumplimiento.
Las políticas de Cumplimiento de Comunicaciones para escenarios de IA abordan:
- Detección de lenguaje regulatorio — Políticas que detectan prompts o contenido generado por Copilot que hacen referencia a obligaciones regulatorias
- Escenarios de conflicto de interés — En servicios financieros, interacciones de Copilot que referencian tanto información del equipo de operaciones como actividad de trading
- Contenido inapropiado — Contenido generado por Copilot que viola las políticas organizacionales
Nota: El Cumplimiento de Comunicaciones crea registros revisables de las comunicaciones supervisadas, incluyendo prompts y respuestas de Copilot. Asegúrate de que los empleados sean informados a través de políticas claras de uso aceptable antes de desplegar la supervisión.
eDiscovery e IA: Lo Que Necesitas Saber

Microsoft Purview eDiscovery es cómo las organizaciones recopilan, preservan y producen información almacenada electrónicamente en respuesta a procedimientos legales. La IA cambia el panorama de eDiscovery de dos maneras importantes.
Primero, las interacciones de Copilot son en sí mismas registros descubribles. Cada prompt que un usuario envía a Microsoft 365 Copilot y cada respuesta que Copilot devuelve se registra en el registro de auditoría de Microsoft 365. Cuando se aplica una retención por litigio a los datos de un custodio, sus interacciones con Copilot están en el alcance.
Segundo, el propio eDiscovery se beneficia de la IA. Las capacidades de búsqueda de contenido y revisión en Purview eDiscovery Premium ahora incluyen revisión de documentos asistida por IA y búsqueda semántica que reducen drásticamente la carga de revisión manual.
Asegúrate de que:
- El registro de auditoría está habilitado para las interacciones de Copilot
- Los procesos de retención por litigio se revisan para incluir las interacciones de Copilot en Teams
- Tu equipo de eDiscovery entiende los nuevos tipos de datos y cómo consultarlos
Construyendo un Modelo de Madurez de Gobernanza de Datos
| Nivel | Nombre | Descripción | Preparación para IA |
|---|---|---|---|
| 1 | Ad Hoc | Sin políticas formales, etiquetas ni catálogo. Acceso a datos no controlado. | No preparado. El despliegue de IA crea riesgo significativo de exposición de datos. |
| 2 | En Desarrollo | Existen políticas iniciales. Algunas etiquetas de sensibilidad desplegadas. Cobertura de escaneo limitada. | Mínimamente preparado para un piloto de IA estrechamente acotado con monitorización intensiva. |
| 3 | Definido | Marco de gobernanza formal. Etiquetas obligatorias para contenido nuevo. Políticas DLP activas. | Preparado para un despliegue controlado de Copilot con equipo de gobernanza activo monitorizando. |
| 4 | Gestionado | Gobernanza orientada a métricas. Clasificación automatizada. AI Hub integrado en operaciones. | Preparado para despliegue amplio de Copilot. La IA se gobierna como una carga de trabajo estándar. |
| 5 | Optimizado | Gobernanza proactiva y adaptativa. Mejora continua impulsada por las perspectivas del AI Hub. | Preparado para cargas de trabajo de IA avanzadas incluyendo agentes personalizados y modelos ajustados. |
La mayoría de las empresas que comienzan un despliegue de Copilot se sitúan en el Nivel 1 o 2. El objetivo realista antes del despliegue amplio de IA es el Nivel 3. Llegar al Nivel 4 es un trabajo de 12 a 18 meses para la mayoría de las organizaciones — y vale cada mes invertido.
Tu checklist de implementación
Planificación
- [ ] Licencias de Microsoft Purview verificadas (E3/E5 según las capacidades necesarias)
- [ ] Inventario inicial de las cinco o diez fuentes de datos de mayor riesgo completado
- [ ] Responsable de negocio identificado para aprobar y mantener la taxonomía de etiquetas
- [ ] Política de uso aceptable de IA publicada y comunicada a empleados
- [ ] Nivel de madurez de gobernanza actual evaluado y objetivo definido antes del despliegue amplio
- [ ] Procesos de retención por litigio revisados para incluir interacciones de Copilot
Implementación
- [ ] Registro de auditoría habilitado y verificado para todas las cargas de trabajo de Microsoft 365
- [ ] Taxonomía de etiquetas de sensibilidad publicada (mínimo: Público / Interno / Confidencial / Altamente Confidencial)
- [ ] Cifrado configurado en los dos niveles superiores de la taxonomía
- [ ] Escaneo de Data Map ejecutado en SharePoint Online y Exchange Online
- [ ] Políticas DLP configuradas con Copilot como endpoint incluido
- [ ] Etiquetado automático configurado para los tipos de información sensible más frecuentes
Pruebas
- [ ] Prueba de etiquetas en tenant no productivo antes de publicación amplia completada
- [ ] Verificación de que Copilot respeta etiquetas con cifrado (prueba manual con cuenta de prueba)
- [ ] Revisión de sitios de SharePoint con permisos excesivos completada para los más críticos
- [ ] AI Hub revisado con grupo piloto para detectar comportamientos de usuario no anticipados
- [ ] Proceso de retención por litigio probado con registros de interacción de Copilot
Despliegue
- [ ] Políticas de Gestión de Riesgos Internos activadas incluyendo señales de IA desde el día uno
- [ ] Equipo responsable de revisar alertas de riesgo interno asignado y con capacidad real
- [ ] Supervisión de Cumplimiento de Comunicaciones configurada para casos de uso regulados
- [ ] Calendario de revisión de métricas de cobertura de etiquetas establecido (mínimo mensual)
- [ ] Comunicación a empleados sobre registro de interacciones enviada antes de activar supervisión
Nota: La gobernanza no es un proyecto con una fecha de finalización — es una disciplina operativa. Las inversiones realizadas en Microsoft Purview ahora se componen con el tiempo. Cada etiqueta de sensibilidad aplicada hoy protege no solo las consultas de IA de hoy sino cada capacidad de IA futura que despliegues.
Para preguntas sobre estrategia de gobernanza IA empresarial o implementación de Microsoft Purview, escríbeme a [email protected].
Preguntas frecuentes
¿Puede Microsoft 365 Copilot ver datos confidenciales como los salarios?
Copilot solo accede a lo que el usuario ya tiene permiso para ver. El problema real no es Copilot: son los permisos heredados de SharePoint acumulados durante años — sitios con "Everyone" como miembro, carpetas mal configuradas. La IA no crea ese riesgo, lo hace visible a velocidad de máquina. Por eso la revisión de permisos y el etiquetado de sensibilidad van antes del despliegue, no después.
¿Qué licencia de Microsoft Purview necesito para gobernar Copilot?
Depende de las capacidades. El etiquetado básico de sensibilidad y muchas funciones requieren Microsoft 365 E3; las capacidades avanzadas —Gestión de Riesgos Internos, Cumplimiento de Comunicaciones, eDiscovery Premium y partes del AI Hub— requieren E5 o el complemento de Cumplimiento E5. Valida siempre el licenciamiento de tu tenant antes de diseñar la arquitectura.
¿Son descubribles las interacciones con Copilot en un procedimiento legal (eDiscovery)?
Sí. Cada prompt y cada respuesta de Copilot se registra en el registro de auditoría de Microsoft 365 y entra en el alcance de una retención por litigio sobre ese custodio. Antes de desplegar Copilot ampliamente, habilita el registro de auditoría y revisa tus procesos de retención para incluir estas interacciones.
¿Qué nivel de madurez de gobernanza necesito antes de desplegar Copilot?
El objetivo realista antes de un despliegue amplio es el Nivel 3 (Definido): marco de gobernanza formal, etiquetas obligatorias para contenido nuevo y políticas DLP activas. La mayoría de las organizaciones parten del Nivel 1 o 2. Un piloto acotado es posible en Nivel 2, pero solo con monitorización intensiva a través del AI Hub.
Recursos
- Documentación general de Microsoft Purview
- Microsoft Purview AI Hub
- Etiquetas de sensibilidad en Microsoft Purview
- Prevención de Pérdida de Datos en Microsoft Purview
- Microsoft Purview Data Map
- Catálogo de Datos y glosario de negocio
- Gestión de Riesgos Internos de Microsoft Purview
- Cumplimiento de Comunicaciones de Microsoft Purview
- Visión general de eDiscovery de Microsoft Purview
- Introducción a las etiquetas de sensibilidad
- Configurar etiquetas de sensibilidad para Microsoft 365 Copilot
📋 Descarga gratuita: El Playbook de Gobernanza IA de Microsoft
Todo lo que cubre este artículo — el framework de 3 capas, la matriz de decisión, las 20 preguntas de madurez y los 5 modos de fallo más comunes en EMEA — está resumido en un único PDF para Directores de TI y CIOs.
_(Descarga el PDF gratis rellenando el formulario más abajo.)_
¿Listo para diseñar tu hoja de ruta de gobernanza específica? Hablamos →