GCC High existe para que manejes Controlled Unclassified Information en un entorno soberano y validado FIPS. Eso solo rinde si de verdad marcas el CUI, evitas que se filtre y demuestras la criptografía detrás. Este trabajo vive en Microsoft Purview y en el SharePoint admin center.
Crea etiquetas de sensibilidad para el CUI (3.8.1, 3.8.2)
NIST 800-171 3.8.1 y 3.8.2 exigen marcar y proteger el CUI. Bajo Information Protection y luego Labels, crea una etiqueta CUI que aplique marcas de encabezado y pie y cifrado, luego publica una política de etiquetas a tus usuarios y fija una etiqueta por defecto para las cargas de trabajo que llevan CUI.
Agrega políticas DLP para detener la exfiltración (3.1.3)
Data Loss Prevention aplica el 3.1.3, controlar el flujo de CUI, atrapando el uso compartido riesgoso antes de que ocurra. Bajo Data Loss Prevention, crea una política con alcance a la etiqueta CUI que bloquee o advierta al compartir con destinatarios externos en Exchange, SharePoint, OneDrive y Teams.
Confirma el cifrado validado FIPS (3.13.8, 3.13.11)
NIST 800-171 3.13.8 y 3.13.11 exigen criptografía validada FIPS en tránsito y en reposo, una razón central por la que existe GCC High. Confirma que TLS 1.2 o superior está forzado y que el TLS heredado está deshabilitado, verifica que el cifrado de servicio en reposo está activo, y documenta que GCC High provee módulos validados FIPS 140.
Cierra el uso compartido externo (3.1.3, 3.13.1)
El uso compartido abierto por defecto filtra CUI. En el SharePoint y OneDrive admin center, pon el uso compartido externo en Existing guests o Only people in your organization, y deshabilita los enlaces anónimos Anyone en todo el tenant.
Una nota sobre qué significa "hecho"
Configurar estos ajustes endurece tu tenant de Microsoft 365 GCC High al baseline técnico de NIST 800-171. No es una certificación CMMC. Un C3PAO evalúa tu System Security Plan documentado, no tu tenant directamente, así que la configuración de arriba solo cuenta cuando queda escrita con evidencia. Nuestro GCC High Setup Autopilot gratis te lleva por cada paso en orden y entrega el resultado a tu conjunto de controles cuando pasas a Readyline Pro.
