Si trabajas con invitados o usuarios federados, grabar una reunión de Teams es apenas el primer paso: lo crítico es controlar quién podrá verla después. Una gestión rigurosa de permisos evita filtraciones y mantiene la confianza de clientes, socios y tu propio equipo.
Por qué es importante controlar el acceso
Las grabaciones pueden contener información estratégica, datos personales o material sujeto a confidencialidad. Un enlace expuesto en el chat o un permiso automáticos mal entendido basta para que el vídeo termine fuera de tu organización. Además, la normativa (RGPD, ISO 27001, SOC 2, etc.) exige evidencias de control de acceso y políticas de retención claras.
Dónde se almacena la grabación
Reunión ad‑hoc
Cuando la reunión se crea en el calendario de Outlook o desde «Reunirse ahora», el archivo .mp4 se guarda en la carpeta Recordings del OneDrive del organizador (/Mis archivos/Grabaciones en la interfaz en español). El vínculo que Teams publicará en el chat apunta a esa ubicación.
Reunión de canal
Si la reunión está asociada a un canal de Teams, la grabación se almacena en la biblioteca de documentos del sitio de SharePoint que respalda el equipo, dentro de la carpeta Canal > Recordings. El propietario del equipo es quien hereda el control inicial.
Permisos predeterminados
Desde agosto de 2021, Microsoft cambió el modelo de grabaciones a OneDrive/SharePoint. Los permisos se asignan automáticamente mediante un trabajo en segundo plano llamado ODSP AssignPermissionsJob. Su lógica es la siguiente:
- Usuarios internos (mismo tenant) que fueron invitados a la reunión reciben el rol «Puede ver». No obtienen permiso de descarga a menos que sea habilitado por el meeting policy.
- Participantes externos —tanto Guest creados en Azure AD como usuarios federados (Azure AD B2B Direct Connect o Skype for Business Federation)— no reciben permisos por defecto.
- El organizador conserva rol «Propietario». Co‑organizadores o presentadores internos pueden recibir «Edición» si la directiva
MeetingRecordingCollaborativeestá activada; de lo contrario, ven igual que cualquier asistente interno.
Matriz resumida
| Tipo de asistente | Dentro del mismo tenant | Externo guest | Federado |
|---|---|---|---|
| Organizador | Propietario | N/A | N/A |
| Co‑organizador/presentador | Puede ver o editar (según policy) | Sin acceso | Sin acceso |
| Asistente | Puede ver | Sin acceso | Sin acceso |
Cómo impedir el acceso una vez finalizada la reunión
| Punto clave | Detalle |
|---|---|
| 1. No compartir el enlace | Teams inserta automáticamente el enlace de OneDrive/SharePoint en el chat. Puedes: Eliminar el mensaje del chat (botón Eliminar) antes de que los externos lo copien. Cambiar los permisos del archivo a «Sólo personas de mi organización» desde el panel Compartir → Administrar acceso. |
| 2. Revocar permisos en OneDrive/SharePoint | En la grabación → Compartir → Administrar acceso: Quita a cualquier invitado listado. Si existe un enlace «Cualquiera con el vínculo», sustitúyelo por «Personas específicas» o elimínalo. |
| 3. Políticas preventivas | Teams Admin Center → Meetings → Meeting policies: desactiva «Automatically give people the link to cloud recordings» o «Who can record meetings». SharePoint Admin Center → Políticas de uso compartido: fija el nivel de compartición externa a Nuevos y existentes guests o Sólo el tenant. Aplica un Sensitivity Label con cifrado AADRM que bloquee «Compartir con externos» a la carpeta Recordings. |
| 4. Mover o copiar el archivo | Si el vídeo ya está publicado, trasladarlo a una biblioteca interna sin acceso externo rompe el enlace anterior. Teams no actualiza el vínculo, por lo que cualquier clic mostrará «No se encontró el archivo». |
Políticas preventivas y automatización
Teams meeting policy
En PowerShell (Módulo MicrosoftTeams):
# Desactivar grabaciones para reuniones con externos
Set-CsTeamsMeetingPolicy -Identity "DefaultExternalPolicy" -AllowCloudRecording $false
O bien permitir grabar pero sin permisos automáticos
Set-CsTeamsMeetingPolicy -Identity "Comercial" -MeetingRecordingExpirationDays 14 -DesignatedPresenterRoleMode "OrganizersOnly"SharePoint & OneDrive
- Centralizar grabaciones: usa una biblioteca dedicada con permisos «Lectura» solo para miembros internos. Configura una regla de retención de 1 año y mueve automáticamente con Power Automate.
- Bloqueo de compartición externa:
Set-SPOSite -Identity https://tenant.sharepoint.com/sites/MeetingRecordings -SharingCapability Disabled
Power Automate
- Gatillo: Cuando se cree un archivo en
/Recordings. - Condición: Si OrganizerIsExternal = true → Enviar correo al departamento de seguridad.
- Acción: Aplicar etiqueta «Confidencial – Solo interno» y mover a sitio interno.
Cómo conceder acceso de forma controlada
- En OneDrive/SharePoint selecciona la grabación → Compartir.
- Elige «Personas específicas».
- Activa «Evitar descarga» y marca la casilla «Caduca este enlace en 7 días».
- Introduce la dirección del invitado. Debe estar registrado como Guest o federado; de lo contrario recibirá error de autenticación.
- Haz clic en Enviar. El receptor deberá autenticarse para ver, sin posibilidad de reenviar.
Retención y eDiscovery
Revocar permisos no elimina la evidencia para cumplimiento. Si tu organización usa políticas de retención de Microsoft Purview o retención basada en etiquetas:
- El archivo se mantiene en la ubicación de conservación (Preservation Hold Library) incluso si el propietario lo elimina.
- La búsqueda de contenido de eDiscovery (Advanced eDiscovery o Core) localizará la grabación durante el periodo definido.
- Cualquier movimiento a otra biblioteca respeta las mismas etiquetas de retención, salvo que la nueva ubicación tenga políticas diferentes.
Buenas prácticas para evitar filtraciones
- Formación a organizadores: envía recordatorios sobre la gestión de grabaciones antes de eventos con externos.
- Usa etiquetas de confidencialidad que bloqueen la descarga o el reenvío cuando la reunión trate datos sensibles.
- Desactiva transcripción automática si contiene datos personales no necesarios.
- Establece expiración automática (p. ej. 30 días) para todas las grabaciones salvo excepciones justificadas.
- Audita regularmente con el Centro de cumplimiento → Contenido compartido externamente.
- Documenta un proceso de solicitud para conceder acceso a terceros: quién aprueba, plazo y renovación.
- Versiona tu política y alíneala con ISO 27001 A.9 (Control de acceso) y A.12 (Operaciones).
Preguntas frecuentes
¿Los invitados pueden grabar la reunión ellos mismos?
Solo si la política «Who can record» se establece en «Moderators and presenters». Incluso así, el archivo quedará en su propio OneDrive —fuera de tu control—, por lo que se recomienda desactivar la grabación para externos o exigir un presentador interno que la inicie.
¿Qué ocurre si cambio a otro organizador?
El permiso de Propietario no se transfiere automáticamente; deberás asignarlo manualmente desde OneDrive/SharePoint.
¿Puedo impedir la descarga pero permitir la visualización?
Sí. Usa «Bloquear descarga» en el panel de enlace o asigna un Sensitivity Label con protección RMS de solo lectura.
¿Funciona igual para webinars y eventos en vivo?
Los webinars generan grabaciones en la misma carpeta Recordings. Los eventos en vivo (Teams Live Events) guardan la grabación en Azure Media Services; el productor decide qué enlace se comparte. Para ambos, aplica los mismos principios de permisos.
Conclusiones
Bloquear a invitados y federados el acceso a la grabación de Teams no es complicado, pero exige disciplina:
- Saber dónde se guardó el archivo.
- Revisar y ajustar permisos de forma inmediata.
- Implementar políticas preventivas y automatización.
- Garantizar la retención y trazabilidad sin sacrificar la seguridad.
Al combinar formación, configuración granular y herramientas de cumplimiento, tu organización reduce el riesgo de fugas de información y cumple las normas sin fricción para los usuarios internos.