Mengonfigurasi hak penggunaan untuk Microsoft Azure Information Protection
Artikel ini menjelaskan hak penggunaan yang dapat Anda konfigurasi untuk diterapkan secara otomatis saat label atau templat dipilih oleh pengguna, administrator, atau layanan yang dikonfigurasi.
Hak penggunaan dipilih saat Anda mengonfigurasi label sensitivitas atau templat perlindungan untuk enkripsi. Misalnya, Anda dapat memilih peran yang mengonfigurasi pengelompokan logis hak penggunaan, atau mengonfigurasi hak individual secara terpisah. Atau pengguna dapat memilih dan menerapkan hak penggunaan itu sendiri.
Untuk kelengkapan, artikel ini menyertakan nilai dari portal klasik Azure, yang dihentikan 08 Januari 2018.
Penting
Gunakan artikel ini untuk memahami bagaimana hak penggunaan dirancang untuk ditafsirkan oleh aplikasi.
Aplikasi dapat bervariasi dalam cara mereka menerapkan hak penggunaan, dan kami sarankan berkonsultasi dengan dokumentasi aplikasi Anda dan melakukan pengujian Anda sendiri untuk memeriksa perilaku aplikasi sebelum menyebarkan dalam produksi.
Hak dan deskripsi penggunaan
Tabel berikut ini mencantumkan dan menjelaskan hak penggunaan yang didukung Manajemen Hak, dan bagaimana mereka digunakan dan ditafsirkan. Mereka tercantum dengan nama umum mereka, yang biasanya bagaimana Anda mungkin melihat hak penggunaan ditampilkan atau direferensikan, sebagai versi yang lebih ramah dari nilai kata tunggal yang digunakan dalam kode (pengodean dalam nilai kebijakan).
Dalam tabel ini:
Konstanta atau Nilai API adalah nama SDK untuk panggilan API MSIPC atau Perlindungan Informasi Microsoft Purview SDK, yang digunakan saat Anda menulis aplikasi yang memeriksa hak penggunaan, atau menambahkan hak penggunaan ke kebijakan.
Pusat admin pelabelan adalah portal kepatuhan Microsoft Purview, tempat Anda mengonfigurasi label sensitivitas.
Hak penggunaan | Deskripsi | implementasi |
---|---|---|
Nama umum: Edit Konten, Edit Pengodean dalam kebijakan: DOCEDIT |
Memungkinkan pengguna untuk memodifikasi, mengatur ulang, memformat, atau mengurutkan konten di dalam aplikasi, yang mencakup Office di web. Ini tidak memberikan hak untuk menyimpan salinan yang diedit. Di Word, kecuali Anda memiliki Office 365 ProPlus dengan versi minimum 1807, hak ini tidak cukup untuk mengaktifkan atau menonaktifkan Lacak Perubahan, atau untuk menggunakan semua fitur lacak perubahan sebagai peninjau. Sebagai gantinya, untuk menggunakan semua opsi lacak perubahan memerlukan hak berikut: Kontrol Penuh. |
Hak kustom Office: Sebagai bagian dari opsi Ubah dan Kontrol Penuh. Nama di portal klasik Azure: Edit Konten Nama di portal kepatuhan Microsoft Purview dan portal Azure: Edit Konten, Edit (DOCEDIT) Nama dalam templat AD RMS: Edit Konstanta atau nilai API: MSIPC: Tidak berlaku. MIP SDK: DOCEDIT |
Nama umum: Simpan Pengodean dalam kebijakan: EDIT |
Memungkinkan pengguna menyimpan dokumen ke lokasi saat ini. Dalam Office di web, ini juga memungkinkan pengguna untuk mengedit konten. Dalam aplikasi Office likasi, hak ini memungkinkan pengguna untuk menyimpan file ke lokasi baru dan dengan nama baru jika format file yang dipilih memiliki dukungan bawaan untuk perlindungan Manajemen Hak. Pembatasan format file memastikan bahwa perlindungan asli tidak dapat dihapus dari file. |
Hak kustom Office: Sebagai bagian dari opsi Ubah dan Kontrol Penuh. Nama di portal klasik Azure: Simpan File Nama di portal kepatuhan Microsoft Purview dan portal Azure: Simpan (EDIT) Nama dalam templat AD RMS: Simpan Konstanta atau nilai API: MSIPC: IPC_GENERIC_WRITE L"EDIT" MIP SDK: EDIT |
Nama umum: Komentar Pengodean dalam kebijakan: COMMENT |
Mengaktifkan opsi untuk menambahkan anotasi atau komentar ke konten. Hak ini tersedia di SDK, tersedia sebagai kebijakan ad-hoc dalam modul AzureInformationProtection dan RMS Protection untuk Windows PowerShell, dan telah diterapkan di beberapa aplikasi vendor perangkat lunak. Namun, ini tidak banyak digunakan dan tidak didukung oleh aplikasi Office likasi. |
Hak kustom Office: Tidak diimplementasikan. Nama di portal klasik Azure: Tidak diimplementasikan. Nama dalam portal kepatuhan Microsoft Purview dan portal Azure: Tidak diimplementasikan. Nama dalam templat AD RMS: Tidak diimplementasikan. Konstanta atau nilai API: MSIPC: IPC_GENERIC_COMMENT L"COMMENT MIP SDK: COMMENT |
Nama umum: Simpan Sebagai, Ekspor Pengodean dalam kebijakan: EKSPOR |
Mengaktifkan opsi untuk menyimpan konten ke nama file yang berbeda (Simpan Sebagai). Untuk klien Perlindungan Informasi Azure, file dapat disimpan tanpa perlindungan, dan juga dilindungi ulang dengan pengaturan dan izin baru. Tindakan yang diizinkan ini berarti bahwa pengguna yang memiliki hak ini dapat mengubah atau menghapus label Perlindungan Informasi Azure dari dokumen atau email yang dilindungi. Hak ini juga memungkinkan pengguna untuk melakukan opsi ekspor lain dalam aplikasi, seperti Kirim ke OneNote. |
Hak kustom Office: Sebagai bagian dari opsi Kontrol Penuh. Nama di portal klasik Azure: Ekspor Konten (Simpan Sebagai) Nama dalam portal kepatuhan Microsoft Purview dan portal Azure: Simpan Sebagai, Ekspor (EKSPOR) Nama dalam templat AD RMS: Ekspor (Simpan Sebagai) Konstanta atau nilai API: MSIPC: IPC_GENERIC_EXPORT L"EXPORT" MIP SDK: EXPORT |
Nama umum: Teruskan Pengodean dalam kebijakan: TERUSKAN |
Mengaktifkan opsi untuk meneruskan pesan email dan menambahkan penerima ke baris Kepada dan Cc . Hak ini tidak berlaku untuk dokumen; hanya pesan email. Tidak mengizinkan penerus untuk memberikan hak kepada pengguna lain sebagai bagian dari tindakan penerusan. Saat Anda memberikan hak ini, berikan juga Edit Konten, Edit kanan (nama umum), dan juga berikan hak Simpan (nama umum) untuk memastikan bahwa pesan email yang dilindungi tidak dikirimkan sebagai lampiran. Tentukan juga hak ini saat Anda mengirim email ke organisasi lain yang menggunakan klien Outlook atau aplikasi web Outlook. Atau, untuk pengguna di organisasi Anda yang dikecualikan dari penggunaan perlindungan Manajemen Hak karena Anda telah menerapkan kontrol orientasi. |
Hak kustom Office: Ditolak saat menggunakan kebijakan standar Jangan Teruskan . Nama di portal klasik Azure: Teruskan Nama dalam portal kepatuhan Microsoft Purview dan portal Azure: Teruskan (TERUSKAN) Nama dalam templat AD RMS: Teruskan Konstanta atau nilai API: MSIPC: IPC_EMAIL_FORWARD L"FORWARD" MIP SDK: FORWARD |
Nama umum: Kontrol Penuh Pengodean dalam kebijakan: OWNER |
Memberikan semua hak atas dokumen dan semua tindakan yang tersedia dapat dilakukan. Termasuk kemampuan untuk menghapus perlindungan dan melindungi ulang dokumen. Perhatikan bahwa hak penggunaan ini tidak sama dengan pemilik Manajemen Hak. |
Hak kustom Office: Sebagai opsi kustom Kontrol Penuh. Nama di portal klasik Azure: Kontrol Penuh Nama dalam portal kepatuhan Microsoft Purview dan portal Azure: Kontrol Penuh (PEMILIK) Nama dalam templat AD RMS: Kontrol Penuh Konstanta atau nilai API: MSIPC: IPC_GENERIC_ALL L"OWNER" MIP SDK: OWNER |
Nama umum: Cetak Pengodean dalam kebijakan: PRINT |
Mengaktifkan opsi untuk mencetak isi. | Hak kustom Office: Sebagai opsi Cetak Konten dalam izin kustom. Bukan pengaturan per penerima. Nama di portal klasik Azure: Cetak Nama dalam portal kepatuhan Microsoft Purview dan portal Azure: Cetak (CETAK) Nama dalam templat AD RMS: Cetak Konstanta atau nilai API: MSIPC: IPC_GENERIC_PRINT L"PRINT" MIP SDK: PRINT |
Nama umum: Balas Pengodean dalam kebijakan: REPLY |
Mengaktifkan opsi Balas di klien email, tanpa mengizinkan perubahan di baris Kepada atau Cc. Saat Anda memberikan hak ini, berikan juga Edit Konten, Edit kanan (nama umum), dan juga berikan hak Simpan (nama umum) untuk memastikan bahwa pesan email yang dilindungi tidak dikirimkan sebagai lampiran. Tentukan juga hak ini saat Anda mengirim email ke organisasi lain yang menggunakan klien Outlook atau aplikasi web Outlook. Atau, untuk pengguna di organisasi Anda yang dikecualikan dari penggunaan perlindungan Manajemen Hak karena Anda telah menerapkan kontrol orientasi. |
Hak kustom Office: Tidak berlaku. Nama di portal klasik Azure: Balas Nama di portal klasik Azure: Balasan (BALASAN) Nama dalam templat AD RMS: Balas Konstanta atau nilai API: MSIPC: IPC_EMAIL_REPLY MIP SDK: REPLY |
Nama umum: Balas Semua Pengodean dalam kebijakan: REPLYALL |
Mengaktifkan opsi Balas Semua di klien email, tetapi tidak mengizinkan pengguna untuk menambahkan penerima ke baris Kepada atau Cc. Saat Anda memberikan hak ini, berikan juga Edit Konten, Edit kanan (nama umum), dan juga berikan hak Simpan (nama umum) untuk memastikan bahwa pesan email yang dilindungi tidak dikirimkan sebagai lampiran. Tentukan juga hak ini saat Anda mengirim email ke organisasi lain yang menggunakan klien Outlook atau aplikasi web Outlook. Atau, untuk pengguna di organisasi Anda yang dikecualikan dari penggunaan perlindungan Manajemen Hak karena Anda telah menerapkan kontrol orientasi. |
Hak kustom Office: Tidak berlaku. Nama di portal klasik Azure: Balas Semua Nama dalam portal kepatuhan Microsoft Purview dan portal Azure: Balas Semua (BALAS SEMUA) Nama dalam templat AD RMS: Balas Semua Konstanta atau nilai API: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL" MIP SDK: REPLYALL |
Nama umum: Menampilkan, Membuka, Membaca Pengodean dalam kebijakan: LIHAT |
Memungkinkan pengguna membuka dokumen dan melihat konten. Di Excel, hak ini tidak cukup untuk mengurutkan data, yang memerlukan hak berikut: Edit Konten, Edit. Untuk memfilter data di Excel, Anda memerlukan dua hak berikut: Edit Konten, Edit , dan Salin. |
Hak kustom Office: Sebagai opsi Baca kebijakan kustom, Tampilkan . Nama di portal klasik Azure: Lihat Nama di portal kepatuhan Microsoft Purview dan portal Azure: Tampilkan, Buka, Baca (LIHAT) Nama dalam templat AD RMS: Baca Konstanta atau nilai API: MSIPC: IPC_GENERIC_READ L"VIEW" MIP SDK: VIEW |
Nama umum: Salin Pengodean dalam kebijakan: EXTRACT |
Memungkinkan opsi untuk menyalin data (termasuk tangkapan layar) dari dokumen ke dalam dokumen yang sama atau dokumen lain. Dalam beberapa aplikasi, ini juga memungkinkan seluruh dokumen disimpan dalam bentuk yang tidak terlindungi. Di Skype for Business dan aplikasi berbagi layar serupa, penyaji harus memiliki hak ini untuk berhasil menyajikan dokumen yang dilindungi. Jika penyaji tidak memiliki hak ini, peserta tidak dapat melihat dokumen dan ditampilkan sebagai pingsan bagi mereka. |
Hak kustom Office: Sebagai opsi Izinkan pengguna dengan akses Baca untuk menyalin kebijakan kustom konten . Nama di portal klasik Azure: Salin dan Ekstrak konten Nama dalam portal kepatuhan Microsoft Purview dan portal Azure: Salin (EXTRACT) Nama dalam templat AD RMS: Ekstrak Konstanta atau nilai API: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT" MIP SDK: EXTRACT |
Nama umum: Lihat Hak Pengodean dalam kebijakan: VIEWRIGHTSDATA |
Memungkinkan pengguna untuk melihat kebijakan yang diterapkan ke dokumen. Tidak didukung oleh aplikasi Office atau klien Perlindungan Informasi Azure. |
Hak kustom Office: Tidak diimplementasikan. Nama di portal klasik Azure: Lihat Hak yang Ditetapkan Nama di portal kepatuhan Microsoft Purview dan portal Azure: Lihat Hak (VIEWRIGHTSDATA). Nama dalam templat AD RMS: Lihat Hak Konstanta atau nilai API: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" MIP SDK: VIEWRIGHTSDATA |
Nama umum: Ubah Hak Pengodean dalam kebijakan: EDITRIGHTSDATA |
Memungkinkan pengguna mengubah kebijakan yang diterapkan ke dokumen. Termasuk menghapus perlindungan. Tidak didukung oleh aplikasi Office atau klien Perlindungan Informasi Azure. |
Hak kustom Office: Tidak diimplementasikan. Nama di portal klasik Azure: Ubah Hak Nama di portal kepatuhan Microsoft Purview dan portal Azure: Edit Hak (EDITRIGHTSDATA). Nama dalam templat AD RMS: Edit Hak Konstanta atau nilai API: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" MIP SDK: EDITRIGHTSDATA |
Nama umum: Izinkan Makro Pengodean dalam kebijakan: OBJMODEL |
Mengaktifkan opsi untuk menjalankan makro atau melakukan akses terprogram atau jarak jauh lainnya ke konten dalam dokumen. | Hak kustom Office: Sebagai opsi Kebijakan kustom Izinkan Akses Terprogram. Bukan pengaturan per penerima. Nama di portal klasik Azure: Izinkan Makro Nama dalam portal kepatuhan Microsoft Purview dan portal Azure: Izinkan Makro (OBJMODEL) Nama dalam templat AD RMS: Izinkan Makro Konstanta atau nilai API: MSIPC: Tidak diimplementasikan. MIP SDK: OBJMODEL |
Hak yang disertakan dalam tingkat izin
Beberapa hak penggunaan grup aplikasi bersama-sama ke dalam tingkat izin, untuk mempermudah memilih hak penggunaan yang biasanya digunakan bersama-sama. Tingkat izin ini membantu mengabstraksi tingkat kompleksitas dari pengguna, sehingga mereka dapat memilih opsi yang berbasis peran. Misalnya, Peninjau dan Penulis Bersama. Meskipun opsi ini sering menunjukkan ringkasan hak kepada pengguna, mereka mungkin tidak menyertakan setiap hak yang tercantum dalam tabel sebelumnya.
Gunakan tabel berikut untuk daftar tingkat izin ini dan daftar lengkap hak penggunaan yang dikandungnya. Hak penggunaan dicantumkan berdasarkan nama umumnya.
Tingkat izin | Aplikasi | Hak penggunaan disertakan |
---|---|---|
Penampil | Portal klasik Azure Portal Azure Klien Perlindungan Informasi Azure untuk Windows |
Lihat, Buka, Baca; Lihat Hak; Balas [1]; Balas Semua [1]; Izinkan Makro [2] Catatan: Untuk email, gunakan Peninjau daripada tingkat izin ini untuk memastikan bahwa balasan email diterima sebagai pesan email daripada lampiran. Peninjau juga diperlukan saat Anda mengirim email ke organisasi lain yang menggunakan klien Outlook atau aplikasi web Outlook. Atau, untuk pengguna di organisasi Anda yang dikecualikan dari penggunaan layanan Azure Rights Management karena Anda telah menerapkan kontrol onboarding. |
Peninjau | Portal klasik Azure Portal Azure Klien Perlindungan Informasi Azure untuk Windows |
Lihat, Buka, Baca; Simpan; Edit Konten, Edit; Lihat Hak; Balas: Balas Semua [3]; Teruskan [3]; Izinkan Makro [2] |
Penulis Bersama | Portal klasik Azure Portal Azure Klien Perlindungan Informasi Azure untuk Windows |
Lihat, Buka, Baca; Simpan; Edit Konten, Edit; Menyalin; Lihat Hak; Izinkan Makro; Simpan Sebagai, Ekspor [4]; Mencetak; Balas [3]; Balas Semua [3]; Maju [3] |
Pemilik Bersama | Portal klasik Azure Portal Azure Klien Perlindungan Informasi Azure untuk Windows |
Lihat, Buka, Baca; Simpan; Edit Konten, Edit; Menyalin; Lihat Hak; Ubah Hak; Izinkan Makro; Simpan Sebagai, Ekspor; Mencetak; Balas [3]; Balas Semua [3]; Teruskan [3]; Kontrol Penuh |
Catatan kaki 1
Tidak termasuk dalam portal kepatuhan Microsoft Purview atau portal Azure.
Catatan Kaki 2
Untuk klien Perlindungan Informasi Azure untuk Windows, hak ini diperlukan untuk bilah Perlindungan Informasi di aplikasi Office.
Catatan Kaki 3
Tidak berlaku untuk klien Perlindungan Informasi Azure untuk Windows.
Catatan Kaki 4
Tidak disertakan dalam portal kepatuhan Microsoft Purview, portal Azure, atau klien Perlindungan Informasi Azure untuk Windows.
Opsi Jangan Teruskan untuk email
Klien dan layanan Exchange (misalnya, klien Outlook, Outlook di web, aturan alur email Exchange, dan tindakan DLP untuk Exchange) memiliki opsi perlindungan hak informasi tambahan untuk email: Jangan Teruskan.
Meskipun opsi ini muncul untuk pengguna (dan administrator Exchange) seolah-olah itu adalah templat Manajemen Hak default yang dapat mereka pilih, Jangan Teruskan bukan templat. Itu menjelaskan mengapa Anda tidak dapat melihatnya di portal Azure saat Anda melihat dan mengelola templat perlindungan. Sebagai gantinya , opsi Jangan Teruskan adalah serangkaian hak penggunaan yang diterapkan secara dinamis oleh pengguna ke penerima email mereka.
Saat opsi Jangan Teruskan diterapkan ke email, email dienkripsi dan penerima harus diautentikasi. Kemudian, penerima tidak dapat meneruskannya, mencetaknya, atau menyalinnya. Misalnya, di klien Outlook, tombol Teruskan tidak tersedia, opsi menu Simpan Sebagai dan Cetak tidak tersedia, dan Anda tidak dapat menambahkan atau mengubah penerima dalam kotak Kepada, Cc, atau Bcc .
Dokumen Office yang tidak terlindungi yang dilampirkan ke email secara otomatis mewarisi batasan yang sama. Hak penggunaan yang diterapkan pada dokumen-dokumen ini adalah Edit Konten, Edit; Simpan; Lihat, Buka, Baca; dan Izinkan Makro. Jika Anda menginginkan hak penggunaan yang berbeda untuk lampiran, atau lampiran Anda bukan dokumen Office yang mendukung perlindungan yang diwariskan ini, lindungi file sebelum Anda melampirkannya ke email. Anda kemudian dapat menetapkan hak penggunaan tertentu yang Anda butuhkan untuk file tersebut.
Perbedaan antara Jangan Teruskan dan tidak memberikan hak penggunaan Teruskan
Ada perbedaan penting antara menerapkan opsi Jangan Teruskan dan menerapkan templat yang tidak memberikan hak penggunaan Teruskan ke email: Opsi Jangan Teruskan menggunakan daftar dinamis pengguna yang berwenang yang didasarkan pada penerima email asli yang dipilih pengguna; sedangkan hak dalam templat memiliki daftar statis pengguna yang berwenang yang telah ditentukan administrator sebelumnya. Apa perbedaannya? Mari kita ambil contoh:
Pengguna ingin mengirim beberapa informasi melalui email kepada orang tertentu di departemen Pemasaran yang seharusnya tidak dibagikan dengan orang lain. Haruskah dia melindungi email dengan templat yang membatasi hak (melihat, membalas, dan menyimpan) ke departemen Pemasaran? Atau haruskah dia memilih opsi Jangan Teruskan ? Kedua pilihan akan mengakibatkan penerima tidak dapat meneruskan email.
Jika dia menerapkan templat, penerima masih dapat berbagi informasi dengan orang lain di departemen pemasaran. Misalnya, penerima dapat menggunakan Explorer untuk menyeret dan meletakkan email ke lokasi bersama atau drive USB. Sekarang, siapa pun dari departemen pemasaran (dan pemilik email) yang memiliki akses ke lokasi ini dapat melihat informasi dalam email.
Jika dia menerapkan opsi Jangan Teruskan , penerima tidak akan dapat berbagi informasi dengan orang lain di departemen pemasaran dengan memindahkan email ke lokasi lain. Dalam skenario ini, hanya penerima asli (dan pemilik email) yang dapat melihat informasi dalam email.
Catatan
Gunakan Jangan Teruskan jika penting bahwa hanya penerima yang dipilih pengirim yang akan melihat informasi dalam email. Gunakan templat untuk email guna membatasi hak kepada sekelompok orang yang ditentukan administrator terlebih dahulu, secara independen dari penerima pengirim yang dipilih.
Opsi enkripsi saja untuk email
Saat Exchange Online menggunakan kemampuan baru untuk Enkripsi Pesan Office 365, opsi Enkripsi email baru akan tersedia, untuk mengenkripsi data tanpa batasan tambahan.
Opsi ini tersedia untuk penyewa yang menggunakan Exchange Online dan dapat dipilih sebagai berikut:
- Di Outlook di web dengan opsi Enkripsi atau label sensitivitas yang dikonfigurasi untuk Izinkan pengguna menetapkan izin dan opsi Enkripsi-Saja
- Sebagai opsi perlindungan hak lain untuk aturan alur email
- Sebagai tindakan Office 365 DLP
- Dari aplikasi Outlook untuk desktop dan perangkat seluler:
- Dengan label sensitivitas yang dikonfigurasi untuk Izinkan pengguna menetapkan izin dan opsi Khusus Enkripsi , untuk Windows, macOS, iOS, dan Android saat Anda menggunakan pelabelan bawaan dengan versi minimum yang tercantum dalam tabel untuk kemampuan label sensitivitas di Outlook.
- Dengan opsi Enkripsi di Windows dan macOS, untuk versi yang tercantum dalam tabel versi yang didukung untuk Aplikasi Microsoft 365 berdasarkan saluran pembaruan.
Untuk informasi selengkapnya tentang opsi hanya enkripsi, lihat posting blog berikut ini saat pertama kali diumumkan dari tim Office: Enkripsi hanya diluncurkan di Enkripsi Pesan Office 365.
Ketika opsi ini dipilih, email dienkripsi dan penerima harus diautentikasi. Kemudian, penerima memiliki semua hak penggunaan kecuali Simpan Sebagai, Ekspor , dan Kontrol Penuh. Kombinasi hak penggunaan ini berarti bahwa penerima tidak memiliki batasan kecuali bahwa mereka tidak dapat menghapus perlindungan. Misalnya, penerima dapat menyalin dari email, mencetaknya, dan meneruskannya.
Demikian pula, secara default, dokumen Office yang tidak terlindungi yang dilampirkan ke email mewarisi izin yang sama. Dokumen-dokumen ini secara otomatis dilindungi dan ketika diunduh, dokumen tersebut dapat disimpan, diedit, disalin, dan dicetak dari aplikasi Office likasi oleh penerima. Saat dokumen disimpan oleh penerima, dokumen dapat disimpan ke nama baru dan bahkan format yang berbeda. Namun, hanya format file yang mendukung perlindungan yang tersedia sehingga dokumen tidak dapat disimpan tanpa perlindungan asli. Jika Anda menginginkan hak penggunaan yang berbeda untuk lampiran, atau lampiran Anda bukan dokumen Office yang mendukung perlindungan yang diwariskan ini, lindungi file sebelum Anda melampirkannya ke email. Anda kemudian dapat menetapkan hak penggunaan tertentu yang Anda butuhkan untuk file tersebut.
Atau, Anda dapat mengubah pewarisan perlindungan dokumen ini dengan menentukan Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
dengan Exchange Online PowerShell. Gunakan konfigurasi ini saat Anda tidak perlu mempertahankan perlindungan asli untuk dokumen setelah pengguna diautentikasi. Ketika penerima membuka pesan email, dokumen tidak dilindungi.
Jika Anda memerlukan dokumen terlampir untuk mempertahankan perlindungan asli, lihat Kolaborasi dokumen aman dengan menggunakan Perlindungan Informasi Azure.
Catatan
Jika Anda melihat referensi ke DecryptAttachmentFromPortal, parameter ini sekarang tidak digunakan lagi untuk Set-IRMConfiguration. Kecuali sebelumnya Anda telah mengatur parameter ini, parameter ini tidak tersedia.
Mengenkripsi dokumen PDF secara otomatis dengan Exchange Online
Saat Exchange Online menggunakan kemampuan baru untuk Enkripsi Pesan Office 365, Anda bisa mengenkripsi dokumen PDF yang tidak terlindungi secara otomatis saat dilampirkan ke email terenkripsi. Dokumen mewarisi izin yang sama dengan yang ada untuk pesan email. Untuk mengaktifkan konfigurasi ini, atur EnablePdfEncryption $True dengan Set-IRMConfiguration.
Penerima yang belum memiliki pembaca yang terinstal yang mendukung standar ISO untuk enkripsi PDF dapat menginstal salah satu pembaca yang tercantum dalam pembaca PDF yang mendukung Perlindungan Informasi Microsoft Purview. Atau, penerima dapat membaca dokumen PDF yang dilindungi di portal OME.
Penerbit Manajemen Hak dan pemilik Manajemen Hak
Saat dokumen atau email dilindungi dengan menggunakan layanan Azure Rights Management, akun yang melindungi konten tersebut secara otomatis menjadi penerbit Rights Management untuk konten tersebut. Akun ini dicatat sebagai bidang pengeluar sertifikat di log penggunaan.
Penerbit Rights Management selalu diberikan hak penggunaan Kontrol Penuh untuk dokumen atau email, dan sebagai tambahan:
Jika pengaturan perlindungan menyertakan tanggal kedaluwarsa, penerbit Rights Management masih dapat membuka dan mengedit dokumen atau email setelah tanggal tersebut.
Penerbit Rights Management selalu dapat mengakses dokumen atau email secara offline.
Penerbit Rights Management masih dapat membuka dokumen setelah dicabut.
Secara default, akun ini juga merupakan pemilik Manajemen Hak untuk konten tersebut, yang merupakan kasus ketika pengguna yang membuat dokumen atau email memulai perlindungan. Tetapi ada beberapa skenario di mana administrator atau layanan dapat melindungi konten atas nama pengguna. Contohnya:
Administrator melindungi file secara massal pada berbagi file: Akun administrator di ID Microsoft Entra melindungi dokumen untuk pengguna.
Konektor Manajemen Hak melindungi dokumen Office pada folder Windows Server: Akun perwakilan layanan di ID Microsoft Entra yang dibuat untuk konektor RMS melindungi dokumen untuk pengguna.
Dalam skenario ini, penerbit Manajemen Hak dapat menetapkan pemilik Manajemen Hak ke akun lain dengan menggunakan SDK Perlindungan Informasi Azure atau PowerShell. Misalnya, saat Anda menggunakan cmdlet PowerShell Protect-RMSFile dengan klien Perlindungan Informasi Azure, Anda dapat menentukan parameter OwnerEmail untuk menetapkan pemilik Manajemen Hak ke akun lain.
Ketika penerbit Rights Management melindungi atas nama pengguna, menetapkan pemilik Manajemen Hak memastikan bahwa dokumen asli atau pemilik email memiliki tingkat kontrol yang sama untuk konten yang dilindungi seolah-olah mereka memulai perlindungan itu sendiri.
Misalnya, pengguna yang membuat dokumen dapat mencetaknya, meskipun sekarang dilindungi dengan templat yang tidak menyertakan hak penggunaan Cetak. Pengguna yang sama selalu dapat mengakses dokumen mereka, terlepas dari pengaturan akses offline atau tanggal kedaluwarsa yang mungkin telah dikonfigurasi dalam templat tersebut. Selain itu, karena pemilik Rights Management memiliki hak penggunaan Kontrol Penuh, pengguna ini juga dapat melindungi ulang dokumen untuk memberikan akses pengguna tambahan (di mana pengguna kemudian menjadi penerbit Rights Management serta pemilik Rights Management), dan pengguna ini bahkan dapat menghapus perlindungan. Namun, hanya penerbit Rights Management yang dapat melacak dan mencabut dokumen.
Pemilik Manajemen Hak untuk dokumen atau email dicatat sebagai bidang email pemilik di log penggunaan.
Catatan
Pemilik Manajemen Hak independen dari Pemilik sistem file Windows. Mereka sering sama tetapi bisa berbeda, bahkan jika Anda tidak menggunakan SDK atau PowerShell.
Lisensi penggunaan Manajemen Hak
Saat pengguna membuka dokumen atau email yang telah dilindungi oleh Azure Rights Management, Lisensi penggunaan Manajemen Hak untuk konten tersebut diberikan kepada pengguna. Lisensi penggunaan ini adalah sertifikat yang berisi hak penggunaan pengguna untuk dokumen atau pesan email, dan kunci enkripsi yang digunakan untuk mengenkripsi konten. Lisensi penggunaan juga berisi tanggal kedaluwarsa jika ini telah ditetapkan, dan berapa lama lisensi penggunaan valid.
Pengguna harus memiliki lisensi penggunaan yang valid untuk membuka konten selain sertifikat akun hak mereka (RAC), yang merupakan sertifikat yang diberikan ketika lingkungan pengguna diinisialisasi dan kemudian diperpanjang setiap 31 hari.
Selama lisensi penggunaan, pengguna tidak diautentikasi ulang atau diotorisasi ulang untuk konten. Ini memungkinkan pengguna terus membuka dokumen atau email yang dilindungi tanpa koneksi internet. Ketika periode validitas lisensi penggunaan kedaluwarsa, saat pengguna mengakses dokumen atau email yang dilindungi, pengguna harus diautentikasi ulang dan diotorisasi ulang.
Saat dokumen dan pesan email dilindungi dengan menggunakan label atau templat yang menentukan pengaturan perlindungan, Anda dapat mengubah pengaturan ini di label atau templat Anda tanpa harus melindungi ulang konten. Jika pengguna telah mengakses konten, perubahan akan berlaku setelah lisensi penggunaannya kedaluwarsa. Namun, ketika pengguna menerapkan izin kustom (juga dikenal sebagai kebijakan hak ad-hoc) dan izin ini perlu berubah setelah dokumen atau email dilindungi, konten tersebut harus dilindungi lagi dengan izin baru. Izin kustom untuk pesan email diimplementasikan dengan opsi Jangan Teruskan.
Periode validitas lisensi penggunaan default untuk penyewa adalah 30 hari dan Anda dapat mengonfigurasi nilai ini dengan menggunakan cmdlet PowerShell, Set-AipServiceMaxUseLicenseValidityTime. Anda dapat mengonfigurasi pengaturan yang lebih ketat saat perlindungan diterapkan dengan menggunakan label sensitivitas yang dikonfigurasi untuk menetapkan izin sekarang, atau templat:
Saat Anda mengonfigurasi label sensitivitas, periode validitas lisensi penggunaan mengambil nilainya dari pengaturan Izinkan akses offline.
Untuk informasi dan panduan selengkapnya untuk mengonfigurasi pengaturan ini untuk label sensitivitas, lihat tabel rekomendasi dari instruksi cara mengonfigurasi izin sekarang untuk label sensitivitas.
Saat Anda mengonfigurasi templat dengan menggunakan PowerShell, periode validitas lisensi penggunaan mengambil nilainya dari parameter LicenseValidityDuration di cmdlet Set-AipServiceTemplateProperty dan Add-AipServiceTemplate .
Untuk informasi dan panduan selengkapnya untuk mengonfigurasi pengaturan ini dengan menggunakan PowerShell, lihat bantuan untuk setiap cmdlet.