Peta jalan penyebaran AIP untuk klasifikasi, pelabelan, dan perlindungan

Catatan

Apakah Anda mencari Perlindungan Informasi Microsoft Purview, sebelumnya Microsoft Information Protection (MIP)?

Add-in Perlindungan Informasi Azure dihentikan dan diganti dengan label yang disertakan dalam aplikasi dan layanan Microsoft 365 Anda. Pelajari selengkapnya tentang status dukungan komponen Perlindungan Informasi Azure lainnya.

Klien Perlindungan Informasi Microsoft baru (tanpa add-in) saat ini dalam pratinjau dan dijadwalkan untuk ketersediaan umum.

Gunakan langkah-langkah berikut sebagai rekomendasi untuk membantu Anda mempersiapkan, menerapkan, dan mengelola Perlindungan Informasi Azure untuk organisasi Anda, saat Anda ingin mengklasifikasikan, memberi label, dan melindungi data Anda.

Peta strategi ini direkomendasikan untuk setiap pelanggan dengan langganan pendukung. Kemampuan tambahan termasuk menemukan informasi sensitif dan pelabelan dokumen dan email untuk klasifikasi.

Label juga dapat menerapkan perlindungan, menyederhanakan langkah ini untuk pengguna Anda.

Tip

Atau, Anda mungkin mencari salah satu artikel berikut:

• Peta jalan AIP hanya untuk perlindungan data
• Panduan cara penggunaan untuk skenario umum yang menggunakan Perlindungan Informasi Azure
• Peta jalan rilis Perlindungan Informasi Azure

Proses penyebaran

Lakukan langkah-langkah berikut:

1. Mengonfirmasi langganan Anda dan menetapkan lisensi pengguna
2. Menyiapkan penyewa Anda untuk menggunakan Perlindungan Informasi Azure
3. Mengonfigurasi dan menyebarkan klasifikasi dan pelabelan
4. Bersiap untuk perlindungan data
5. Mengonfigurasi label dan pengaturan, aplikasi, dan layanan untuk perlindungan data
6. Menggunakan dan memantau solusi perlindungan data Anda
7. Mengelola layanan perlindungan untuk akun penyewa Anda sesuai kebutuhan

Tip

Sudah menggunakan fungsionalitas perlindungan dari Perlindungan Informasi Azure? Anda dapat melewati banyak langkah ini dan fokus pada langkah 3 dan 5.1.

Mengonfirmasi langganan Anda dan menetapkan lisensi pengguna

Konfirmasikan bahwa organisasi Anda memiliki langganan yang menyertakan fungsionalitas dan fitur yang Anda harapkan. Untuk informasi selengkapnya, lihat halaman Panduan lisensi Microsoft 365 untuk keamanan & kepatuhan .

Kemudian, tetapkan lisensi dari langganan ini ke setiap pengguna di organisasi Anda yang akan mengklasifikasikan, memberi label, dan melindungi dokumen dan email.

Penting

Jangan menetapkan lisensi pengguna secara manual dari RMS gratis untuk langganan individu, dan jangan gunakan lisensi ini untuk mengelola layanan Manajemen Hak Azure untuk organisasi Anda.

Lisensi ini ditampilkan sebagai Adhoc Manajemen Hak di pusat admin Microsoft 365, dan RIGHTSMANAGEMENT_ADHOC saat Anda menjalankan cmdlet Azure AD PowerShell, Get-MsolAccountSku.

Untuk informasi selengkapnya, lihat RMS untuk individu dan Perlindungan Informasi Azure.

Catatan

Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.

Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.

Menyiapkan penyewa Anda untuk menggunakan Perlindungan Informasi Azure

Sebelum mulai menggunakan Perlindungan Informasi Azure, pastikan Anda memiliki akun pengguna dan grup di Microsoft 365 atau ID Microsoft Entra yang dapat digunakan AIP untuk mengautentikasi dan mengotorisasi pengguna Anda.

Jika perlu, buat akun dan grup ini, atau sinkronkan dari direktori lokal Anda.

Untuk informasi selengkapnya, lihat Menyiapkan pengguna dan grup untuk Perlindungan Informasi Azure.

Mengonfigurasi dan menyebarkan klasifikasi dan pelabelan

Lakukan langkah-langkah berikut:

1. Pindai file Anda (opsional tetapi direkomendasikan)

   Sebarkan klien Perlindungan Informasi Azure, lalu instal dan jalankan pemindai untuk menemukan informasi sensitif yang Anda miliki di penyimpanan data lokal Anda.

   Informasi yang ditemukan pemindai dapat membantu Anda dengan taksonomi klasifikasi Anda, memberikan informasi berharga tentang label apa yang Anda butuhkan, dan file mana yang perlu dilindungi.

   Mode penemuan pemindai tidak memerlukan konfigurasi label atau taksonomi apa pun, dan oleh karena itu cocok pada tahap awal penyebaran Anda ini. Anda juga dapat menggunakan konfigurasi pemindai ini secara paralel dengan langkah-langkah penyebaran berikut, hingga Anda mengonfigurasi pelabelan yang direkomendasikan atau otomatis.

2. Sesuaikan kebijakan AIP default.

   Jika Anda belum memiliki strategi klasifikasi, gunakan kebijakan default sebagai dasar untuk menentukan label mana yang Anda perlukan untuk data Anda. Sesuaikan label ini sesuai kebutuhan untuk memenuhi kebutuhan Anda.

   Misalnya, Anda mungkin ingin mengonfigurasi ulang label Anda dengan detail berikut:

   • Pastikan label Anda mendukung keputusan klasifikasi Anda.
   • Mengonfigurasi kebijakan untuk pelabelan manual oleh pengguna
   • Tulis panduan pengguna untuk membantu menjelaskan label mana yang harus diterapkan dalam setiap skenario.
   • Jika kebijakan default Anda dibuat dengan label yang secara otomatis menerapkan perlindungan, Anda mungkin ingin menghapus pengaturan perlindungan untuk sementara waktu atau menonaktifkan label saat Menguji pengaturan Anda.

   Label sensitivitas dan kebijakan pelabelan untuk klien pelabelan terpadu dikonfigurasi dalam portal kepatuhan Microsoft Purview. Untuk informasi selengkapnya, lihat Mempelajari tentang label sensitivitas.

3. Menyebarkan klien Anda untuk pengguna Anda

   Setelah Anda mengonfigurasi kebijakan, sebarkan klien Perlindungan Informasi Azure untuk pengguna Anda. Berikan pelatihan pengguna dan instruksi spesifik kapan harus memilih label.

   Untuk informasi selengkapnya, lihat panduan administrator klien pelabelan terpadu.

4. Memperkenalkan konfigurasi yang lebih canggih

   Tunggu hingga pengguna Anda menjadi lebih nyaman dengan label pada dokumen dan email mereka. Setelah siap, perkenalkan konfigurasi tingkat lanjut, seperti:

   • Menerapkan label default
   • Meminta pembenaran kepada pengguna jika mereka memilih label dengan tingkat klasifikasi yang lebih rendah atau menghapus label
   • Mandat bahwa semua dokumen dan email memiliki label
   • Menyesuaikan header, footer, atau marka air
   • Pelabelan yang direkomendasikan dan otomatis

   Untuk informasi selengkapnya, lihat Panduan Admin: Konfigurasi kustom.

   Tip

   Jika Anda telah mengonfigurasi label untuk pelabelan otomatis, jalankan kembali pemindai Perlindungan Informasi Azure di penyimpanan data lokal Anda dalam mode penemuan dan agar sesuai dengan kebijakan Anda.

   Menjalankan pemindai dalam mode penemuan memberi tahu Anda label mana yang akan diterapkan ke file, yang membantu Anda menyempurnakan konfigurasi label Anda dan mempersiapkan Anda untuk mengklasifikasikan dan melindungi file secara massal.

Bersiap untuk perlindungan data

Perkenalkan perlindungan data untuk data Anda yang paling sensitif setelah pengguna menjadi nyaman melabeli dokumen dan email.

Lakukan langkah-langkah berikut untuk mempersiapkan perlindungan data:

1. Tentukan bagaimana Anda ingin mengelola kunci penyewa Anda.

   Tentukan apakah Anda ingin Microsoft mengelola kunci penyewa Anda (default), atau membuat dan mengelola kunci penyewa Anda sendiri (dikenal sebagai bawa kunci Anda sendiri, atau BYOK).

   Untuk informasi selengkapnya dan opsi untuk perlindungan lokal tambahan, lihat Merencanakan dan menerapkan kunci penyewa Perlindungan Informasi Azure Anda.

2. Instal PowerShell untuk AIP.

   Instal modul PowerShell untuk AIPService pada setidaknya satu komputer yang memiliki akses internet. Anda dapat melakukan langkah ini sekarang, atau nanti.

   Untuk informasi selengkapnya, lihat Menginstal modul AIPService PowerShell.

3. Hanya AD RMS: Migrasikan kunci, templat, dan URL Anda ke cloud.

   Jika saat ini Anda menggunakan AD RMS, lakukan migrasi untuk memindahkan kunci, templat, dan URL ke cloud.

   Untuk informasi selengkapnya, lihat Migrasi dari AD RMS ke Perlindungan Informasi.

4. Aktifkan perlindungan.

   Pastikan bahwa layanan perlindungan diaktifkan sehingga Anda dapat mulai melindungi dokumen dan email. Jika Anda menyebarkan dalam beberapa fase, konfigurasikan kontrol onboarding pengguna untuk membatasi kemampuan pengguna untuk menerapkan perlindungan.

   Untuk informasi selengkapnya, lihat Mengaktifkan layanan perlindungan dari Perlindungan Informasi Azure.

5. Pertimbangkan pengelogan penggunaan (opsional).

   Pertimbangkan penggunaan pengelogan untuk memantau bagaimana organisasi Anda menggunakan layanan perlindungan. Anda dapat melakukan langkah ini sekarang, atau nanti.

   Untuk informasi selengkapnya, lihat Pengelogan dan analisis penggunaan perlindungan dari Perlindungan Informasi Azure.

Mengonfigurasi label dan pengaturan, aplikasi, dan layanan untuk perlindungan data

Lakukan langkah-langkah berikut:

1. Perbarui label Anda untuk menerapkan perlindungan

   Untuk informasi selengkapnya, lihat Membatasi akses ke konten dengan menggunakan enkripsi dalam label sensitivitas.

   Penting

   Pengguna dapat menerapkan label di Outlook yang menerapkan perlindungan Manajemen Hak meskipun Exchange tidak dikonfigurasi untuk manajemen hak informasi (IRM).

   Namun, hingga Exchange dikonfigurasi untuk Enkripsi Pesan IRM atau Microsoft 365 dengan kemampuan baru, organisasi Anda tidak akan mendapatkan fungsionalitas penuh menggunakan perlindungan Manajemen Hak Azure dengan Exchange. Konfigurasi tambahan ini disertakan dalam daftar berikut (2 untuk Exchange Online, dan 5 untuk Exchange lokal).

2. Mengonfigurasi aplikasi Office likasi dan layanan

   Konfigurasikan aplikasi Office likasi dan layanan untuk fitur manajemen hak informasi (IRM) di Microsoft SharePoint atau Exchange Online.

   Untuk informasi selengkapnya, lihat Mengonfigurasi aplikasi untuk Azure Rights Management.

3. Mengonfigurasi fitur pengguna super untuk pemulihan data

   Jika Anda memiliki layanan IT yang perlu memeriksa file yang akan dilindungi Azure Information Protection—seperti solusi pencegahan kebocoran data (DLP), gateway enkripsi konten (CEG), dan produk anti-malware—konfigurasikan akun layanan untuk menjadi pengguna super untuk Azure Rights Management.

   Untuk informasi selengkapnya, lihat Mengonfigurasi pengguna super untuk Perlindungan Informasi Azure dan layanan penemuan atau pemulihan data.

4. Mengklasifikasikan dan melindungi file yang ada secara massal

   Untuk penyimpanan data lokal Anda, sekarang jalankan pemindai Perlindungan Informasi Azure dalam mode penegakan sehingga file diberi label secara otomatis.

   Untuk file di PC, gunakan cmdlet PowerShell untuk mengklasifikasikan dan melindungi file. Untuk informasi selengkapnya, lihat Menggunakan PowerShell dengan klien pelabelan terpadu Perlindungan Informasi Azure.

   Untuk penyimpanan data berbasis cloud, gunakan Microsoft Defender untuk Cloud Apps.

   Tip

   Meskipun mengklasifikasikan dan melindungi file yang ada secara massal bukan salah satu kasus penggunaan utama untuk Defender untuk Cloud Apps, solusi yang didokumentasikan dapat membantu Anda mengklasifikasikan dan melindungi file Anda.

5. Menyebarkan konektor untuk pustaka yang dilindungi IRM di SharePoint Server, dan email yang dilindungi IRM untuk Exchange lokal

   Jika Anda memiliki SharePoint dan Exchange lokal dan ingin menggunakan fitur manajemen hak informasi (IRM) mereka, instal dan konfigurasikan konektor Manajemen Hak.

   Untuk informasi selengkapnya, lihat Menyebarkan konektor Microsoft Rights Management.

Menggunakan dan memantau solusi perlindungan data Anda

Anda sekarang siap untuk memantau bagaimana organisasi Anda menggunakan label yang telah Anda konfigurasi dan mengonfirmasi bahwa Anda melindungi informasi sensitif.

Untuk informasi selengkapnya, lihat halaman berikut:

• Pelaporan pusat untuk Perlindungan Informasi Azure - saat ini dalam pratinjau
• Membuat log dan menganalisis penggunaan perlindungan dari Perlindungan Informasi Azure

Mengelola layanan perlindungan untuk akun penyewa Anda sesuai kebutuhan

Saat Anda mulai menggunakan layanan perlindungan, Anda mungkin menemukan PowerShell berguna untuk membantu skrip atau mengotomatiskan perubahan administratif. PowerShell mungkin juga diperlukan untuk beberapa konfigurasi tingkat lanjut.

Untuk informasi selengkapnya, lihat Mengelola perlindungan dari Perlindungan Informasi Azure dengan menggunakan PowerShell.

Langkah berikutnya

Saat Anda menyebarkan Perlindungan Informasi Azure, Anda mungkin merasa berguna untuk memeriksa pertanyaan yang sering diajukan, masalah yang diketahui, dan halaman informasi dan dukungan untuk sumber daya tambahan.