Mengonfigurasi kolaborasi dokumen yang aman dengan menggunakan Perlindungan Informasi Azure
Saat Menggunakan Perlindungan Informasi Azure, Anda dapat melindungi dokumen tanpa mengorbankan kolaborasi untuk pengguna yang berwenang. Sebagian besar dokumen yang dibuat oleh satu pengguna lalu dibagikan dengan orang lain untuk dilihat dan diedit akan Office dokumen dari Word, Excel, dan PowerPoint. Dokumen-dokumen ini mendukung perlindungan asli, yang berarti bahwa selain fitur perlindungan otorisasi dan enkripsi, dokumen ini juga mendukung izin terbatas untuk kontrol yang lebih halus.
Izin ini disebut hak penggunaan, dan mencakup izin seperti tampilan, edit, cetak. Anda dapat menentukan hak penggunaan individual saat dokumen dilindungi, atau Anda dapat menentukan pengelompokan hak penggunaan, yang disebut tingkat izin. Tingkat izin memudahkan untuk memilih hak penggunaan yang biasanya digunakan bersama-sama, misalnya, Peninjau dan Penulis Bersama. Untuk informasi selengkapnya tentang hak penggunaan dan tingkat izin, lihat Mengonfigurasi hak penggunaan untuk Perlindungan Informasi Azure.
Saat mengonfigurasi izin ini, Anda dapat menentukan pengguna mana yang mereka gunakan untuk:
Untuk pengguna di organisasi Anda sendiri atau organisasi lain yang menggunakan Azure Active Directory: Anda dapat menentukan akun pengguna Azure AD, grup Azure AD, atau semua pengguna di organisasi tersebut.
Untuk pengguna yang tidak memiliki akun Azure Active Directory: Tentukan alamat email yang akan digunakan dengan akun Microsoft. Akun ini sudah bisa ada, atau pengguna dapat membuatnya pada saat mereka membuka dokumen yang dilindungi.
Untuk membuka dokumen dengan akun Microsoft, pengguna harus menggunakan aplikasi Microsoft 365 (Klik untuk Menjalankan). Edisi dan versi Office lainnya belum mendukung pembukaan Office dokumen yang dilindungi dengan akun Microsoft.
Untuk setiap pengguna yang diautentikasi: Opsi ini cocok ketika Anda tidak perlu mengontrol siapa yang mengakses dokumen yang dilindungi, asalkan pengguna dapat diautentikasi. Autentikasi dapat dilakukan dengan Azure AD, dengan menggunakan akun Microsoft, atau bahkan penyedia sosial federasi atau kode akses satu kali saat konten dilindungi oleh kemampuan baru enkripsi pesan Office 365.
Sebagai administrator, Anda dapat mengonfigurasi label Perlindungan Informasi Azure untuk menerapkan izin dan pengguna yang berwenang. Konfigurasi ini memudahkan pengguna dan administrator lain untuk menerapkan pengaturan perlindungan yang benar, karena mereka hanya menerapkan label tanpa harus menentukan detail apa pun. Bagian berikut ini menyediakan contoh panduan untuk melindungi dokumen yang mendukung kolaborasi aman dengan pengguna internal dan eksternal.
Contoh konfigurasi label untuk menerapkan perlindungan guna mendukung kolaborasi internal dan eksternal
Contoh ini menjelaskan cara mengonfigurasi label yang ada untuk menerapkan perlindungan sehingga pengguna dari organisasi Anda dapat berkolaborasi pada dokumen dengan semua pengguna dari organisasi lain yang memiliki Microsoft 365 atau Azure AD, grup dari organisasi lain yang memiliki Microsoft 365 atau Azure AD, dan pengguna yang tidak memiliki akun di Azure AD dan sebaliknya akan menggunakan alamat email Gmail mereka.
Karena skenario membatasi akses ke orang tertentu, skenario tidak menyertakan pengaturan untuk pengguna yang diautentikasi. Untuk contoh bagaimana Anda dapat mengonfigurasi label dengan pengaturan ini, lihat Contoh 5: Label yang mengenkripsi konten tetapi tidak membatasi siapa yang dapat mengaksesnya.
Pilih label Anda yang sudah ada dalam kebijakan global atau kebijakan terlingkup. Pada panel Perlindungan , pastikan Azure (kunci cloud) dipilih.
Pastikan Atur izin dipilih, dan pilih Tambahkan izin.
Pada panel Tambahkan izin :
Untuk grup internal Anda: Pilih Telusuri direktori untuk memilih grup, yang harus diaktifkan melalui email.
Untuk semua pengguna di organisasi eksternal pertama: Pilih Masukkan detail dan ketik nama domain di penyewa organisasi. Misalnya fabrikam.com.
Untuk grup di organisasi eksternal kedua: Masih pada tab Masukkan detail , ketik alamat email grup di penyewa organisasi. Contohnya:sales@contoso.com
Untuk pengguna yang tidak memiliki akun Azure AD: Masih pada tab Masukkan detail, ketik alamat email pengguna. Contohnya:bengi.turan@gmail.com
Untuk memberikan izin yang sama kepada semua pengguna ini: Untuk Pilih izin dari prasetel, pilih Pemilik Bersama, Penulis Bersama, Peninjau, atau Kustom untuk memilih izin yang ingin Anda berikan.
Misalnya, izin Anda yang dikonfigurasi mungkin terlihat mirip dengan yang berikut ini:
Klik OK pada panel Tambahkan izin .
Pada panel Proteksi , klik OK.
Pada panel Label , pilih Simpan.
Menerapkan label yang mendukung kolaborasi aman
Sekarang setelah label ini dikonfigurasi, label ini dapat diterapkan ke dokumen dengan sejumlah cara yang mencakup hal berikut:
| Berbagai cara untuk menerapkan label | Informasi selengkapnya |
|---|---|
| Pengguna secara manual memilih label saat dokumen dibuat di aplikasi Office mereka. | Pengguna memilih label dari tombol Proteksi pada pita Office, atau dari bilah Perlindungan Informasi Azure. |
| Pengguna diminta untuk memilih label saat dokumen baru disimpan. | Anda telah mengonfigurasi pengaturan kebijakan Perlindungan Informasi Azure bernama Semua dokumen dan email harus memiliki label. |
| Pengguna berbagi dokumen melalui email dan memilih label secara manual di Outlook. | Pengguna memilih label dari tombol Lindungi pada pita Office, atau dari bilah Perlindungan Informasi Azure, dan dokumen terlampir secara otomatis dilindungi dengan pengaturan yang sama. |
| Administrator menerapkan label ke dokumen dengan menggunakan PowerShell. | Gunakan cmdlet Set-AIPFileLabel untuk menerapkan label ke dokumen tertentu atau semua dokumen dalam folder. |
| Anda juga telah mengonfigurasi label untuk menerapkan klasifikasi otomatis yang sekarang dapat diterapkan dengan menggunakan pemindai Perlindungan Informasi Azure, atau PowerShell. | Lihat Cara mengonfigurasi kondisi untuk klasifikasi otomatis dan yang direkomendasikan untuk Perlindungan Informasi Azure. |
Untuk menyelesaikan panduan ini, terapkan label secara manual saat Anda membuat dokumen di aplikasi Office Anda:
Di komputer klien, jika Anda sudah membuka aplikasi Office, pertama-tama tutup dan buka kembali untuk mendapatkan perubahan kebijakan terbaru yang menyertakan label anda yang baru dikonfigurasi.
Terapkan label ke dokumen, dan simpan.
Bagikan dokumen yang diproteksi dengan melampirkannya ke email, dan kirimkan ke orang yang Anda beri otorisasi untuk mengedit dokumen.
Membuka dan mengedit dokumen yang diproteksi
Saat pengguna yang Anda otorisasi membuka dokumen untuk pengeditan, dokumen terbuka dengan banner informasi yang memberi tahu mereka bahwa izin dibatasi. Contohnya:
Jika mereka memilih tombol Lihat Izin , mereka akan melihat izin yang mereka miliki. Dalam contoh berikut, pengguna bisa menampilkan dan mengedit dokumen:
Catatan: Jika dokumen dibuka oleh pengguna eksternal yang juga menggunakan Perlindungan Informasi Azure, aplikasi Office tidak menampilkan label klasifikasi Anda untuk dokumen, meskipun tanda visual apa pun dari label tetap ada. Sebagai gantinya, pengguna eksternal dapat menerapkan label mereka sendiri sejalan dengan taksonomi klasifikasi organisasi mereka. Jika pengguna eksternal ini kemudian mengirim kembali dokumen yang diedit kepada Anda, Office menampilkan label klasifikasi asli Anda saat Anda membuka kembali dokumen.
Sebelum dokumen yang diproteksi terbuka, salah satu alur autentikasi berikut ini terjadi:
Untuk pengguna yang memiliki akun Azure AD, mereka menggunakan kredensial Azure AD mereka untuk diautentikasi oleh Azure AD, dan dokumen terbuka.
Untuk pengguna yang tidak memiliki akun Azure AD, jika mereka tidak masuk ke Office dengan akun yang memiliki izin untuk membuka dokumen, mereka akan melihat halaman Akun.
Pada halaman Akun , pilih Tambahkan Akun:
Pada halaman Masuk , pilih Buat satu! dan ikuti perintah untuk membuat akun Microsoft baru dengan alamat email yang digunakan untuk memberikan izin:
Saat akun Microsoft baru dibuat, akun lokal beralih ke akun Microsoft baru ini dan pengguna kemudian dapat membuka dokumen.
Skenario yang didukung untuk membuka dokumen yang dilindungi
Tabel berikut ini meringkas berbagai metode autentikasi yang didukung untuk menampilkan dan mengedit dokumen yang dilindungi.
Selain itu, skenario berikut mendukung menampilkan dokumen:
Penampil Perlindungan Informasi Azure untuk Windows, dan untuk iOS dan Android dapat membuka file dengan menggunakan akun Microsoft.
Browser dapat membuka lampiran yang dilindungi saat penyedia sosial dan kode sandi satu kali digunakan untuk autentikasi dengan Exchange Online dan kemampuan baru dari Enkripsi Pesan Office 365.
| Platform untuk menampilkan dan mengedit dokumen: Word, Excel, PowerPoint |
Metode autentikasi: Azure Active Directory |
Metode autentikasi: Akun Microsoft |
|---|---|---|
| Windows | Ya [1] | Ya (aplikasi Microsoft 365 dan Microsoft Office 2019) |
| iOS | Ya [1] | Ya (versi 2.42 dan yang lebih tinggi) |
| Android | Ya [1] | Ya (versi 16.0.13029 dan yang lebih tinggi) |
| MacOS | Ya [1] | Ya (Microsoft 365 aplikasi, versi 16.42 dan yang lebih tinggi) |
Catatan kaki 1
Mendukung akun pengguna, grup yang mendukung email, semua anggota. Akun pengguna dan grup yang mendukung email dapat menyertakan akun tamu. Semua anggota mengecualikan akun tamu.
Langkah berikutnya
Lihat contoh konfigurasi lain untuk label guna menerapkan perlindungan untuk skenario umum. Artikel ini juga berisi detail selengkapnya tentang pengaturan perlindungan.
Untuk informasi selengkapnya tentang opsi dan pengaturan lain yang bisa Anda konfigurasi untuk label Anda, lihat Mengonfigurasi kebijakan Perlindungan Informasi Azure.
Label yang dikonfigurasi dalam artikel ini juga membuat templat perlindungan dengan nama yang sama. Jika Anda memiliki aplikasi dan layanan yang terintegrasi dengan templat perlindungan dari Perlindungan Informasi Azure, mereka dapat menerapkan templat ini. Misalnya, solusi DLP dan aturan alur email. Outlook di web secara otomatis menampilkan templat perlindungan dari kebijakan global Perlindungan Informasi Azure.