Tanya jawab umum untuk klien klasik Perlindungan Informasi Azure

Kapan waktu yang tepat untuk memigrasikan label saya ke pelabelan terpadu?

Kami menyarankan agar Anda memigrasikan label Perlindungan Informasi Azure ke platform pelabelan terpadu sehingga Anda dapat menggunakannya sebagai label sensitivitas dengan klien dan layanan lain yang mendukung pelabelan terpadu.

Untuk informasi dan instruksi selengkapnya, lihat Cara memigrasikan label Perlindungan Informasi Azure ke label sensitivitas terpadu.

Apakah saya perlu mengenkripsi ulang file saya setelah pindah ke label sensitivitas dan platform pelabelan terpadu?

Tidak, Anda tidak perlu mengenkripsi ulang file Anda setelah pindah ke label sensitivitas dan platform pelabelan terpadu setelah bermigrasi dari klien klasik AIP dan label yang dikelola di portal Azure.

Setelah bermigrasi, kelola label dan kebijakan pelabelan Anda dari pusat kepatuhan Microsoft 365.

Untuk informasi selengkapnya, lihat Mempelajari tentang label sensitivitas dalam dokumentasi Microsoft 365 dan blog Memahami migrasi pelabelan terpadu.

Apa perbedaan antara label di Microsoft 365 dan label di Perlindungan Informasi Azure?

Awalnya, Microsoft 365 hanya memiliki label retensi, yang memungkinkan Anda mengklasifikasikan dokumen dan email untuk audit dan retensi ketika konten tersebut disimpan di layanan Microsoft 365.

Sebaliknya, label Perlindungan Informasi Azure, yang dikonfigurasi pada saat menggunakan klien klasik AIP di portal Azure, memungkinkan Anda menerapkan kebijakan klasifikasi dan perlindungan yang konsisten untuk dokumen dan email apakah disimpan di tempat atau di cloud.

Microsoft 365 mendukung label sensitivitas selain label retensi. Label sensitivitas dapat dibuat dan dikonfigurasi di pusat kepatuhan Microsoft 365.

Jika Anda memiliki label AIP warisan yang dikonfigurasi dalam portal Azure, sebaiknya migrasikan ke label sensitivitas dan klien pelabelan terpadu. Untuk informasi selengkapnya, lihat Tutorial: Bermigrasi dari klien klasik Microsoft Azure Information Protection (AIP) ke klien pelabelan terpadu.

Untuk informasi selengkapnya, lihat Mengumumkan ketersediaan kemampuan perlindungan informasi untuk membantu melindungi data sensitif Anda.

Apakah klien Perlindungan Informasi Azure hanya untuk langganan yang menyertakan klasifikasi dan pelabelan?

Nomor. Klien AIP klasik juga dapat digunakan dengan langganan yang hanya menyertakan layanan Azure Rights Management, hanya untuk perlindungan data.

Saat klien klasik diinstal tanpa kebijakan Perlindungan Informasi Azure, klien secara otomatis beroperasi dalam mode khusus perlindungan, yang memungkinkan pengguna menerapkan templat Rights Management dan izin kustom.

Jika nanti Anda membeli langganan yang menyertakan klasifikasi dan pelabelan, klien secara otomatis beralih ke mode standar saat mengunduh kebijakan Perlindungan Informasi Azure.

Mengatur pemilik Rights Management

Secara default, untuk Windows Server FCI dan pemindai Perlindungan Informasi Azure, pemilik Rights Management diatur ke akun yang melindungi file.

Ambil alih pengaturan default sebagai berikut:

• Windows Server FCI: Atur pemilik Rights Management menjadi satu akun untuk semua file, atau atur pemilik Rights Management secara dinamis untuk setiap file.

  Untuk mengatur pemilik Rights Management secara dinamis, gunakan parameter dan nilai -OwnerMail [Source File Owner Email]. Konfigurasi ini mengambil alamat email pengguna dari Direktori Aktif dengan menggunakan nama akun pengguna di properti Pemilik file.

• Pemindai Perlindungan Informasi Azure: Untuk file yang baru dilindungi, atur pemilik Rights Management menjadi satu akun untuk semua file di penyimpanan data tertentu, dengan menentukan pengaturan -Pemilik default di profil pemindai.

  Secara dinamis mengatur pemilik Rights Management untuk setiap file tidak didukung, dan pemilik Rights Management tidak diubah untuk file yang dilindungi sebelumnya.

  Catatan

  Saat pemindai melindungi file di situs dan pustaka SharePoint, pemilik Rights Management diatur secara dinamis untuk setiap file dengan menggunakan nilai Editor SharePoint.

Dapatkah file memiliki lebih dari satu klasifikasi?

Pengguna hanya dapat memilih satu label pada satu waktu untuk setiap dokumen atau email, yang sering menghasilkan hanya satu klasifikasi. Namun, jika pengguna memilih sublabel, ini sebenarnya menerapkan dua label secara bersamaan; label utama dan label sekunder. Dengan menggunakan sublabel, file dapat memiliki dua klasifikasi yang menunjukkan hubungan induk\anak untuk tingkat kontrol tambahan.

Misalnya, label Rahasia mungkin berisi sublabel seperti Hukum dan Keuangan. Anda dapat menerapkan penandaan visual klasifikasi yang berbeda dan templat Rights Management yang berbeda ke sublabel ini. Pengguna tidak dapat memilih label Rahasia dengan sendirinya; hanya salah satu sublabelnya, seperti Legal. Akibatnya, label yang mereka lihat ditetapkan adalah Rahasia \ Hukum. Metadata untuk file tersebut menyertakan satu properti teks kustom untuk Rahasia, satu properti teks kustom untuk Legal, dan satu lagi yang berisi kedua nilai (Confidential Legal).

Saat Anda menggunakan sublabel, jangan mengonfigurasi penandaan visual, perlindungan, dan kondisi di label utama. Saat Anda menggunakan sublevel, konfigurasikan pengaturan ini hanya pada sublabel. Jika Anda mengonfigurasi pengaturan ini pada label utama dan sublabelnya, pengaturan di sublabel diutamakan.

Bagaimana cara mencegah seseorang menghapus atau mengubah label?

Meskipun ada pengaturan kebijakan yang mengharuskan pengguna untuk menyatakan mengapa mereka menurunkan label klasifikasi, menghapus label, atau menghapus perlindungan, pengaturan ini tidak mencegah tindakan ini. Untuk mencegah pengguna menghapus atau mengubah label, konten harus sudah dilindungi dan izin perlindungan tidak memberi pengguna hak penggunaan Ekspor atau Kontrol Penuh

Bagaimana solusi DLP dan aplikasi lain dapat diintegrasikan dengan Perlindungan Informasi Azure?

Karena Perlindungan Informasi Azure menggunakan metadata persisten untuk klasifikasi, yang mencakup label teks yang jelas, informasi ini dapat dibaca oleh solusi DLP dan aplikasi lainnya.

Untuk informasi selengkapnya tentang metadata ini, lihat Informasi label yang disimpan dalam email dan dokumen.

Untuk contoh penggunaan metadata ini dengan aturan alur email Exchange Online, lihat Mengonfigurasi aturan alur email Exchange Online untuk label Perlindungan Informasi Azure.

Bisakah saya membuat templat dokumen yang secara otomatis menyertakan klasifikasi?

Ya. Anda dapat mengonfigurasi label untuk menerapkan header atau footer yang menyertakan nama label. Tetapi jika itu tidak memenuhi persyaratan Anda, hanya untuk klien klasik Perlindungan Informasi Azure, Anda dapat membuat templat dokumen yang memiliki pemformatan yang Anda inginkan dan menambahkan klasifikasi sebagai kode bidang.

Sebagai contoh, Anda mungkin memiliki tabel di header dokumen yang menampilkan klasifikasi. Atau, Anda menggunakan kata-kata tertentu untuk pengenalan yang mereferensikan klasifikasi dokumen.

Untuk menambahkan kode bidang ini di dokumen Anda:

1. Beri label dokumen dan simpan. Tindakan ini membuat bidang metadata baru yang sekarang bisa Anda gunakan untuk kode bidang Anda.

2. Dalam dokumen, posisikan kursor tempat Anda ingin menambahkan klasifikasi label lalu, dari tab Sisipkan, pilihBidangBagian> Cepat Teks>.

3. Dalam kotak dialog Bidang , dari menu drop-down Kategori , pilih Informasi Dokumen. Lalu, dari menu dropdown Nama bidang , pilih DocProperty.

4. Dari menu drop-down Properti , pilih Sensitivitas, dan pilih OK.

Klasifikasi label saat ini ditampilkan dalam dokumen dan nilai ini akan disegarkan secara otomatis setiap kali Anda membuka dokumen atau menggunakan templat. Jadi, jika label berubah, klasifikasi yang ditampilkan untuk kode bidang ini secara otomatis diperbarui dalam dokumen.

Apa perbedaan klasifikasi untuk email menggunakan Perlindungan Informasi Azure dengan klasifikasi pesan Exchange?

Exchange klasifikasi pesan adalah fitur lama yang dapat mengklasifikasikan email dan diimplementasikan secara independen dari label Perlindungan Informasi Azure atau label sensitivitas yang menerapkan klasifikasi.

Namun, Anda dapat mengintegrasikan fitur lama ini dengan label, sehingga ketika pengguna mengklasifikasikan email dengan menggunakan Outlook di web dan dengan menggunakan beberapa aplikasi email seluler, klasifikasi label dan penandaan label yang sesuai ditambahkan secara otomatis.

Anda dapat menggunakan teknik yang sama ini untuk menggunakan label Anda dengan Outlook di web dan aplikasi email seluler ini.

Perhatikan bahwa Anda tidak perlu melakukan ini jika Anda menggunakan Outlook di web dengan Exchange Online, karena kombinasi ini mendukung pelabelan bawaan saat Anda menerbitkan label sensitivitas dari pusat kepatuhan Microsoft 365.

Jika Anda tidak dapat menggunakan pelabelan bawaan dengan Outlook di web, lihat langkah-langkah konfigurasi untuk solusi ini: Integrasi dengan warisan Exchange klasifikasi pesan

Bagaimana cara mengonfigurasi komputer Mac untuk melindungi dan melacak dokumen?

Pertama, pastikan Anda telah menginstal Office untuk Mac dengan menggunakan tautan penginstalan perangkat lunak dari https://admin.microsoft.com. Untuk petunjuk lengkapnya, lihat Mengunduh dan menginstal atau menginstal ulang Microsoft 365 atau Office 2019 di PC atau Mac.

Buka Outlook dan buat profil dengan menggunakan akun kerja atau sekolah Microsoft 365 Anda. Kemudian, buat pesan baru dan lakukan hal berikut untuk mengonfigurasi Office sehingga dapat melindungi dokumen dan email dengan menggunakan layanan Azure Rights Management:

1. Di pesan baru, pada tab Opsi , klik Izin, lalu klik Verifikasi Kredensial.

2. Saat diminta, tentukan lagi detail akun kantor atau sekolah Microsoft 365 Anda, dan pilih Masuk.

   Ini mengunduh templat Azure Rights Management dan Memverifikasi Kredensial sekarang diganti dengan opsi yang menyertakan Tidak Ada Batasan, Jangan Teruskan, dan templat Azure Rights Management apa pun yang diterbitkan untuk penyewa Anda. Anda sekarang dapat membatalkan pesan baru ini.

Untuk memproteksi pesan email atau dokumen: Pada tab Opsi , klik Izin dan pilih opsi atau templat yang melindungi email atau dokumen Anda.

Untuk melacak dokumen setelah Anda melindunginya: Dari komputer Windows yang menginstal klien klasik Perlindungan Informasi Azure, daftarkan dokumen dengan situs pelacakan dokumen dengan menggunakan aplikasi Office atau File Explorer. Untuk mengetahui petunjuknya, lihat Melacak dan mencabut dokumen Anda. Dari komputer Mac, Anda sekarang dapat menggunakan browser web untuk membuka situs pelacakan dokumen (https://track.azurerms.com) untuk melacak dan mencabut dokumen ini.

Saat saya menguji pencabutan di situs pelacakan dokumen, saya melihat pesan yang mengatakan orang masih dapat mengakses dokumen hingga 30 hari—apakah periode waktu ini dapat dikonfigurasi?

Ya. Pesan ini mencerminkan lisensi penggunaan untuk file tertentu tersebut.

Jika Anda mencabut file, tindakan tersebut hanya dapat diberlakukan saat pengguna mengautentikasi ke layanan Azure Rights Management. Jadi, jika file memiliki masa berlaku lisensi penggunaan 30 hari dan pengguna telah membuka dokumen, pengguna tersebut terus memiliki akses ke dokumen selama durasi lisensi penggunaan. Ketika lisensi penggunaan kedaluwarsa, pengguna harus mengautentikasi ulang, di mana pengguna ditolak akses karena dokumen sekarang dicabut.

Pengguna yang melindungi dokumen, penerbit Rights Management dikecualikan dari pencabutan ini dan selalu dapat mengakses dokumen mereka.

Nilai default untuk periode validitas lisensi penggunaan untuk penyewa adalah 30 hari dan pengaturan ini dapat ditimpa oleh pengaturan yang lebih ketat dalam label atau templat. Untuk informasi selengkapnya tentang menggunakan lisensi dan cara mengonfigurasinya, lihat dokumentasi Rights Management menggunakan lisensi.

Apa perbedaan antara BYOK dan HYOK dan kapan saya harus menggunakannya?

Bawa kunci Anda sendiri (BYOK) dalam konteks Perlindungan Informasi Azure, adalah saat Anda membuat kunci Anda sendiri di tempat untuk perlindungan Rights Management Azure. Anda kemudian mentransfer kunci tersebut ke modul keamanan perangkat keras (HSM) di Azure Key Vault tempat Anda terus memiliki dan mengelola kunci Anda. Jika Anda tidak melakukan ini, perlindungan Azure Rights Management akan menggunakan kunci yang secara otomatis dibuat dan dikelola untuk Anda di Azure. Konfigurasi default ini disebut sebagai "Dikelola Microsoft" daripada "dikelola pelanggan" (opsi BYOK).

Untuk informasi selengkapnya tentang BYOK dan apakah Anda harus memilih topologi utama ini untuk organisasi Anda, lihat Merencanakan dan menerapkan kunci penyewa Perlindungan Informasi Azure Anda.

Tahan kunci Anda sendiri (HYOK) dalam konteks Perlindungan Informasi Azure, adalah untuk beberapa organisasi yang memiliki subset dokumen atau email yang tidak dapat dilindungi oleh kunci yang disimpan di cloud. Untuk organisasi ini, pembatasan ini berlaku bahkan jika mereka membuat kunci dan mengelolanya, menggunakan BYOK. Pembatasan sering kali dapat disebabkan oleh alasan peraturan atau kepatuhan dan konfigurasi HYOK harus diterapkan ke informasi "Rahasia Teratas" saja, yang tidak akan pernah dibagikan di luar organisasi, hanya akan digunakan di jaringan internal, dan tidak perlu diakses dari perangkat seluler.

Untuk pengecualian ini (biasanya kurang dari 10% dari semua konten yang perlu dilindungi), organisasi dapat menggunakan solusi lokal, Layanan Active Directory Rights Management, untuk membuat kunci yang tetap di tempat. Dengan solusi ini, komputer mendapatkan kebijakan Perlindungan Informasi Azure mereka dari cloud, tetapi konten yang diidentifikasi ini dapat dilindungi dengan menggunakan kunci lokal.

Untuk informasi selengkapnya tentang HYOK dan untuk memastikan bahwa Anda memahami batasan dan batasannya, dan panduan kapan harus menggunakannya, lihat Menyimpan persyaratan dan batasan kunci Anda sendiri (HYOK) untuk perlindungan AD RMS.

Apa yang harus saya lakukan jika pertanyaan saya tidak ada di sini?

Pertama, tinjau pertanyaan yang sering diajukan yang tercantum di bawah ini, yang khusus untuk klasifikasi dan pelabelan, atau khusus untuk perlindungan data. Layanan Azure Rights Management (Azure RMS) menyediakan teknologi perlindungan data untuk Perlindungan Informasi Azure. Azure RMS dapat digunakan dengan klasifikasi dan pelabelan, atau dengan sendirinya.

• Tanya jawab umum untuk Microsoft Azure Information Protection

• Tanya Jawab Umum untuk klasifikasi dan pelabelan

• Tanya Jawab Umum untuk perlindungan data

Jika pertanyaan Anda tidak terjawab, lihat tautan dan sumber daya yang tercantum dalam Informasi dan dukungan untuk Perlindungan Informasi Azure.

Selain itu, ada FAQ yang dirancang untuk pengguna akhir:

• FAQ untuk aplikasi Perlindungan Informasi Azure untuk iOS dan Android

• FAQ untuk berbagi aplikasi RMS untuk komputer Mac