Menyiapkan pengguna dan grup untuk Perlindungan Informasi Azure
Catatan
Apakah Anda mencari Perlindungan Informasi Microsoft Purview, sebelumnya Microsoft Information Protection (MIP)?
Add-in Perlindungan Informasi Azure dihentikan dan diganti dengan label yang disertakan dalam aplikasi dan layanan Microsoft 365 Anda. Pelajari selengkapnya tentang status dukungan komponen Perlindungan Informasi Azure lainnya.
Klien Perlindungan Informasi Microsoft baru (tanpa add-in) saat ini dalam pratinjau dan dijadwalkan untuk ketersediaan umum.
Sebelum Anda menyebarkan Perlindungan Informasi Azure untuk organisasi Anda, pastikan Anda memiliki akun untuk pengguna dan grup di ID Microsoft Entra untuk penyewa organisasi Anda.
Ada berbagai cara untuk membuat akun ini untuk pengguna dan grup, yang meliputi:
Anda membuat pengguna di pusat admin Microsoft 365, dan grup di pusat admin Exchange Online.
Anda membuat pengguna dan grup di portal Azure.
Anda membuat pengguna dan grup dengan menggunakan cmdlet Azure AD PowerShell dan Exchange Online.
Anda membuat pengguna dan grup di Active Directory lokal Anda dan menyinkronkannya ke ID Microsoft Entra.
Anda membuat pengguna dan grup di direktori lain dan menyinkronkannya ke ID Microsoft Entra.
Saat Anda membuat pengguna dan grup dengan menggunakan tiga metode pertama dari daftar ini, dengan satu pengecualian, mereka secara otomatis dibuat di ID Microsoft Entra, dan Perlindungan Informasi Azure dapat menggunakan akun ini secara langsung. Namun, banyak jaringan perusahaan menggunakan direktori lokal untuk membuat dan mengelola pengguna dan grup. Perlindungan Informasi Azure tidak dapat menggunakan akun ini secara langsung; Anda harus menyinkronkannya ke ID Microsoft Entra.
Pengecualian yang dimaksud dalam paragraf sebelumnya adalah daftar distribusi dinamis yang bisa Anda buat untuk Exchange Online. Tidak seperti daftar distribusi statis, grup ini tidak direplikasi ke ID Microsoft Entra sehingga tidak dapat digunakan oleh Perlindungan Informasi Azure.
Cara pengguna dan grup digunakan oleh Perlindungan Informasi Azure
Ada tiga skenario untuk menggunakan pengguna dan grup dengan Perlindungan Informasi Azure:
Untuk menetapkan label kepada pengguna saat Anda mengonfigurasi kebijakan Perlindungan Informasi Azure sehingga label dapat diterapkan ke dokumen dan email. Hanya administrator yang dapat memilih pengguna dan grup ini:
- Kebijakan Perlindungan Informasi Azure default secara otomatis ditetapkan ke semua pengguna di ID Microsoft Entra penyewa Anda. Namun, Anda juga dapat menetapkan label tambahan ke pengguna atau grup tertentu dengan menggunakan kebijakan terlingkup.
Untuk menetapkan hak penggunaan dan kontrol akses saat Anda menggunakan layanan Manajemen Hak Azure untuk melindungi dokumen dan email. Administrator dan pengguna dapat memilih pengguna dan grup ini:
Hak penggunaan menentukan apakah pengguna dapat membuka dokumen atau email dan bagaimana mereka dapat menggunakannya. Misalnya, apakah mereka hanya dapat membacanya, atau membaca dan mencetaknya, atau membaca dan mengeditnya.
Kontrol akses mencakup tanggal kedaluwarsa dan apakah koneksi ke internet diperlukan untuk akses.
Untuk mengonfigurasi layanan Azure Rights Management untuk mendukung skenario tertentu, dan oleh karena itu hanya administrator yang memilih grup ini. Contohnya termasuk mengonfigurasi hal berikut:
Pengguna super, sehingga layanan atau orang yang ditunjuk dapat membuka konten terenkripsi jika diperlukan untuk eDiscovery atau pemulihan data.
Administrasi yang didelegasikan dari layanan Azure Rights Management.
Kontrol onboarding untuk mendukung penyebaran bertahap.
Persyaratan Perlindungan Informasi Azure untuk akun pengguna
Untuk menetapkan label:
- Semua akun pengguna di ID Microsoft Entra dapat digunakan untuk mengonfigurasi kebijakan terlingkup yang menetapkan label tambahan kepada pengguna.
Untuk menetapkan hak penggunaan dan kontrol akses, dan mengonfigurasi layanan Azure Rights Management:
Untuk mengotorisasi pengguna, dua atribut di ID Microsoft Entra digunakan: proxyAddresses dan userPrincipalName.
Atribut Microsoft Entra proxyAddresses menyimpan semua alamat email untuk akun dan dapat diisi dengan cara yang berbeda. Misalnya, pengguna di Microsoft 365 yang memiliki kotak surat Exchange Online secara otomatis memiliki alamat email yang disimpan dalam atribut ini. Jika Anda menetapkan alamat email alternatif untuk pengguna Microsoft 365, alamat email tersebut juga disimpan dalam atribut ini. Ini juga dapat diisi oleh alamat email yang disinkronkan dari akun lokal.
Perlindungan Informasi Azure dapat menggunakan nilai apa pun dalam atribut Microsoft Entra proxyAddresses ini, asalkan domain telah ditambahkan ke penyewa Anda ("domain terverifikasi"). Untuk informasi selengkapnya tentang memverifikasi domain:
Untuk ID Microsoft Entra: Menambahkan nama domain kustom ke ID Microsoft Entra
Untuk Office 365: Menambahkan domain ke Office 365
Atribut UserPrincipalName Microsoft Entra hanya digunakan saat akun di penyewa Anda tidak memiliki nilai di atribut Microsoft Entra proxyAddresses. Misalnya, Anda membuat pengguna di portal Azure, atau membuat pengguna untuk Microsoft 365 yang tidak memiliki kotak surat.
Menetapkan hak penggunaan dan kontrol akses untuk pengguna eksternal
Selain menggunakan Microsoft Entra proxyAddresses dan Microsoft Entra userPrincipalName untuk pengguna di penyewa Anda, Azure Information Protection juga menggunakan atribut ini dengan cara yang sama untuk mengotorisasi pengguna dari penyewa lain.
Metode otorisasi lainnya:
Untuk alamat email yang tidak ada di ID Microsoft Entra, Perlindungan Informasi Azure dapat mengotorisasinya saat diautentikasi dengan akun Microsoft. Namun, tidak semua aplikasi dapat membuka konten yang dilindungi saat akun Microsoft digunakan untuk autentikasi. Informasi selengkapnya
Saat email dikirim dengan menggunakan Enkripsi Pesan Office 365 dengan kemampuan baru kepada pengguna yang tidak memiliki akun di ID Microsoft Entra, pengguna pertama kali diautentikasi dengan menggunakan federasi dengan idP sosial atau dengan menggunakan kode sandi satu kali. Kemudian alamat email yang ditentukan dalam email yang dilindungi digunakan untuk mengotorisasi pengguna.
Persyaratan Perlindungan Informasi Azure untuk akun grup
Untuk menetapkan label:
Untuk mengonfigurasi kebijakan terlingkup yang menetapkan label tambahan ke anggota grup, Anda dapat menggunakan semua jenis grup di ID Microsoft Entra yang memiliki alamat email yang berisi domain terverifikasi untuk penyewa pengguna. Grup yang memiliki alamat email sering disebut sebagai grup yang diaktifkan email.
Misalnya, Anda dapat menggunakan grup keamanan dengan dukungan email, grup distribusi statis, dan grup Microsoft 365. Anda tidak dapat menggunakan grup keamanan (dinamis atau statis) karena tipe grup ini tidak memiliki alamat email. Anda juga tidak dapat menggunakan daftar distribusi dinamis dari Exchange Online karena grup ini tidak direplikasi ke ID Microsoft Entra.
Untuk menetapkan hak penggunaan dan kontrol akses:
- Anda dapat menggunakan semua jenis grup di ID Microsoft Entra yang memiliki alamat email yang berisi domain terverifikasi untuk penyewa pengguna. Grup yang memiliki alamat email sering disebut sebagai grup yang diaktifkan email.
Untuk mengonfigurasi layanan Azure Rights Management:
Anda dapat menggunakan semua jenis grup di ID Microsoft Entra yang memiliki alamat email dari domain terverifikasi di penyewa Anda, dengan satu pengecualian. Pengecualian tersebut adalah ketika Anda mengonfigurasi kontrol onboarding untuk menggunakan grup, yang harus menjadi grup keamanan di ID Microsoft Entra untuk penyewa Anda.
Anda dapat menggunakan grup apa pun di ID Microsoft Entra (dengan atau tanpa alamat email) dari domain terverifikasi di penyewa Anda untuk mendelegasikan administrasi layanan Azure Rights Management.
Menetapkan hak penggunaan dan kontrol akses ke grup eksternal
Selain menggunakan proksi Microsoft EntraAddresses untuk grup di penyewa Anda, Perlindungan Informasi Azure juga menggunakan atribut ini dengan cara yang sama untuk mengotorisasi grup dari penyewa lain.
Menggunakan akun dari Active Directory lokal untuk Perlindungan Informasi Azure
Jika Anda memiliki akun yang dikelola secara lokal yang ingin Anda gunakan dengan Perlindungan Informasi Azure, Anda harus menyinkronkan ini ke ID Microsoft Entra. Untuk kemudahan penyebaran, kami sarankan Anda menggunakan Microsoft Entra Koneksi. Namun, Anda dapat menggunakan metode sinkronisasi direktori apa pun yang mencapai hasil yang sama.
Saat menyinkronkan akun, Anda tidak perlu menyinkronkan semua atribut. Untuk daftar atribut yang harus disinkronkan, lihat bagian Azure RMS dari dokumentasi Microsoft Entra.
Dari daftar atribut untuk Azure Rights Management, Anda melihat bahwa untuk pengguna, atribut AD lokal email, proxyAddresses, dan userPrincipalName diperlukan untuk sinkronisasi. Nilai untuk mail dan proxyAddresses disinkronkan ke atribut Microsoft Entra proxyAddresses. Untuk informasi selengkapnya, lihat Bagaimana atribut proxyAddresses diisi di ID Microsoft Entra
Mengonfirmasi pengguna dan grup Anda disiapkan untuk Perlindungan Informasi Azure
Anda dapat menggunakan Azure AD PowerShell untuk mengonfirmasi bahwa pengguna dan grup dapat digunakan dengan Perlindungan Informasi Azure. Anda juga dapat menggunakan PowerShell untuk mengonfirmasi nilai yang dapat digunakan untuk mengotorisasinya.
Catatan
Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.
Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.
Misalnya, menggunakan modul PowerShell V1 untuk ID Microsoft Entra, MSOnline, dalam sesi PowerShell, pertama-tama sambungkan ke layanan dan berikan kredensial admin global Anda:
Connect-MsolService
Catatan: Jika perintah ini tidak berfungsi, Anda dapat menjalankan Install-Module MSOnline untuk menginstal modul MSOnline.
Selanjutnya, konfigurasikan sesi PowerShell Anda sehingga tidak memotong nilai:
$Formatenumerationlimit =-1
Konfirmasikan akun pengguna siap untuk Perlindungan Informasi Azure
Untuk mengonfirmasi akun pengguna, jalankan perintah berikut:
Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses
Pemeriksaan pertama Anda adalah memastikan bahwa pengguna yang ingin Anda gunakan dengan Perlindungan Informasi Azure ditampilkan.
Kemudian periksa apakah kolom ProxyAddresses diisi. Jika ya, nilai email dalam kolom ini dapat digunakan untuk mengotorisasi pengguna untuk Perlindungan Informasi Azure.
Jika kolom ProxyAddresses tidak diisi, nilai dalam UserPrincipalName digunakan untuk mengotorisasi pengguna untuk layanan Azure Rights Management.
Contohnya:
| Nama Tampilan | UserPrincipalName | ProxyAddresses |
|---|---|---|
| Jagannath Reddy | jagannathreddy@contoso.com | {} |
| Ankur Roy | ankurroy@contoso.com | {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com} |
Dalam contoh ini:
Akun pengguna untuk Jagannath Reddy akan diotorisasi oleh jagannathreddy@contoso.com.
Akun pengguna untuk Ankur Roy dapat diotorisasi dengan menggunakan ankur.roy@contoso.com dan ankur.roy@onmicrosoft.contoso.com, tetapi tidak ankurroy@contoso.com.
Dalam kebanyakan kasus, nilai untuk UserPrincipalName cocok dengan salah satu nilai di bidang ProxyAddresses. Ini adalah konfigurasi yang direkomendasikan tetapi jika Anda tidak dapat mengubah UPN agar sesuai dengan alamat email, Anda harus mengambil langkah-langkah berikut:
Jika nama domain dalam nilai UPN adalah domain terverifikasi untuk penyewa Microsoft Entra Anda, tambahkan nilai UPN sebagai alamat email lain di ID Microsoft Entra sehingga nilai UPN sekarang dapat digunakan untuk mengotorisasi akun pengguna untuk Perlindungan Informasi Azure.
Jika nama domain dalam nilai UPN bukan domain terverifikasi untuk penyewa Anda, nama domain tersebut tidak dapat digunakan dengan Perlindungan Informasi Azure. Namun, pengguna masih dapat diotorisasi sebagai anggota grup saat alamat email grup menggunakan nama domain terverifikasi.
Jika UPN tidak dapat dirutekan (misalnya, ankurroy@contoso.local), konfigurasikan ID masuk alternatif untuk pengguna dan instruksikan mereka cara masuk ke Office dengan menggunakan masuk alternatif ini. Anda juga harus mengatur kunci registri untuk Office.
Dengan perubahan UPN bagi pengguna, akan ada hilangnya kelangsungan bisnis setidaknya selama 24 jam atau sampai perubahan UPN tercermin dengan benar dalam sistem.
Untuk informasi selengkapnya, lihat Mengonfigurasi ID Masuk Alternatif dan aplikasi Office likasi secara berkala meminta kredensial ke SharePoint, OneDrive, dan Lync Online.
Tip
Anda dapat menggunakan cmdlet Ekspor-Csv untuk mengekspor hasil ke spreadsheet untuk manajemen yang lebih mudah, seperti pencarian dan pengeditan massal untuk impor.
Misalnya: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv
Catatan
Dengan perubahan UPN bagi pengguna, akan ada hilangnya kelangsungan bisnis setidaknya selama 24 jam atau sampai perubahan UPN tercermin dengan benar dalam sistem.
Mengonfirmasi akun grup siap untuk Perlindungan Informasi Azure
Untuk mengonfirmasi akun grup, gunakan perintah berikut:
Get-MsolGroup | select DisplayName, ProxyAddresses
Pastikan bahwa grup yang ingin Anda gunakan dengan Perlindungan Informasi Azure ditampilkan. Untuk grup yang ditampilkan, alamat email di kolom ProxyAddresses dapat digunakan untuk mengotorisasi anggota grup untuk layanan Manajemen Hak Azure.
Kemudian periksa apakah grup berisi pengguna (atau grup lain) yang ingin Anda gunakan untuk Perlindungan Informasi Azure. Anda dapat menggunakan PowerShell untuk melakukan ini (misalnya, Get-MsolGroupMember), atau menggunakan portal manajemen Anda.
Untuk dua skenario konfigurasi layanan Azure Rights Management yang menggunakan grup keamanan, Anda dapat menggunakan perintah PowerShell berikut untuk menemukan ID objek dan nama tampilan yang dapat digunakan untuk mengidentifikasi grup ini. Anda juga dapat menggunakan portal Azure untuk menemukan grup ini dan menyalin nilai untuk ID objek dan nama tampilan:
Get-MsolGroup | where {$_.GroupType -eq "Security"}
Pertimbangan untuk Perlindungan Informasi Azure jika alamat email berubah
Jika Anda mengubah alamat email pengguna atau grup, kami sarankan Anda menambahkan alamat email lama sebagai alamat email kedua (juga dikenal sebagai alamat proksi, alias, atau alamat email alternatif) ke pengguna atau grup. Saat Anda melakukan ini, alamat email lama ditambahkan ke atribut Microsoft Entra proxyAddresses. Administrasi akun ini memastikan kelangsungan bisnis untuk setiap hak penggunaan atau konfigurasi lain di sana disimpan ketika alamat email lama sedang digunakan.
Jika Anda tidak dapat melakukan ini, pengguna atau grup dengan alamat email baru berisiko ditolak akses ke dokumen dan email yang sebelumnya dilindungi dengan alamat email lama. Dalam hal ini, Anda harus mengulangi konfigurasi perlindungan untuk menyimpan alamat email baru. Misalnya, jika pengguna atau grup diberikan hak penggunaan dalam templat atau label, edit templat atau label tersebut dan tentukan alamat email baru dengan hak penggunaan yang sama seperti yang Anda berikan ke alamat email lama.
Perhatikan bahwa jarang grup mengubah alamat emailnya dan jika Anda menetapkan hak penggunaan ke grup daripada pengguna individual, tidak masalah jika alamat email pengguna berubah. Dalam skenario ini, hak penggunaan ditetapkan ke alamat email grup dan bukan alamat email pengguna individual. Ini adalah metode yang paling mungkin (dan direkomendasikan) bagi administrator untuk mengonfigurasi hak penggunaan yang melindungi dokumen dan email. Namun, pengguna mungkin lebih biasanya menetapkan izin kustom untuk pengguna individual. Karena Anda tidak selalu dapat mengetahui apakah akun pengguna atau grup telah digunakan untuk memberikan akses, paling aman untuk selalu menambahkan alamat email lama sebagai alamat email kedua.
Penembolokan keanggotaan grup oleh Perlindungan Informasi Azure
Untuk alasan performa, Azure Information Protection menyimpan keanggotaan grup. Ini berarti bahwa setiap perubahan pada keanggotaan grup di ID Microsoft Entra dapat memakan waktu hingga tiga jam untuk diterapkan ketika grup ini digunakan oleh Perlindungan Informasi Azure dan periode waktu ini dapat berubah.
Ingatlah untuk memperhitungkan penundaan ini ke dalam setiap perubahan atau pengujian yang Anda lakukan saat menggunakan grup untuk memberikan hak penggunaan atau mengonfigurasi layanan Azure Rights Management, atau saat Anda mengonfigurasi kebijakan terlingkup.
Langkah berikutnya
Ketika Anda telah mengonfirmasi bahwa pengguna dan grup Anda dapat digunakan dengan Perlindungan Informasi Azure dan Anda siap untuk mulai melindungi dokumen dan email, periksa apakah Anda perlu mengaktifkan layanan Azure Rights Management. Layanan ini harus diaktifkan sebelum Anda dapat melindungi dokumen dan email organisasi Anda:
Dimulai dengan Februari 2018: Jika langganan Anda yang menyertakan Manajemen Hak Azure atau Perlindungan Informasi Azure diperoleh selama atau setelah bulan ini, layanan akan diaktifkan secara otomatis untuk Anda.
Jika langganan Anda diperoleh sebelum Februari 2018: Anda harus mengaktifkan layanan sendiri.
Untuk informasi selengkapnya, yang mencakup pemeriksaan status aktivasi, lihat Mengaktifkan layanan perlindungan dari Perlindungan Informasi Azure.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk