Persyaratan Perlindungan Informasi Azure
Catatan
Apakah Anda mencari Perlindungan Informasi Microsoft Purview, sebelumnya Microsoft Information Protection (MIP)?
Add-in Perlindungan Informasi Azure dihentikan dan diganti dengan label yang disertakan dalam aplikasi dan layanan Microsoft 365 Anda. Pelajari selengkapnya tentang status dukungan komponen Perlindungan Informasi Azure lainnya.
Klien Perlindungan Informasi Microsoft baru (tanpa add-in) saat ini dalam pratinjau dan dijadwalkan untuk ketersediaan umum.
Sebelum menyebarkan Perlindungan Informasi Azure, pastikan sistem Anda memenuhi prasyarat berikut:
- Langganan untuk Perlindungan Informasi Azure
- Microsoft Entra ID
- Perangkat klien
- Aplikasi
- Firewall dan infrastruktur jaringan
Untuk menyebarkan Perlindungan Informasi Azure, Anda harus menginstal klien AIP di komputer mana pun tempat Anda ingin menggunakan fitur AIP. Untuk informasi selengkapnya, lihat Menginstal klien pelabelan terpadu Perlindungan Informasi Azure untuk pengguna dan sisi klien Perlindungan Informasi Azure.
Langganan untuk Perlindungan Informasi Azure
Anda harus memiliki paket Perlindungan Informasi Azure untuk klasifikasi, pelabelan, dan perlindungan menggunakan pemindai atau klien Perlindungan Informasi Azure. Untuk informasi selengkapnya, lihat:
- Panduan lisensi Microsoft 365 untuk keamanan & kepatuhan
- Perbandingan Rencana Kerja Modern (unduhan PDF)
Jika pertanyaan Anda tidak dijawab di sana, hubungi Manajer Akun Microsoft atau Dukungan Microsoft Anda.
Microsoft Entra ID
Untuk mendukung autentikasi dan otorisasi untuk Perlindungan Informasi Azure, Anda harus memiliki ID Microsoft Entra. Untuk menggunakan akun pengguna dari direktori lokal (AD DS), Anda juga harus mengonfigurasi integrasi direktori.
Akses menyeluruh (SSO) didukung untuk Perlindungan Informasi Azure sehingga pengguna tidak berulang kali dimintai kredensial mereka. Jika Anda menggunakan solusi vendor lain untuk federasi, tanyakan kepada vendor tersebut tentang cara mengonfigurasinya untuk ID Microsoft Entra. WS-Trust adalah persyaratan umum bagi solusi ini untuk mendukung akses menyeluruh.
Autentikasi multifaktor (MFA) didukung dengan Perlindungan Informasi Azure saat Anda memiliki perangkat lunak klien yang diperlukan dan telah mengonfigurasi infrastruktur pendukung MFA dengan benar.
Akses bersyarah didukung dalam pratinjau untuk dokumen yang dilindungi oleh Perlindungan Informasi Azure. Untuk informasi selengkapnya, lihat: Saya melihat Perlindungan Informasi Azure tercantum sebagai aplikasi cloud yang tersedia untuk akses bersyar—bagaimana cara kerjanya?
Prasyarat tambahan diperlukan untuk skenario tertentu, seperti saat menggunakan autentikasi berbasis sertifikat atau multifaktor, atau ketika nilai UPN tidak cocok dengan alamat email pengguna.
Untuk informasi selengkapnya, lihat:
- Persyaratan Microsoft Entra tambahan untuk Perlindungan Informasi Azure.
- Apa itu Microsoft Entra Directory?
- Integrasikan domain Active Directory lokal dengan MICROSOFT Entra ID.
Perangkat klien
Komputer pengguna atau perangkat seluler harus berjalan pada sistem operasi yang mendukung Perlindungan Informasi Azure.
- Sistem operasi yang didukung untuk perangkat klien
- ARM64
- Mesin virtual
- Dukungan server
- Persyaratan tambahan per klien
Sistem operasi yang didukung untuk perangkat klien
Klien Perlindungan Informasi Azure untuk Windows didukung adalah sistem operasi berikut:
Windows 11
Windows 10 (x86, x64). Tulisan tangan tidak didukung di build Windows 10 RS4 dan yang lebih baru.
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2 dan Windows Server 2012
Untuk detail tentang dukungan di versi Windows yang lebih lama, hubungi akun Microsoft atau perwakilan dukungan Anda.
Catatan
Saat klien Perlindungan Informasi Azure melindungi data dengan menggunakan layanan Azure Rights Management, data dapat digunakan oleh perangkat yang sama yang mendukung layanan Manajemen Hak Azure.
ARM64
ARM64 saat ini tidak didukung.
Mesin virtual
Jika Anda bekerja dengan komputer virtual, periksa apakah vendor perangkat lunak untuk solusi desktop virtual Anda sebagai konfigurasi tambahan yang diperlukan untuk menjalankan pelabelan terpadu Perlindungan Informasi Azure atau klien Perlindungan Informasi Azure.
Misalnya, untuk solusi Citrix, Anda mungkin perlu menonaktifkan kait Antarmuka Pemrograman Aplikasi (API) Citrix untuk Office, klien pelabelan terpadu Perlindungan Informasi Azure, atau klien Perlindungan Informasi Azure.
Aplikasi ini masing-masing menggunakan file berikut: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe
Dukungan server
Untuk setiap versi server yang tercantum di atas, klien Perlindungan Informasi Azure didukung untuk Layanan Desktop Jarak Jauh.
Jika Anda menghapus profil pengguna saat menggunakan klien Perlindungan Informasi Azure dengan Layanan Desktop Jauh, jangan hapus folder %Appdata%\Microsoft\Protect .
Selain itu, Server Core dan Nano Server tidak didukung.
Persyaratan tambahan per klien
Setiap klien Perlindungan Informasi Azure memiliki persyaratan tambahan. Untuk detailnya, lihat:
Aplikasi
Klien Perlindungan Informasi Azure bisa memberi label dan melindungi dokumen dan email dengan menggunakan Microsoft Word, Excel, PowerPoint, dan Outlook dari salah satu edisi Office berikut ini:
aplikasi Office, untuk versi yang tercantum dalam tabel versi yang didukung untuk Aplikasi Microsoft 365 oleh saluran pembaruan, dari Aplikasi Microsoft 365 untuk Bisnis atau Microsoft 365 Business Premium, saat pengguna diberi lisensi untuk Azure Rights Management (juga dikenal sebagai Perlindungan Informasi Azure untuk Office 365)
Aplikasi Microsoft 365 untuk Enterprise
Office Profesional Plus 2021
Office Profesional Plus 2019
Office Profesional Plus 2016 - Harap dicatat bahwa karena Office 2016 berada di luar dukungan mainstream, dukungan AIP akan dilakukan berdasarkan upaya terbaik dan tidak ada perbaikan yang akan dilakukan untuk masalah yang ditemukan pada versi 2016. lihat Microsoft Office 2016
Edisi Office lainnya tidak dapat melindungi dokumen dan email dengan menggunakan layanan Manajemen Hak. Untuk edisi ini, Perlindungan Informasi Azure hanya didukung untuk klasifikasi, dan label yang menerapkan perlindungan tidak ditampilkan untuk pengguna.
Label ditampilkan di bilah yang ditampilkan di bagian atas dokumen Office, dapat diakses dari tombol Sensitivitas di klien pelabelan terpadu.
- File PDF versi 1.4 dan yang lebih rendah akan secara otomatis ditingkatkan ke versi 1.5 ketika Klien AIP melabeli file.
Untuk informasi selengkapnya, lihat Aplikasi yang mendukung perlindungan data Azure Rights Management.
Fitur dan kapabilitas Office tidak didukung
Klien Perlindungan Informasi Azure untuk Windows tidak mendukung beberapa versi Office di komputer yang sama, atau mengalihkan akun pengguna di Office.
Fitur penggabungan surat Office tidak didukung dengan fitur Perlindungan Informasi Azure apa pun.
Firewall dan infrastruktur jaringan
Jika Anda memiliki firewall atau perangkat jaringan intervensi serupa yang dikonfigurasi untuk mengizinkan koneksi tertentu, persyaratan konektivitas jaringan tercantum dalam artikel Office ini: Microsoft 365 Common dan Office Online.
Perlindungan Informasi Azure memiliki persyaratan tambahan berikut:
Klien pelabelan terpadu. Untuk mengunduh label dan kebijakan label, izinkan URL berikut melalui HTTPS: *.protection.outlook.com
Proksi web. Jika Anda menggunakan proksi web yang memerlukan autentikasi, Anda harus mengonfigurasi proksi untuk menggunakan autentikasi Windows terintegrasi dengan kredensial masuk Direktori Aktif pengguna.
Untuk mendukung file Proxy.pac saat menggunakan proksi untuk memperoleh token, tambahkan kunci registri baru berikut:
- Jalur:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ - Kunci:
UseDefaultCredentialsInProxy - Jenis:
DWORD - Nilai:
1
- Jalur:
Koneksi klien-ke-layanan TLS. Jangan hentikan koneksi klien-ke-layanan TLS, misalnya untuk melakukan inspeksi tingkat paket, ke URL aadrm.com . Melakukannya merusak penyematan sertifikat yang digunakan klien RMS dengan CA yang dikelola Microsoft untuk membantu mengamankan komunikasi mereka dengan layanan Azure Rights Management.
Untuk menentukan apakah koneksi klien Anda dihentikan sebelum mencapai layanan Azure Rights Management, gunakan perintah PowerShell berikut:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerHasilnya harus menunjukkan bahwa CA penerbit berasal dari CA Microsoft, misalnya:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.Jika Anda melihat nama CA penerbit yang bukan dari Microsoft, kemungkinan koneksi klien-ke-layanan aman Anda sedang dihentikan dan memerlukan konfigurasi ulang pada firewall Anda.
TLS versi 1.2 atau yang lebih tinggi (hanya klien pelabelan terpadu). Klien pelabelan terpadu memerlukan versi TLS 1.2 atau lebih tinggi untuk memastikan penggunaan protokol yang aman secara kriptografis dan selaras dengan pedoman keamanan Microsoft.
Microsoft 365 Enhanced Configuration Service (ECS). AIP harus memiliki akses ke URL config.edge.skype.com , yang merupakan Microsoft 365 Enhanced Configuration Service (ECS).
ECS memberi Microsoft kemampuan untuk mengonfigurasi ulang penginstalan AIP tanpa perlu Anda menyebarkan ulang AIP. Ini digunakan untuk mengontrol peluncuran fitur atau pembaruan secara bertahap, sementara dampak peluncuran dipantau dari data diagnostik yang dikumpulkan.
ECS juga digunakan untuk mengurangi masalah keamanan atau performa dengan fitur atau pembaruan. ECS juga mendukung perubahan konfigurasi yang terkait dengan data diagnostik, untuk membantu memastikan bahwa peristiwa yang sesuai sedang dikumpulkan.
Membatasi URL config.edge.skype.com dapat memengaruhi kemampuan Microsoft untuk mengurangi kesalahan dan dapat memengaruhi kemampuan Anda untuk menguji fitur pratinjau.
Untuk informasi selengkapnya, lihat Layanan penting untuk Office - Menyebarkan Office.
Mengaudit konektivitas jaringan URL pengelogan. AIP harus dapat mengakses URL berikut untuk mendukung log audit AIP:
https://*.events.data.microsoft.comhttps://*.aria.microsoft.com(Hanya data perangkat Android)
Untuk informasi selengkapnya, lihat Prasyarat untuk pelaporan AIP.
Koeksistensi AD RMS dengan Azure RMS
Menggunakan AD RMS dan Azure RMS secara berdampingan, dalam organisasi yang sama, untuk melindungi konten oleh pengguna yang sama di organisasi yang sama, hanya didukung dalam perlindungan AD RMS untuk HYOK (tahan kunci Anda sendiri) dengan Perlindungan Informasi Azure.
Skenario ini tidak didukung selama migrasi. Jalur migrasi yang didukung meliputi:
Tip
Jika Anda menyebarkan Perlindungan Informasi Azure lalu memutuskan bahwa Anda tidak lagi ingin menggunakan layanan awan ini, lihat Menonaktifkan dan menonaktifkan Perlindungan Informasi Azure.
Untuk skenario non-migrasi lainnya, di mana kedua layanan aktif dalam organisasi yang sama, kedua layanan harus dikonfigurasi sehingga hanya satu dari mereka yang memungkinkan pengguna tertentu untuk melindungi konten. Konfigurasikan skenario tersebut sebagai berikut:
Menggunakan pengalihan untuk migrasi AD RMS ke Azure RMS
Jika kedua layanan harus aktif untuk pengguna yang berbeda secara bersamaan, gunakan konfigurasi sisi layanan untuk memberlakukan pengecualian. Gunakan kontrol orientasi Azure RMS di layanan cloud, dan ACL pada URL Terbitkan untuk mengatur mode Baca-Saja untuk AD RMS.
Tag Layanan
Jika Anda menggunakan titik akhir Azure dan NSG, pastikan untuk mengizinkan akses ke semua port untuk Tag Layanan berikut:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
Selain itu, dalam hal ini, layanan Perlindungan Informasi Azure juga bergantung pada alamat IP dan port berikut:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- Port 443, untuk lalu lintas HTTPS
Pastikan untuk membuat aturan yang memungkinkan akses keluar ke alamat IP tertentu ini, dan melalui port ini.
Server lokal yang didukung untuk perlindungan data Azure Rights Management
Server lokal berikut ini didukung dengan Perlindungan Informasi Azure saat Anda menggunakan konektor Microsoft Rights Management.
Konektor ini bertindak sebagai antarmuka komunikasi, dan menyampaikan antara server lokal dan layanan Manajemen Hak Azure, yang digunakan oleh Perlindungan Informasi Azure untuk melindungi dokumen dan email Office.
Untuk menggunakan konektor ini, Anda harus mengonfigurasi sinkronisasi direktori antara forest Direktori Aktif dan ID Microsoft Entra Anda.
Server yang didukung meliputi:
| Jenis server | Versi yang didukung |
|---|---|
| Server Exchange | - Server Exchange 2019 - Server Exchange 2016 - Server Exchange 2013 |
| Office SharePoint Server | - Office SharePoint Server 2019 - Office SharePoint Server 2016 - Office SharePoint Server 2013 |
| Server file yang menjalankan Windows Server dan menggunakan Infrastruktur Klasifikasi File (FCI) | - Windows Server 2016 - Windows Server 2012 R2 - Windows Server 2012 |
Untuk informasi selengkapnya, lihat Menyebarkan konektor Microsoft Rights Management.
Sistem operasi yang didukung untuk Azure Rights Management
Sistem operasi berikut mendukung layanan Azure Rights Management, yang menyediakan perlindungan data untuk AIP:
| OS | Versi yang didukung |
|---|---|
| Komputer Windows | - Windows 10 (x86, x64) - Windows 11 (x86, x64) |
| macOS | Versi minimum macOS 10.8 (Mountain Lion) |
| Ponsel dan tablet Android | Versi minimum Android 6.0 |
| i Telepon dan iPad | Versi minimum iOS 11.0 |
| Ponsel dan tablet Windows | Windows 10 Mobile |
Untuk informasi selengkapnya, lihat Aplikasi yang mendukung perlindungan data Azure Rights Management.
Langkah berikutnya
Setelah Anda meninjau semua persyaratan AIP dan mengonfirmasi bahwa sistem Anda mematuhi, lanjutkan dengan Menyiapkan pengguna dan grup untuk Perlindungan Informasi Azure.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk