Oprávnění rozhraní API pro sadu Microsoft Information Protection SDK
Sada MIP SDK používá k označování a ochraně dvě back-endové služby Azure. V okně oprávnění aplikace Microsoft Entra jsou tyto služby:
- Služba Azure Rights Management
- Synchronizační služba Microsoft Purview Information Protection
Oprávnění aplikace musí být udělena jednomu nebo více rozhraním API při použití sady MIP SDK pro označování a ochranu. Různé scénáře ověřování aplikací můžou vyžadovat různá oprávnění aplikace. Scénáře ověřování aplikací najdete v tématu Scénáře ověřování.
Souhlas správce v rámci celého tenanta by měl být udělen pro oprávnění aplikace, u kterých se vyžaduje souhlas Správa istrator. Další informace naleznete v dokumentaci k Microsoft Entra.
Oprávnění aplikace
Oprávnění aplikace umožňují aplikaci v Microsoft Entra ID fungovat jako vlastní entita, nikoli jménem konkrétního uživatele.
| Service | Název oprávnění | Popis | Vyžaduje se souhlas správce. |
|---|---|---|---|
| Služba Azure Rights Management | Content.SuperUser | Čtení veškerého chráněného obsahu pro tohoto tenanta | Ano |
| Služba Azure Rights Management | Content.DelegatedReader | Čtení chráněného obsahu jménem uživatele | Ano |
| Služba Azure Rights Management | Content.DelegatedWriter | Vytvoření chráněného obsahu jménem uživatele | Ano |
| Služba Azure Rights Management | Content.Writer | Vytvoření chráněného obsahu | Ano |
| Služba Azure Rights Management | Application.Read.All | Pro použití MIPSDK se nevyžaduje oprávnění | Neuvedeno |
| Synchronizační služba MIP | UnifiedPolicy.Tenant.Read | Čtení všech jednotných zásad tenanta | Ano |
Content.SuperUser
Toto oprávnění se vyžaduje, když musí být aplikace povolena k dešifrování veškerého obsahu chráněného pro konkrétního tenanta. Příklady služeb, které vyžadují Content.Superuser práva, jsou ochrana před únikem informací nebo služby zprostředkovatele zabezpečení přístupu v cloudu, které musí zobrazit veškerý obsah ve formátu prostého textu, aby bylo možné rozhodovat o tom, kde se tato data můžou tokovat nebo ukládat.
Content.DelegatedWriter
Toto oprávnění se vyžaduje, když musí být aplikaci povoleno šifrovat obsah chráněný konkrétním uživatelem. Příklady služeb, které vyžadují Content.DelegatedWriter práva, jsou obchodní aplikace, které potřebují šifrovat obsah na základě zásad popisků uživatelů, aby nativně použily popisky a nebo šifrují obsah. Toto oprávnění umožňuje aplikaci šifrovat obsah v kontextu uživatele.
Content.DelegatedReader
Toto oprávnění se vyžaduje, když musí být aplikaci povoleno dešifrovat veškerý obsah chráněný konkrétním uživatelem. Příklady služeb, které vyžadují Content.DelegatedReader práva, jsou obchodní aplikace, které potřebují dešifrovat obsah na základě zásad popisků uživatele, aby se obsah zobrazoval nativně. Toto oprávnění umožňuje aplikaci dešifrovat a číst obsah v kontextu uživatele.
Content.Writer
Toto oprávnění se vyžaduje, když musí být aplikaci povoleno vypisovat šablony a šifrovat obsah. Služba, která se pokusí vypsat šablony bez tohoto oprávnění, obdrží ze služby zprávu odmítnutou tokenem. Příklady služeb, které vyžadují Content.writer , jsou obchodní aplikace, která používá popisky klasifikace u souborů při exportu. Content.Writer zašifruje obsah jako identitu instančního objektu, takže vlastník chráněných souborů bude identitou instančního objektu.
UnifiedPolicy.Tenant.Read
Toto oprávnění se vyžaduje, když musí být aplikace povolená ke stažení jednotných zásad popisování pro tenanta. Příklady služeb, které vyžadují UnifiedPolicy.Tenant.Read , jsou aplikace, které potřebují pracovat s popisky jako identitou instančního objektu.
Delegovaná oprávnění
Delegovaná oprávnění umožňují aplikaci v MICROSOFT Entra ID provádět akce jménem konkrétního uživatele.
| Service | Název oprávnění | Popis | Vyžaduje se souhlas správce. |
|---|---|---|---|
| Služba Azure Rights Management | user_impersonation | Vytvoření chráněného obsahu pro uživatele a přístup k němu | No |
| Synchronizační služba MIP | UnifiedPolicy.User.Read | Čtení všech jednotných zásad, ke které má uživatel přístup | No |
User_Impersonation
Toto oprávnění se vyžaduje, když musí být aplikace povolená pro uživatele služby Azure Rights Management Services jménem uživatele. Příklady služeb, které vyžadují User_Impersonation práva, jsou aplikace, které potřebují šifrovat nebo přistupovat k obsahu na základě zásad popisků uživatele pro použití popisků nebo šifrování obsahu nativně.
UnifiedPolicy.User.Read
Toto oprávnění se vyžaduje, když musí být aplikace povolená ke čtení jednotných zásad popisování souvisejících s uživatelem. Příklady služeb, které vyžadují UnifiedPolicy.User.Read oprávnění, jsou aplikace, které potřebují šifrovat a dešifrovat obsah na základě zásad popisků uživatele.