Permisos de API para el SDK de Microsoft Information Protection
El SDK de MIP usa dos servicios de Azure en el back-end para etiquetar y proteger. En la hoja Permisos de aplicación de Microsoft Entra, estos servicios son los siguientes:
- Azure Rights Management Service
- Servicio de sincronización de Microsoft Purview Information Protection
Para el etiquetado y la protección, se deben conceder permisos de aplicación a una o varias API al usar el SDK de MIP. Los distintos escenarios de autenticación de las aplicaciones pueden requerir permisos de aplicación diferentes. Para escenarios de autenticación de aplicaciones, consulte Escenarios de autenticación.
Para los permisos de aplicación en los que se requiera el consentimiento del administrador, se debe conceder el consentimiento del administrador para todo el inquilino. Para obtener más información, consulte la documentación de Microsoft Entra.
Permisos de aplicación
Los permisos de aplicación permiten que una aplicación de Microsoft Entra ID actúe como entidad propia en lugar de en nombre de un usuario específico.
| Servicio | Nombre del permiso | Descripción | Se necesita el consentimiento del administrador |
|---|---|---|---|
| Azure Rights Management Service | Content.SuperUser | Leer todo el contenido protegido de este inquilino | Sí |
| Azure Rights Management Service | Content.DelegatedReader | Leer contenido protegido en nombre de un usuario | Sí |
| Azure Rights Management Service | Content.DelegatedWriter | Creación de contenido protegido en nombre de un usuario | Sí |
| Azure Rights Management Service | Content.Writer | Creación de contenido protegido | Sí |
| Azure Rights Management Service | Application.Read.All | El permiso no es necesario para el uso de MIPSDK | No es aplicable |
| Servicio de sincronización de MIP | UnifiedPolicy.Tenant.Read | Leer todas las directivas unificadas del inquilino | Sí |
Content.SuperUser
Este permiso es necesario cuando se debe permitir que una aplicación descifre todo el contenido protegido para el inquilino específico. Algunos ejemplos de servicios que requieren los derechos Content.Superuser son la prevención de pérdida de datos o los servicios de agente de seguridad de acceso a la nube que deben ver todo el contenido en texto no cifrado para tomar decisiones de directiva sobre hacia dónde pueden fluir los datos o almacenarse.
Content.DelegatedWriter
Este permiso es necesario cuando se debe permitir que una aplicación cifre el contenido protegido por un usuario específico. Algunos ejemplos de servicios que requieren los derechos Content.DelegatedWriter son aplicaciones de línea de negocio que necesitan cifrar contenido, en función de las directivas de etiquetas del usuario, para aplicar etiquetas o cifrar contenido de forma nativa. Este permiso permite a la aplicación cifrar el contenido en el contexto del usuario.
Content.DelegatedReader
Este permiso es necesario cuando se debe permitir que una aplicación descifre todo el contenido protegido para un usuario específico. Algunos ejemplos de servicios que requieren los derechos Content.DelegatedReader son aplicaciones de línea de negocio que necesitan descifrar contenido, en función de las directivas de etiquetas del usuario, para mostrar el contenido de forma nativa. Este permiso permite a la aplicación descifrar y leer contenido en el contexto del usuario.
Content.Writer
Este permiso es necesario cuando se debe permitir que una aplicación enumere plantillas y cifre el contenido. Un servicio que intente enumerar plantillas sin este permiso recibirá un mensaje de token rechazado por parte del servicio. Entre los ejemplos de servicios que requieren Content.writer están las aplicaciones de línea de negocio que aplican etiquetas de clasificación a los archivos durante la exportación. Content.Writer cifra el contenido como la identidad de la entidad de servicio y, por tanto, el propietario de los archivos protegidos será la identidad de la entidad de servicio.
UnifiedPolicy.Tenant.Read
Este permiso es necesario cuando se debe permitir que una aplicación descargue directivas de etiquetado unificadas para el inquilino. Ejemplos de servicios que requieren UnifiedPolicy.Tenant.Read son aplicaciones que necesitan trabajar con etiquetas como identidad de entidad de servicio.
Permisos delegados
Los permisos delegados permiten a una aplicación de Microsoft Entra ID realizar acciones en nombre de un usuario determinado.
| Servicio | Nombre del permiso | Descripción | Se necesita el consentimiento del administrador |
|---|---|---|---|
| Azure Rights Management Service | user_impersonation | Creación y acceso al contenido protegido para el usuario | No |
| Servicio de sincronización de MIP | UnifiedPolicy.User.Read | Leer todas las directivas unificadas a las que un usuario tiene acceso | No |
user_impersonation
Este permiso es necesario cuando se debe permitir que una aplicación pueda usar Azure Rights Management Services en nombre del usuario. Algunos ejemplos de servicios que requieren los derechos User_Impersonation son aplicaciones que necesitan cifrar o acceder a contenido, en función de las directivas de etiquetas del usuario, para aplicar etiquetas o cifrar contenido de forma nativa.
UnifiedPolicy.User.Read
Este permiso es necesario cuando se debe permitir que una aplicación lea las directivas de etiquetado unificadas relacionadas con un usuario. Algunos ejemplos de servicios que requieren permisos UnifiedPolicy.User.Read son aplicaciones que necesitan cifrar y descifrar contenido en función de las directivas de etiquetas del usuario.