Autorizzazioni API per Microsoft Information Protection SDK
MIP SDK usa due servizi back-end di Azure per l'etichettatura e la protezione. Nel pannello Autorizzazioni dell'app Microsoft Entra questi servizi sono:
- Servizio Azure Rights Management
- Servizio di sincronizzazione Microsoft Purview Information Protection
Le autorizzazioni dell'applicazione devono essere concesse a una o più API quando si usa MIP SDK per l'etichettatura e la protezione. Diversi scenari di autenticazione dell'applicazione possono richiedere autorizzazioni diverse per le applicazioni. Per gli scenari di autenticazione delle applicazioni, vedere Scenari di autenticazione.
È necessario concedere il consenso amministratore a livello di tenant per le autorizzazioni dell'applicazione in cui è necessario il consenso dell'Amministrazione istrator. Per altre informazioni, vedere la documentazione di Microsoft Entra.
Autorizzazioni dell'applicazione
Le autorizzazioni dell'applicazione consentono a un'applicazione in Microsoft Entra ID di fungere da entità propria, anziché per conto di un utente specifico.
| Servizioo | Nome autorizzazione | Descrizione | Consenso amministratore obbligatorio |
|---|---|---|---|
| Servizio Azure Rights Management | Content.SuperUser | Leggere tutto il contenuto protetto per questo tenant | Sì |
| Servizio Azure Rights Management | Content.DelegatedReader | Leggere il contenuto protetto per conto di un utente | Sì |
| Servizio Azure Rights Management | Content.DelegatedWriter | Creare contenuto protetto per conto di un utente | Sì |
| Servizio Azure Rights Management | Content.Writer | Creare contenuto protetto | Sì |
| Servizio Azure Rights Management | Application.Read.All | Autorizzazione non richiesta per l'uso di MIPSDK | Non applicabile |
| Servizio di sincronizzazione MIP | UnifiedPolicy.Tenant.Read | Leggere tutti i criteri unificati del tenant | Sì |
Content.SuperUser
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata a decrittografare tutto il contenuto protetto per il tenant specifico. Esempi di servizi che richiedono Content.Superuser diritti sono la prevenzione della perdita dei dati o i servizi broker di sicurezza per l'accesso al cloud che devono visualizzare tutto il contenuto in testo non crittografato per prendere decisioni sui criteri sulla posizione in cui tali dati possono essere trasmessi o archiviati.
Content.DelegatedWriter
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata a crittografare il contenuto protetto da un utente specifico. Esempi di servizi che richiedono Content.DelegatedWriter diritti sono applicazioni line-of-business che devono crittografare il contenuto, in base ai criteri di etichetta dell'utente per applicare etichette e crittografare il contenuto in modo nativo. Questa autorizzazione consente all'applicazione di crittografare il contenuto nel contesto dell'utente.
Content.DelegatedReader
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata a decrittografare tutto il contenuto protetto per un utente specifico. Esempi di servizi che richiedono Content.DelegatedReader diritti sono applicazioni line-of-business che devono decrittografare il contenuto, in base ai criteri di etichetta dell'utente per visualizzare il contenuto in modo nativo. Questa autorizzazione consente all'applicazione di decrittografare e leggere il contenuto nel contesto dell'utente.
Content.Writer
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata a elencare i modelli e crittografare il contenuto. Un servizio che tenta di elencare i modelli senza questa autorizzazione riceverà un messaggio di token rifiutato dal servizio. Esempi di servizi che richiedono Content.writer sono applicazioni line-of-business che applicano etichette di classificazione ai file in caso di esportazione. Content.Writer crittografa il contenuto come identità dell'entità servizio e quindi il proprietario dei file protetti sarà l'identità dell'entità servizio.
UnifiedPolicy.Tenant.Read
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata a scaricare criteri di etichettatura unificata per il tenant. Esempi di servizi che richiedono UnifiedPolicy.Tenant.Read sono applicazioni che richiedono l'uso delle etichette come identità dell'entità servizio.
Autorizzazioni delegate
Le autorizzazioni delegate consentono a un'applicazione in Microsoft Entra ID di eseguire azioni per conto di un determinato utente.
| Servizioo | Nome autorizzazione | Descrizione | Consenso amministratore obbligatorio |
|---|---|---|---|
| Servizio Azure Rights Management | user_impersonation | Creare e accedere al contenuto protetto per l'utente | No |
| Servizio di sincronizzazione MIP | UnifiedPolicy.User.Read | Leggere tutti i criteri unificati a cui un utente può accedere | No |
User_Impersonation
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata all'utente di Azure Rights Management Services per conto dell'utente. Esempi di servizi che richiedono User_Impersonation diritti sono applicazioni che devono crittografare o accedere al contenuto, in base ai criteri di etichetta dell'utente per applicare etichette o crittografare il contenuto in modo nativo.
UnifiedPolicy.User.Read
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata a leggere i criteri di etichettatura unificata correlati a un utente. Esempi di servizi che richiedono UnifiedPolicy.User.Read autorizzazioni sono applicazioni che devono crittografare e decrittografare il contenuto, in base ai criteri di etichetta dell'utente.