Uprawnienia interfejsu API dla zestawu Microsoft Information Protection SDK
Zestaw MIP SDK używa dwóch usług zaplecza platformy Azure do etykietowania i ochrony. W bloku Uprawnień aplikacji Microsoft Entra następujące usługi to:
- Usługa Azure Rights Management
- Usługa synchronizacji usługi Microsoft Purview Information Protection
Uprawnienia aplikacji muszą zostać przyznane co najmniej jednemu interfejsowi API w przypadku używania zestawu MIP SDK do etykietowania i ochrony. Różne scenariusze uwierzytelniania aplikacji mogą wymagać różnych uprawnień aplikacji. W przypadku scenariuszy uwierzytelniania aplikacji zobacz Scenariusze uwierzytelniania.
Zgoda administratora dla całej dzierżawy powinna zostać udzielona w przypadku uprawnień aplikacji, w których wymagana jest zgoda Administracja istratora. Aby uzyskać więcej informacji, zobacz dokumentację firmy Microsoft Entra.
Uprawnienia aplikacji
Uprawnienia aplikacji umożliwiają aplikacji w identyfikatorze Entra firmy Microsoft działanie jako własna jednostka, a nie w imieniu określonego użytkownika.
| Service | Nazwa uprawnienia | opis | Wymagana zgoda administratora |
|---|---|---|---|
| Usługa Azure Rights Management | Content.SuperUser | Odczytywanie całej zawartości chronionej dla tej dzierżawy | Tak |
| Usługa Azure Rights Management | Content.DelegatedReader | Odczytywanie chronionej zawartości w imieniu użytkownika | Tak |
| Usługa Azure Rights Management | Content.DelegatedWriter | Tworzenie chronionej zawartości w imieniu użytkownika | Tak |
| Usługa Azure Rights Management | Content.Writer | Tworzenie chronionej zawartości | Tak |
| Usługa Azure Rights Management | Application.Read.All | Uprawnienia nie są wymagane do użycia zestawu MIPSDK | Nie dotyczy |
| Usługa synchronizacji programu MIP | UnifiedPolicy.Tenant.Read | Odczytywanie wszystkich ujednoliconych zasad dzierżawy | Tak |
Content.SuperUser
To uprawnienie jest wymagane, gdy aplikacja musi mieć zezwolenie na odszyfrowywanie całej zawartości chronionej dla określonej dzierżawy. Przykłady usług, które wymagają Content.Superuser praw, to zapobieganie utracie danych lub usługi brokera zabezpieczeń dostępu do chmury, które muszą wyświetlać całą zawartość w postaci zwykłego tekstu, aby podejmować decyzje dotyczące tego, gdzie te dane mogą przepływać lub być przechowywane.
Content.DelegatedWriter
To uprawnienie jest wymagane, gdy aplikacja musi mieć zezwolenie na szyfrowanie zawartości chronionej przez określonego użytkownika. Przykłady usług, które wymagają Content.DelegatedWriter praw, to aplikacje biznesowe, które muszą szyfrować zawartość na podstawie zasad etykiet użytkownika w celu stosowania etykiet i lub szyfrowania zawartości natywnie. To uprawnienie umożliwia aplikacji szyfrowanie zawartości w kontekście użytkownika.
Content.DelegatedReader
To uprawnienie jest wymagane, gdy aplikacja musi mieć zezwolenie na odszyfrowywanie całej zawartości chronionej dla określonego użytkownika. Przykłady usług, które wymagają Content.DelegatedReader praw, to aplikacje biznesowe, które muszą odszyfrować zawartość na podstawie zasad etykiet użytkownika w celu natywnego wyświetlania zawartości. To uprawnienie umożliwia aplikacji odszyfrowywanie i odczytywanie zawartości w kontekście użytkownika.
Content.Writer
To uprawnienie jest wymagane, gdy aplikacja musi mieć zezwolenie na wyświetlanie listy szablonów i szyfrowanie zawartości. Usługa, która próbuje wyświetlić listę szablonów bez tego uprawnienia, otrzyma od usługi komunikat o odrzuceniu tokenu. Przykłady usług, które wymagają Content.writer , to aplikacja biznesowa, która stosuje etykiety klasyfikacji do plików podczas eksportowania. Content.Writer szyfruje zawartość jako tożsamość jednostki usługi, dlatego właścicielem chronionych plików będzie tożsamość jednostki usługi.
UnifiedPolicy.Tenant.Read
To uprawnienie jest wymagane, gdy aplikacja musi mieć zezwolenie na pobieranie ujednoliconych zasad etykietowania dla dzierżawy. Przykłady usług, które wymagają UnifiedPolicy.Tenant.Read , to aplikacje, które wymagają pracy z etykietami jako tożsamości jednostki usługi.
Uprawnienia delegowane
Delegowane uprawnienia umożliwiają aplikacji w identyfikatorze Entra firmy Microsoft wykonywanie akcji w imieniu określonego użytkownika.
| Service | Nazwa uprawnienia | opis | Wymagana zgoda administratora |
|---|---|---|---|
| Usługa Azure Rights Management | user_impersonation | Tworzenie i uzyskiwanie dostępu do zawartości chronionej dla użytkownika | Nie. |
| Usługa synchronizacji programu MIP | UnifiedPolicy.User.Read | Odczytywanie wszystkich ujednoliconych zasad, do których użytkownik ma dostęp | Nie. |
User_Impersonation
To uprawnienie jest wymagane, gdy aplikacja musi mieć zezwolenie na dostęp do usług Azure Rights Management Services w imieniu użytkownika. Przykładami usług wymagających User_Impersonation praw są aplikacje, które muszą szyfrować zawartość lub uzyskiwać do tego dostęp, na podstawie zasad etykiet użytkownika w celu stosowania etykiet lub natywnego szyfrowania zawartości.
UnifiedPolicy.User.Read
To uprawnienie jest wymagane, gdy aplikacja musi mieć zezwolenie na odczytywanie ujednoliconych zasad etykietowania powiązanych z użytkownikiem. Przykłady usług wymagających UnifiedPolicy.User.Read uprawnień to aplikacje, które muszą szyfrować i odszyfrowywać zawartość na podstawie zasad etykiet użytkownika.