API-behörigheter för Microsoft Information Protection SDK
MIP SDK använder två Azure-tjänster på serverdelen för etikettering och skydd. På bladet Microsoft Entra-appbehörigheter är dessa tjänster:
- Azure Rights Management-tjänsten
- Microsoft Purview Information Protection Sync Service
Programbehörigheter måste beviljas till en eller flera API:er när du använder MIP SDK för etikettering och skydd. Olika scenarier för programautentisering kan kräva olika programbehörigheter. Information om scenarier för programautentisering finns i Autentiseringsscenarier.
Administratörsmedgivande för hela klientorganisationen bör beviljas för programbehörigheter där administratörsmedgivande krävs. Mer information finns i Microsoft Entra-dokumentationen.
Programbehörigheter
Programbehörigheter gör det möjligt för ett program i Microsoft Entra-ID att fungera som en egen entitet i stället för för en specifik användare.
| Tjänst | Behörighetsnamn | Description | Administratörsmedgivande krävs |
|---|---|---|---|
| Azure Rights Management-tjänsten | Content.SuperUser | Läsa allt skyddat innehåll för den här klientorganisationen | Ja |
| Azure Rights Management-tjänsten | Content.DelegatedReader | Läsa skyddat innehåll åt en användare | Ja |
| Azure Rights Management-tjänsten | Content.DelegatedWriter | Skapa skyddat innehåll åt en användare | Ja |
| Azure Rights Management-tjänsten | Content.Writer | Skapa skyddat innehåll | Ja |
| Azure Rights Management-tjänsten | Application.Read.All | Behörighet krävs inte för MIPSDK-användning | Inte tillämpligt |
| MIP-synkroniseringstjänst | UnifiedPolicy.Tenant.Read | Läs alla enhetliga principer för klientorganisationen | Ja |
Content.SuperUser
Den här behörigheten krävs när ett program måste tillåtas att dekryptera allt innehåll som skyddas för den specifika klientorganisationen. Exempel på tjänster som kräver Content.Superuser rättigheter är dataförlustskydd eller molnåtkomsttjänster som måste visa allt innehåll i klartext för att fatta principbeslut om var dessa data kan flöda eller lagras.
Content.DelegatedWriter
Den här behörigheten krävs när ett program måste tillåtas att kryptera innehåll som skyddas av en viss användare. Exempel på tjänster som kräver Content.DelegatedWriter rättigheter är verksamhetsspecifika program som behöver kryptera innehåll, baserat på användarens etikettprinciper för att tillämpa etiketter och eller kryptera innehåll internt. Med den här behörigheten kan programmet kryptera innehåll i användarens kontext.
Content.DelegatedReader
Den här behörigheten krävs när ett program måste tillåtas att dekryptera allt innehåll som skyddas för en viss användare. Exempel på tjänster som kräver Content.DelegatedReader rättigheter är verksamhetsspecifika program som behöver dekryptera innehåll, baserat på användarens etikettprinciper för att visa innehållet internt. Med den här behörigheten kan programmet dekryptera och läsa innehåll i användarens kontext.
Content.Writer
Den här behörigheten krävs när ett program måste tillåtas att lista mallar och kryptera innehåll. En tjänst som försöker lista mallar utan den här behörigheten får ett meddelande som avvisas av en token från tjänsten. Exempel på tjänster som kräver Content.writer är verksamhetsspecifika program som tillämpar klassificeringsetiketter på filer vid export. Content.Writer krypterar innehållet som tjänstens huvudnamnsidentitet och därför blir ägaren av de skyddade filerna tjänstens huvudnamnsidentitet.
UnifiedPolicy.Tenant.Read
Den här behörigheten krävs när ett program måste tillåtas att ladda ned enhetliga etikettprinciper för klientorganisationen. Exempel på tjänster som kräver UnifiedPolicy.Tenant.Read är program som behöver arbeta med etiketter som en tjänsthuvudnamnsidentitet.
Delegerade behörigheter
Med delegerade behörigheter kan ett program i Microsoft Entra-ID utföra åtgärder för en viss användares räkning.
| Tjänst | Behörighetsnamn | Description | Administratörsmedgivande krävs |
|---|---|---|---|
| Azure Rights Management-tjänsten | user_impersonation | Skapa och komma åt skyddat innehåll för användaren | Inga |
| MIP-synkroniseringstjänst | UnifiedPolicy.User.Read | Läs alla enhetliga principer som en användare har åtkomst till | Inga |
User_Impersonation
Den här behörigheten krävs när ett program måste tillåtas att använda Azure Rights Management Services för användarens räkning. Exempel på tjänster som kräver User_Impersonation rättigheter är program som behöver kryptera eller komma åt innehåll baserat på användarens etikettprinciper för att tillämpa etiketter eller kryptera innehåll internt.
UnifiedPolicy.User.Read
Den här behörigheten krävs när ett program måste tillåtas att läsa enhetliga etikettprinciper som är relaterade till en användare. Exempel på tjänster som kräver UnifiedPolicy.User.Read behörigheter är program som behöver kryptera och dekryptera innehåll baserat på användarens etikettprinciper.