Microsoft 信息保护 SDK 的 API 权限
MIP SDK 使用两个后端 Azure 服务进行标记和保护。 在“Microsoft Entra 应用权限”边栏选项卡中,这些服务包括:
- Azure 权限管理服务
- Microsoft Purview 信息保护同步服务
使用 MIP SDK 进行标记和保护时,必须向一个或多个 API 授予应用程序权限。 各种应用程序身份验证方案可能需要不同的应用程序权限。 有关应用程序身份验证方案,请参阅身份验证方案。
应为需要管理员同意的应用程序权限授予租户范围内的管理员同意。 有关详细信息,请参阅 Microsoft Entra 文档。
应用程序权限
应用程序权限让 Microsoft Entra ID 中的应用程序能够充当自己的实体,而不是代表特定用户。
| 服务 | 权限名称 | 说明 | 需要管理员同意 |
|---|---|---|---|
| Azure 权限管理服务 | Content.SuperUser | 读取此租户的所有受保护内容 | 是 |
| Azure 权限管理服务 | Content.DelegatedReader | 代表用户读取受保护的内容 | 是 |
| Azure 权限管理服务 | Content.DelegatedWriter | 代表用户创建受保护的内容 | 是 |
| Azure 权限管理服务 | Content.Writer | 创建受保护的内容 | 是 |
| Azure 权限管理服务 | Application.Read.All | 权限不是 MIPSDK 使用所必需的 | 不适用 |
| MIP 同步服务 | UnifiedPolicy.Tenant.Read | 读取租户的所有统一策略 | 是 |
Content.SuperUser
必须允许应用程序解密为特定租户保护的所有内容时需要此权限。 需要 Content.Superuser 权限的服务的示例是数据丢失防护或云访问安全代理服务,该服务必须查看纯文本中的所有内容以制定有关数据的流动位置或存储位置的决策。
Content.DelegatedWriter
必须允许应用程序加密受特定用户保护的内容时需要此权限。 根据应用标签和/或本机加密内容的用户标签策略,需要 Content.DelegatedWriter 权限的服务的示例是需要加密内容的业务线应用程序。 此权限允许应用程序在用户的上下文中加密内容。
Content.DelegatedReader
必须允许应用程序解密为特定用户保护的所有内容时需要此权限。 根据本机显示内容的用户标签策略,需要 Content.DelegatedReader 权限的服务的示例是需要解密内容的业务线应用程序。 此权限允许应用程序在用户的上下文中解密和读取内容。
Content.Writer
必须允许应用程序列出模板并加密内容时需要此权限。 尝试在没有此权限的情况下列出模板的服务将收到来自服务的令牌被拒绝消息。 需要 Content.writer 的服务的示例是将分类标签应用于导出文件的业务线应用程序。 Content.Writer 将内容加密为服务主体标识,因此受保护的文件的所有者将是服务主体标识。
UnifiedPolicy.Tenant.Read
必须允许应用程序为租户下载统一标记策略时需要此权限。 需要 UnifiedPolicy.Tenant.Read 的服务的示例是需要将标签用作服务主体标识的应用程序。
委托的权限
委托的权限让 Microsoft Entra ID 中的应用程序能够代表特定用户执行操作。
| 服务 | 权限名称 | 说明 | 需要管理员同意 |
|---|---|---|---|
| Azure 权限管理服务 | user_impersonation | 为用户创建和访问受保护的内容 | 否 |
| MIP 同步服务 | UnifiedPolicy.User.Read | 读取用户有权访问的所有统一策略 | 否 |
User_Impersonation
必须允许应用程序代表用户使用 Azure 权限管理服务时需要此权限。 根据应用标签或本机加密或访问内容的用户标签策略,需要 User_Impersonation 权限的服务的示例是需要加密内容的应用程序。
UnifiedPolicy.User.Read
必须允许应用程序读取与用户相关的统一标记策略时需要此权限。 根据用户的标签策略,需要 UnifiedPolicy.User.Read 权限的服务的示例是需要加密和解密内容的应用程序。