Compartir a través de


Permisos de API para el SDK de Microsoft Information Protection

El SDK de MIP usa dos servicios de Azure en el back-end para etiquetar y proteger. En la hoja Permisos de aplicación de Microsoft Entra, estos servicios son los siguientes:

  • Azure Rights Management Service
  • Servicio de sincronización de Microsoft Purview Information Protection

Para el etiquetado y la protección, se deben conceder permisos de aplicación a una o varias API al usar el SDK de MIP. Los distintos escenarios de autenticación de las aplicaciones pueden requerir permisos de aplicación diferentes. Para escenarios de autenticación de aplicaciones, consulte Escenarios de autenticación.

Para los permisos de aplicación en los que se requiera el consentimiento del administrador, se debe conceder el consentimiento del administrador para todo el inquilino. Para obtener más información, consulte la documentación de Microsoft Entra.

Permisos de aplicación

Los permisos de aplicación permiten que una aplicación de Microsoft Entra ID actúe como entidad propia en lugar de en nombre de un usuario específico.

Servicio Nombre del permiso Descripción Se necesita el consentimiento del administrador
Azure Rights Management Service Content.SuperUser Leer todo el contenido protegido de este inquilino
Azure Rights Management Service Content.DelegatedReader Leer contenido protegido en nombre de un usuario
Azure Rights Management Service Content.DelegatedWriter Creación de contenido protegido en nombre de un usuario
Azure Rights Management Service Content.Writer Creación de contenido protegido
Azure Rights Management Service Application.Read.All El permiso no es necesario para el uso de MIPSDK No es aplicable
Servicio de sincronización de MIP UnifiedPolicy.Tenant.Read Leer todas las directivas unificadas del inquilino

Content.SuperUser

Este permiso es necesario cuando se debe permitir que una aplicación descifre todo el contenido protegido para el inquilino específico. Algunos ejemplos de servicios que requieren los derechos Content.Superuser son la prevención de pérdida de datos o los servicios de agente de seguridad de acceso a la nube que deben ver todo el contenido en texto no cifrado para tomar decisiones de directiva sobre hacia dónde pueden fluir los datos o almacenarse.

Content.DelegatedWriter

Este permiso es necesario cuando se debe permitir que una aplicación cifre el contenido protegido por un usuario específico. Algunos ejemplos de servicios que requieren los derechos Content.DelegatedWriter son aplicaciones de línea de negocio que necesitan cifrar contenido, en función de las directivas de etiquetas del usuario, para aplicar etiquetas o cifrar contenido de forma nativa. Este permiso permite a la aplicación cifrar el contenido en el contexto del usuario.

Content.DelegatedReader

Este permiso es necesario cuando se debe permitir que una aplicación descifre todo el contenido protegido para un usuario específico. Algunos ejemplos de servicios que requieren los derechos Content.DelegatedReader son aplicaciones de línea de negocio que necesitan descifrar contenido, en función de las directivas de etiquetas del usuario, para mostrar el contenido de forma nativa. Este permiso permite a la aplicación descifrar y leer contenido en el contexto del usuario.

Content.Writer

Este permiso es necesario cuando se debe permitir que una aplicación enumere plantillas y cifre el contenido. Un servicio que intente enumerar plantillas sin este permiso recibirá un mensaje de token rechazado por parte del servicio. Entre los ejemplos de servicios que requieren Content.writer están las aplicaciones de línea de negocio que aplican etiquetas de clasificación a los archivos durante la exportación. Content.Writer cifra el contenido como la identidad de la entidad de servicio y, por tanto, el propietario de los archivos protegidos será la identidad de la entidad de servicio.

UnifiedPolicy.Tenant.Read

Este permiso es necesario cuando se debe permitir que una aplicación descargue directivas de etiquetado unificadas para el inquilino. Ejemplos de servicios que requieren UnifiedPolicy.Tenant.Read son aplicaciones que necesitan trabajar con etiquetas como identidad de entidad de servicio.

Permisos delegados

Los permisos delegados permiten a una aplicación de Microsoft Entra ID realizar acciones en nombre de un usuario determinado.

Servicio Nombre del permiso Descripción Se necesita el consentimiento del administrador
Azure Rights Management Service user_impersonation Creación y acceso al contenido protegido para el usuario No
Servicio de sincronización de MIP UnifiedPolicy.User.Read Leer todas las directivas unificadas a las que un usuario tiene acceso No

user_impersonation

Este permiso es necesario cuando se debe permitir que una aplicación pueda usar Azure Rights Management Services en nombre del usuario. Algunos ejemplos de servicios que requieren los derechos User_Impersonation son aplicaciones que necesitan cifrar o acceder a contenido, en función de las directivas de etiquetas del usuario, para aplicar etiquetas o cifrar contenido de forma nativa.

UnifiedPolicy.User.Read

Este permiso es necesario cuando se debe permitir que una aplicación lea las directivas de etiquetado unificadas relacionadas con un usuario. Algunos ejemplos de servicios que requieren permisos UnifiedPolicy.User.Read son aplicaciones que necesitan cifrar y descifrar contenido en función de las directivas de etiquetas del usuario.