Installation et configuration du kit SDK Microsoft Information Protection (MIP)

  • Article

Les articles Démarrage rapide et Tutoriel sont centrés sur la création d’applications qui utilisent les bibliothèques et les API du kit de développement logiciel (SDK) MIP. Cet article vous explique comment installer et configurer votre abonnement Microsoft 365 et votre station de travail cliente pour les préparer à l’utilisation du kit de développement logiciel (SDK).

Prérequis

Veillez à consulter les rubriques suivantes avant de commencer :

Important

Pour respecter la confidentialité de l’utilisateur, vous devez lui demander son consentement avant d’activer la journalisation automatique. L’exemple suivant est un message standard utilisé par Microsoft pour la notification de la journalisation :

En activant la journalisation des erreurs et des performances, vous acceptez d’envoyer les données relatives aux erreurs et aux performances à Microsoft. Microsoft collectera les données relatives aux erreurs et aux performances sur Internet (« Données »). Microsoft utilise ces données pour fournir et améliorer la qualité, la sécurité et l’intégrité des services et des produits Microsoft. Par exemple, nous analysons le niveau de performance et la fiabilité, comme les fonctionnalités que vous utilisez, la rapidité de la réponse de ces fonctionnalités, le niveau de performance de l’appareil, les interactions avec l’interface utilisateur et les problèmes que vous pouvez rencontrer avec le produit. Les données comprennent également des informations sur la configuration de votre logiciel, comme le logiciel que vous exécutez actuellement et l’adresse IP.

Souscrire un abonnement Office 365

De nombreux exemples de kits de développement logiciel (SDK) nécessitent l’accès à un abonnement Office 365. Si ce n’est déjà fait, veillez à souscrire à un des types d’abonnement suivants :

Nom Inscription
Office 365 Entreprise E3 (Version d’évaluation) (essai gratuit de 30 jours) https://go.microsoft.com/fwlink/p/?LinkID=403802
Office 365 Entreprise E3 ou E5 https://www.microsoft.com/microsoft-365/enterprise/office-365-e3
Enterprise Mobility and Security E3 ou E5 https://www.microsoft.com/security
Azure Information Protection Premium P1 ou P2 Guide de gestion des licences Microsoft 365 pour la conformité et la sécurité
Microsoft 365 E3, E5 ou F1 https://www.microsoft.com/microsoft-365/enterprise/microsoft365-plans-and-pricing

Configurer les étiquettes de sensibilité

Si vous utilisez actuellement Azure Information Protection, vous devez migrer vos étiquettes vers le Centre de sécurité et de conformité d’Office 365. Pour plus d’informations sur le processus, consultez Comment migrer des étiquettes Azure Protection des données vers le Centre de sécurité et de conformité Bureau 365.

Configurer votre station de travail cliente

Ensuite, effectuez les étapes suivantes pour que votre ordinateur client soit configuré correctement.

  1. Si vous utilisez une station de travail Windows 10 :

    En utilisant Windows Update, mettez à jour votre ordinateur vers Windows 10 Fall Creators Update (version 1709) ou version ultérieure. Pour vérifier votre version actuelle :

    • Cliquez sur l’icône Windows en bas à gauche.
    • Tapez « À propos de votre PC », puis appuyez sur la touche « Entrée ».
    • Faites défiler vers le bas jusqu’à Spécifications Windows et regardez sous Version.

  2. Si vous utilisez une station de travail Windows 11 ou Windows 10 :

    Vérifiez que le « Mode développeur » est activé sur votre station de travail :

    • Cliquez sur l’icône Windows en bas à gauche.
    • Tapez « Utiliser les fonctionnalités du développeur », puis appuyez sur la touche « Entrée » quand vous voyez l’élément Utiliser les fonctionnalités du développeur.
    • Dans la boîte de dialogue Paramètres, sous l’onglet Pour les développeurs, sous « Utiliser les fonctionnalités du développeur », sélectionnez l’option Mode développeur.
    • Fermer la boîte de dialogue Paramètres.

  3. Installez Visual Studio 2019 avec les charges de travail et composants facultatifs suivants :

    • Charge de travail Windows Développement pour la plateforme Windows universelle ainsi que les composants facultatifs suivants :

      • Outils de plateforme Windows universelle C++
      • Kit de développement logiciel (SDK) Windows 10 10.0.16299.0 ou version ultérieure, s’il n’est pas inclus par défaut

    • Charge de travail Windows Développement Desktop en C++, ainsi que les composants facultatifs suivants :

      • Kit de développement logiciel (SDK) Windows 10 10.0.16299.0 ou version ultérieure, s’il n’est pas inclus par défaut

      Visual Studio setup

  4. Installez le module PowerShell ADAL.PS :

    • Étant donné que des droits d’administrateur sont nécessaires pour installer des modules, vous devez d’abord :

      • vous connecter à la machine avec un compte disposant des autorisations d’administration,
      • exécuter la session Windows PowerShell avec des privilèges élevés (Exécuter en tant qu’administrateur).

    • Ensuite, exécutez la cmdlet install-module -name adal.ps :

      PS C:\WINDOWS\system32> install-module -name adal.ps

Untrusted repository
You are installing the modules from an untrusted repository. If you trust this repository, change its
InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from
'PSGallery'?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): A

PS C:\WINDOWS\system32>

  5. Téléchargez les fichiers :

    Le kit de développement logiciel (SDK) MIP est pris en charge sur les plateformes suivantes, avec des téléchargements distincts pour chaque plateforme/langue prise en charge :

    Système d’exploitation Versions Téléchargements Notes
    Ubuntu 20.04 C++ tar.gz
    Java (préversion) tar.gz
    .NET Core NuGet (préversion)
    Ubuntu 22.04 C++ tar.gz
    Java (préversion) tar.gz
    .NET Core NuGet (préversion)
    RedHat Enterprise Linux 8 et 9 C++ tar.gz
    Debian 10 et 11 C++ tar.gz
    macOS Toutes les versions prises en charge C++ .zip Le développement Xcode nécessite la version 13 ou ultérieure.
    Windows Toutes les versions prises en charge, 32/64 bits C++
    C++/.NET NuGet
    Java (préversion) .zip
    Android 9.0 et ultérieur C++ .zip Kits de développement logiciel (SDK) Protection et Policy uniquement.
    iOS Toutes les versions prises en charge C++ .zip Kits de développement logiciel (SDK) Protection et Policy uniquement.

    Téléchargements Tar.gz/.Zip

    Les téléchargements Tar.gz et .Zip contiennent des fichiers compressés, un pour chaque API. Les fichiers compressés sont nommés comme suit, où <API> = file, protection ou upe et où <OS> = la plateforme : mip_sdk_<API>_<OS>_1.0.0.0.zip (or .tar.gz). Par exemple, le fichier pour les binaires et en-têtes du kit de développement logiciel (SDK) Protection sur Debian serait : mip_sdk_protection_debian9_1.0.0.0.tar.gz. Chaque dossier .tar.gz/.zip qui y est contenu est divisé en trois répertoires :

    • Classes : les binaires compilés pour chaque architecture de plateforme, le cas échéant.
    • Inclure : fichiers d’en-tête (C++).
    • Échantillons : code source pour les exemples d’applications.

    Packages NuGet

    Si vous faites un développement Visual Studio, le kit de développement logiciel (SDK) peut également être installé via la console du Gestionnaire de package NuGet :

    Install-Package Microsoft.InformationProtection.File
Install-Package Microsoft.InformationProtection.Policy
Install-Package Microsoft.InformationProtection.Protection

  6. Si vous n’utilisez pas le package NuGet, ajoutez les chemins des binaires du kit de développement logiciel (SDK) à la variable d’environnement PATH. La variable PATH permet aux applications clientes de trouver les binaires dépendants (les DLL) au moment de l’exécution par (FACULTATIF) :

    Si vous utilisez une station de travail Windows 11 ou Windows 10 :

    • Cliquez sur l’icône Windows en bas à gauche.

    • Tapez « Chemin », puis appuyez sur la touche « Entrée » quand l’élément Modifier les variables d’environnement système s’affiche.

    • Dans la boîte de dialogue Propriétés système, cliquez sur Variables d’environnement.

    • Dans la boîte de dialogue Variables d’environnement, cliquez sur la ligne de la variable Path sous Variables utilisateur pour <l’utilisateur>, puis cliquez sur Modifier....

    • Dans la boîte de dialogue Modifier la variable d’environnement, cliquez sur Nouveau, ce qui crée une ligne modifiable. En utilisant le chemin complet de chacun des sous-répertoires file\bins\debug\amd64, protection\bins\debug\amd64 et upe\bins\debug\amd64, ajoutez une nouvelle ligne pour chacun d’eux. Les répertoires du kit de développement logiciel (SDK) sont stockés au format <API>\bins\<target>\<platform>, où :

      • <API> = file, protection, upe
      • <cible> = debug, release
      • <plateforme> = amd64 (x64), x86, etc.

    • Une fois la mise à jour de la variable Path terminée, cliquez sur OK. Cliquez ensuite sur OK quand vous revenez à la boîte de dialogue Variables d’environnement.

  7. Téléchargez des exemples de kits de développement logiciel (SDK) à partir de GitHub (FACULTATIF) :

Inscrire une application cliente avec Microsoft Entra ID

Dans le cadre du processus d’approvisionnement de l’abonnement Microsoft 365, un locataire Microsoft Entra associé est créé. Le locataire Microsoft Entra fournit une gestion des identités et des accès pour les comptes d’utilisateur et les comptes d’application Microsoft 365. Les applications qui doivent accéder à des API sécurisées (comme des API MIP) nécessitent un compte d’application.

Pour l’authentification et l’autorisation lors de l’exécution, les comptes sont représentés par un principal de sécurité, qui est dérivé des informations d’identité du compte. Les principaux de sécurité représentant un compte d’application sont appelés principaux de service.

Pour inscrire un compte d’application dans Microsoft Entra ID pour l’utiliser avec les démarrages rapides et les exemples du kit de développement logiciel (SDK) MIP :

Important

Pour accéder à la gestion du locataire Microsoft Entra pour la création de comptes, vous devez vous connectez au Portail Azure avec un compte d’utilisateur qui est membre du rôle « Propriétaire » sur l’abonnement. Selon la configuration de votre abonné, vous devrez peut-être également être membre du rôle d’annuaire « Administrateur général » pour inscrire une application. Nous vous recommandons d’effectuer un test avec un compte restreint. Vérifiez que le compte dispose seulement des droits d’accès aux points de terminaison SCC nécessaires. Les mots de passe en texte clair passés via une ligne de commande peuvent être collectés par les systèmes de journalisation.

  1. Suivez les étapes de la section Inscrire une nouvelle application auprès de Microsoft Entra ID, Inscrire une nouvelle application. Pour les tests, utilisez les valeurs suivantes pour les propriétés données au fil des étapes du guide :

    • Types de comptes pris en charge : sélectionnez « Comptes dans ce répertoire organisationnel uniquement ».
    • URI de redirection - Définissez le type de l’URI de redirection sur « Public client (mobile & desktop) » (Client public (mobile & bureau)). Si votre application utilise la bibliothèque d’authentification Microsoft (MSAL), utilisez http://localhost. Dans le cas contraire, utilisez quelque chose au format <app-name>://authorize.

  2. Quand vous avez terminé, vous serez redirigé vers la page Application inscrite pour votre nouvelle inscription d’application. Copiez et enregistrez le GUID dans le champ ID d’application (cliente), car vous en aurez besoin pour les Démarrages rapides.

  3. Cliquez ensuite sur Autorisations de l’API pour ajouter les API et les autorisations auxquelles le client doit accéder. Cliquez sur Ajouter une autorisation pour ouvrir le volet « Demander des autorisations d’API ».

  4. Vous allez maintenant ajouter les API MIP et les autorisations dont l’application a besoin au moment de l’exécution :

    • Dans la page Sélectionner une API, cliquez sur Azure Rights Management Services.
    • Dans la page de l’API Azure Rights Management Services, cliquez sur Autorisations déléguées.
    • Dans la section Sélectionner des autorisations, vérifiez l’autorisation user_impersonation. Ce droit permet à l’application de créer et d’accéder au contenu protégé au nom d’un utilisateur.
    • Cliquez sur Ajouter des autorisations pour enregistrer.

  5. Répétez l’étape 4, mais cette fois, quand vous arrivez sur la page Sélectionner une API, vous devrez rechercher l’API.

    • Dans la page Sélectionner une API, cliquez sur Les API que mon organisation utilise puis, dans la zone de recherche, tapez « Service de synchronisation Microsoft Information Protection », puis sélectionnez-la.
    • Dans la page de l’API Service de synchronisation Microsoft Information Protection, cliquez sur Autorisations déléguées.
    • Développez le nœud UnifiedPolicy et vérifiez UnifiedPolicy.User.Read
    • Cliquez sur Ajouter des autorisations pour enregistrer.

  6. Quand vous êtes revenu dans la page Autorisations de l’API, cliquez sur Accorder un consentement d’administrateur pour (nom de votre abonné), puis sur Oui. Cette étape donne un consentement préalable à l’application en utilisant cette inscription pour accéder aux API sous les autorisations spécifiées. Si vous vous êtes inscrit en tant qu’administrateur général, le consentement est enregistré pour tous les utilisateurs du locataire qui exécutent l’application ; sinon, il s’applique seulement à votre compte d’utilisateur.

Lorsque vous avez terminé, les autorisations d’inscription d’application et d’API doivent ressembler aux exemples suivants :

Microsoft Entra app registrationMicrosoft Entra app API permissions

Pour plus d’informations sur l’ajout d’API et d’autorisations à une inscription, voir Configurer une application cliente pour accéder aux API Web. Vous trouverez ici des informations sur l’ajout des API et des autorisations nécessaires à une application cliente.

Demander un contrat d’intégration de Information Protection (IPIA)

Avant de pouvoir publier une application développée avec MIP, vous devez demander et conclure un accord formel avec Microsoft.

Remarque

Cet accord n’est pas nécessaire pour les applications destinées seulement à un usage interne.

  1. Obtenez votre IPIA en envoyant un e-mail à IPIA@microsoft.com avec les informations suivantes :

    Objet : Demande de IPIA pour Nom de la société

    Dans le corps de l’e-mail, incluez les éléments suivants :

    • Le nom de l’application et du produit
    • Le prénom et le nom du demandeur
    • L’adresse e-mail du demandeur

  2. Après réception de votre demande d’IPIA, nous vous enverrons un formulaire (un document Word). Passez en revue les conditions générales de l’IPIA et retournez le formulaire à IPIA@microsoft.com avec les informations suivantes :

    • Dénomination sociale de l’entreprise
    • État/Province (États-Unis/Canada) ou pays d’enregistrement
    • URL de l’entreprise
    • Adresse e-mail du contact
    • Adresses supplémentaires de l’entreprise (facultatif)
    • Nom de l’application de l’entreprise
    • Brève description de l’application
    • ID de locataire Azure
    • ID d’application pour l’application
    • Contacts, adresse e-mail et téléphone de correspondance en cas de situation critique

  3. Lorsque nous recevons votre formulaire, nous vous enverrons le lien d’IPIA final pour signer l’accord numériquement. Lorsque vous l’aurez signé, il sera signé par le représentant approprié de Microsoft, établissant ainsi l’accord.

Vous disposez déjà d’un IPIA signé ?

Si vous disposez déjà d’un IPIA signé et que vous souhaitez ajouter un nouvel ID d’application pour une application que vous publiez, envoyez un e-mail à IPIA@microsoft.com et donnez-nous les informations suivantes :

  • Nom de l’application de l’entreprise
  • Brève description de l’application
  • ID d’abonné Azure (même si c’est le même que précédemment)
  • ID d’application pour l’application
  • Contacts, adresse e-mail et téléphone de correspondance en cas de situation critique

Après l’envoi de l’e-mail, attendez jusqu’à 72 heures pour recevoir un accusé de réception.

Vérifier que votre application dispose du runtime nécessaire

Remarque

Cette étape n’est nécessaire que si vous déployez l’application sur une machine sans Visual Studio ou si l’installation de Visual Studio ne dispose pas des composants Visual C++ Runtime.

Les applications intégrées avec le kit de développement logiciel (SDK) MIP nécessitent l’installation du runtime Visual C++ 2015 ou Visual C++ 2017, s’il n’est pas déjà présent.

Celles-ci ne fonctionnent que si l’application a été conçue en tant que Mise en production. Si l’application est conçue en tant que Débogage, les DLL de débogage du runtime Visual C++ doivent être incluses dans l’application ou installées sur la machine.

Étapes suivantes