Izin API untuk SDK Perlindungan Informasi Microsoft
MIP SDK menggunakan dua layanan Azure backend untuk pelabelan dan perlindungan. Di bilah izin aplikasi Microsoft Entra, layanan ini adalah:
- Layanan Manajemen Hak Azure
- Layanan Sinkronisasi Perlindungan Informasi Microsoft Purview
Izin aplikasi harus diberikan kepada satu atau beberapa API saat menggunakan MIP SDK untuk pelabelan dan perlindungan. Berbagai skenario autentikasi aplikasi mungkin memerlukan izin aplikasi yang berbeda. Untuk skenario autentikasi aplikasi, lihat Skenario autentikasi.
Persetujuan admin di seluruh penyewa harus diberikan untuk izin aplikasi di mana persetujuan Administrator diperlukan. Untuk informasi selengkapnya, lihat dokumentasi Microsoft Entra.
Izin Aplikasi
Izin aplikasi memungkinkan aplikasi di MICROSOFT Entra ID bertindak sebagai entitasnya sendiri, bukan atas nama pengguna tertentu.
| Layanan | Nama Izin | Deskripsi | Persetujuan Admin Diperlukan |
|---|---|---|---|
| Layanan Manajemen Hak Azure | Content.SuperUser | Baca semua konten yang dilindungi untuk penyewa ini | Ya |
| Layanan Manajemen Hak Azure | Content.DelegatedReader | Membaca konten yang dilindungi atas nama pengguna | Ya |
| Layanan Manajemen Hak Azure | Content.DelegatedWriter | Membuat konten yang dilindungi atas nama pengguna | Ya |
| Layanan Manajemen Hak Azure | Content.Writer | Membuat konten yang dilindungi | Ya |
| Layanan Manajemen Hak Azure | Application.Read.All | Izin tidak diperlukan untuk penggunaan MIPSDK | Tidak berlaku |
| Layanan Sinkronisasi MIP | UnifiedPolicy.Tenant.Read | Membaca semua kebijakan terpadu penyewa | Ya |
Content.SuperUser
Izin ini diperlukan ketika aplikasi harus diizinkan untuk mendekripsi semua konten yang dilindungi untuk penyewa tertentu. Contoh layanan yang memerlukan Content.Superuser hak adalah pencegahan kehilangan data atau layanan broker keamanan akses cloud yang harus melihat semua konten dalam teks biasa untuk membuat keputusan kebijakan tentang di mana data tersebut dapat mengalir atau disimpan.
Content.DelegatedWriter
Izin ini diperlukan ketika aplikasi harus diizinkan untuk mengenkripsi konten yang dilindungi oleh pengguna tertentu. Contoh layanan yang memerlukan Content.DelegatedWriter hak adalah aplikasi lini bisnis yang perlu mengenkripsi konten, berdasarkan kebijakan label pengguna untuk menerapkan label dan atau mengenkripsi konten secara asli. Izin ini memungkinkan aplikasi mengenkripsi konten dalam konteks pengguna.
Content.DelegatedReader
Izin ini diperlukan ketika aplikasi harus diizinkan untuk mendekripsi semua konten yang dilindungi untuk pengguna tertentu. Contoh layanan yang memerlukan Content.DelegatedReader hak adalah aplikasi lini bisnis yang perlu mendekripsi konten, berdasarkan kebijakan label pengguna untuk menampilkan konten secara asli. Izin ini memungkinkan aplikasi untuk mendekripsi dan membaca konten dalam konteks pengguna.
Content.Writer
Izin ini diperlukan ketika aplikasi harus diizinkan untuk mencantumkan templat dan mengenkripsi konten. Layanan yang mencoba mencantumkan templat tanpa izin ini akan menerima pesan token yang ditolak dari layanan. Contoh layanan yang diperlukan Content.writer adalah aplikasi lini bisnis yang menerapkan label klasifikasi ke file saat diekspor. Content.Writer mengenkripsi konten sebagai identitas perwakilan layanan dan jadi pemilik file yang dilindungi akan menjadi identitas perwakilan layanan.
UnifiedPolicy.Tenant.Read
Izin ini diperlukan ketika aplikasi harus diizinkan untuk mengunduh kebijakan pelabelan terpadu untuk penyewa. Contoh layanan yang memerlukan UnifiedPolicy.Tenant.Read adalah aplikasi yang membutuhkan pekerjaan dengan label sebagai identitas perwakilan layanan.
Izin yang Didelegasikan
Izin yang didelegasikan memungkinkan aplikasi di MICROSOFT Entra ID melakukan tindakan atas nama pengguna tertentu.
| Layanan | Nama Izin | Deskripsi | Persetujuan Admin Diperlukan |
|---|---|---|---|
| Layanan Manajemen Hak Azure | user_impersonation | Membuat dan mengakses konten yang dilindungi untuk pengguna | Tidak |
| Layanan Sinkronisasi MIP | UnifiedPolicy.User.Read | Membaca semua kebijakan terpadu yang dapat diakses pengguna | Tidak |
User_Impersonation
Izin ini diperlukan ketika aplikasi harus diizinkan untuk pengguna Azure Rights Management Services atas nama pengguna. Contoh layanan yang memerlukan User_Impersonation hak adalah aplikasi yang perlu mengenkripsi, atau mengakses konten, berdasarkan kebijakan label pengguna untuk menerapkan label atau mengenkripsi konten secara asli.
UnifiedPolicy.User.Read
Izin ini diperlukan ketika aplikasi harus diizinkan untuk membaca kebijakan pelabelan terpadu yang terkait dengan pengguna. Contoh layanan yang memerlukan UnifiedPolicy.User.Read izin adalah aplikasi yang perlu mengenkripsi dan mendekripsi konten, berdasarkan kebijakan label pengguna.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk