Microsoft Information Protection SDK の API アクセス許可
MIP SDK は、ラベル付けと保護に 2 つのバックエンド Azure サービスを使用します。 Microsoft Entra アプリのアクセス許可ブレードには、次のサービスがあります。
- Azure Rights Management サービス
- Microsoft Purview 情報保護同期サービス
アプリケーションのアクセス許可は、ラベル付けと保護に MIP SDK を使用する場合に 1 つ以上の API に対して付与される必要があります。 アプリケーション認証シナリオによって、必要となるアプリケーションのアクセス許可は異なる場合があります。 アプリケーション認証シナリオについては、認証のシナリオに関するページを参照してください。
管理者の同意が必要なアプリケーションのアクセス許可には、テナント全体の管理者の同意が付与されなければなりません。 詳細については、Microsoft Entra のドキュメントを参照してください。
アプリケーションのアクセス許可
アプリケーションのアクセス許可により、Microsoft Entra ID のアプリケーションは、特定のユーザーの代わりにではなく、独自のエンティティとして機能できます。
| Service | アクセス権の名前 | 説明 | 管理者の同意が必要 |
|---|---|---|---|
| Azure Rights Management サービス | Content.SuperUser | このテナントの保護されたコンテンツすべてを読み取ります | はい |
| Azure Rights Management サービス | Content.DelegatedReader | ユーザーの代わりに保護されたコンテンツを読み取ります | はい |
| Azure Rights Management サービス | Content.DelegatedWriter | ユーザーの代わりに保護されたコンテンツを作成します | はい |
| Azure Rights Management サービス | Content.Writer | 保護されたコンテンツを作成します | はい |
| Azure Rights Management サービス | Application.Read.All | MIPSDK の使用にアクセス許可は必要ありません | 適用外 |
| MIP 同期サービス | UnifiedPolicy.Tenant.Read | テナントのすべての統合ポリシーを読み取ります | はい |
Content.SuperUser
このアクセス許可は、特定のテナントで保護されているすべてのコンテンツの暗号化を解除することをアプリケーションに許可しなければならないときに必要です。 Content.Superuser 権限を必要とするサービスの例としては、データのフローまたは格納を行う場所についてのポリシー決定を下すために、すべてのコンテンツをプレーンテキストで確認しなければならないデータ損失防止またはクラウド アクセス セキュリティ ブローカー サービスがあります。
Content.DelegatedWriter
このアクセス許可は、特定のユーザーによって保護されているコンテンツを暗号化することをアプリケーションに許可しなければならないときに必要です。 Content.DelegatedWriter 権限を必要とするサービスの例としては、ラベルを適用したりコンテンツをネイティブに暗号化したりするために、ユーザーのラベル ポリシーに基づいてコンテンツを暗号化する必要がある基幹業務アプリケーションがあります。 このアクセス許可は、ユーザーのコンテキストでコンテンツを暗号化することをアプリケーションに許可します。
Content.DelegatedReader
このアクセス許可は、特定のユーザーの保護されているすべてのコンテンツの暗号化を解除することをアプリケーションに許可しなければならないときに必要です。 Content.DelegatedReader 権限を必要とするサービスの例としては、コンテンツをネイティブに表示するために、ユーザーのラベル ポリシーに基づいてコンテンツを暗号化解除する必要がある基幹業務アプリケーションがあります。 このアクセス許可は、ユーザーのコンテキストでコンテンツを暗号化解除および読み取ることをアプリケーションに許可します。
Content.Writer
このアクセス許可は、テンプレートの一覧表示とコンテンツの暗号化をアプリケーションに許可しなければならないときに必要です。 サービスが、このアクセス許可なく、テンプレートを一覧表示しようとすると、サービスからトークン拒否メッセージを受信します。 Content.writer を必要とするサービスの例としては、エクスポート時にファイルに分類ラベルを適用する基幹業務アプリケーションがあります。 Content.Writer はコンテンツをサービス プリンシパル ID として暗号化するので、保護されたファイルの所有者はサービス プリンシパル ID となります。
UnifiedPolicy.Tenant.Read
このアクセス許可は、テナントの統一されたラベル付けポリシーをダウンロードすることをアプリケーションに許可しなければならないときに必要です。 UnifiedPolicy.Tenant.Read が必要なサービスの例としては、ラベルをサービス プリンシパル ID として処理しなければならないアプリケーションがあります。
委任されたアクセス許可
委任されたアクセス許可により、Microsoft Entra ID 内のアプリケーションは、特定のユーザーに代わってアクションを実行できます。
| Service | アクセス権の名前 | 説明 | 管理者の同意が必要 |
|---|---|---|---|
| Azure Rights Management サービス | user_impersonation | ユーザーの保護されたコンテンツを作成してアクセスします | いいえ |
| MIP 同期サービス | UnifiedPolicy.User.Read | ユーザーがアクセス権を持つすべての統合ポリシーを読み取ります | いいえ |
User_Impersonation
このアクセス許可は、ユーザーに代わって Azure Rights Management サービスを利用することをアプリケーションに許可しなければならないときに必要です。 User_Impersonation 権限を必要とするサービスの例としては、ラベルを適用したりコンテンツをネイティブに暗号化したりするために、ユーザーのラベル ポリシーに基づいてコンテンツを暗号化したりアクセスしたりする必要があるアプリケーションがあります。
UnifiedPolicy.User.Read
このアクセス許可は、ユーザーの統一されたラベル付けポリシーを読み取ることをアプリケーションに許可しなければならないときに必要です。 UnifiedPolicy.User.Read アクセス許可を必要とするサービスの例としては、ユーザーのラベル ポリシーに基づいてコンテンツを暗号化および暗号化解除する必要があるアプリケーションがあります。