API-machtigingen voor de Microsoft Information Protection SDK
De MIP SDK maakt gebruik van twee back-end Azure-services voor labeling en beveiliging. In de blade Microsoft Entra-app-machtigingen zijn deze services:
- Azure Rights Management-service
- Microsoft Purview Informatiebeveiliging-synchronisatieservice
Toepassingsmachtigingen moeten worden verleend aan een of meer API's wanneer u de MIP SDK gebruikt voor labelen en beveiliging. Voor verschillende toepassingsverificatiescenario's zijn mogelijk verschillende toepassingsmachtigingen vereist. Zie Verificatiescenario's voor toepassingsverificatie.
Beheerderstoestemming voor de hele tenant moet worden verleend voor toepassingsmachtigingen waarbij Beheer istratortoestemming is vereist. Zie de Microsoft Entra-documentatie voor meer informatie.
Toepassingsmachtigingen
Met toepassingsmachtigingen kan een toepassing in Microsoft Entra ID fungeren als een eigen entiteit in plaats van namens een specifieke gebruiker.
| Onderhoud | Machtigingsnaam | Omschrijving | Beheerderstoestemming vereist |
|---|---|---|---|
| Azure Rights Management-service | Content.SuperUser | Alle beveiligde inhoud voor deze tenant lezen | Ja |
| Azure Rights Management-service | Content.DelegatedReader | Beveiligde inhoud lezen namens een gebruiker | Ja |
| Azure Rights Management-service | Content.DelegatedWriter | Beveiligde inhoud maken namens een gebruiker | Ja |
| Azure Rights Management-service | Content.Writer | Beveiligde inhoud maken | Ja |
| Azure Rights Management-service | Application.Read.All | De machtiging is niet vereist voor MIPSDK-gebruik | Niet van toepassing |
| MIP-synchronisatieservice | UnifiedPolicy.Tenant.Read | Alle geïntegreerde beleidsregels van de tenant lezen | Ja |
Content.SuperUser
Deze machtiging is vereist wanneer een toepassing moet zijn toegestaan om alle inhoud te ontsleutelen die voor de specifieke tenant is beveiligd. Voorbeelden van services waarvoor rechten zijn vereist Content.Superuser , zijn preventie van gegevensverlies of beveiligingsbrokerservices voor cloudtoegang die alle inhoud in platte tekst moeten bekijken om beleidsbeslissingen te nemen over waar die gegevens kunnen stromen of worden opgeslagen.
Content.DelegatedWriter
Deze machtiging is vereist wanneer een toepassing moet zijn toegestaan om inhoud te versleutelen die wordt beveiligd door een specifieke gebruiker. Voorbeelden van services waarvoor rechten zijn vereist Content.DelegatedWriter , zijn Line-Of-Business-toepassingen die inhoud moeten versleutelen, op basis van het labelbeleid van de gebruiker om labels toe te passen en of inhoud systeemeigen te versleutelen. Met deze machtiging kan de toepassing inhoud versleutelen in de context van de gebruiker.
Content.DelegatedReader
Deze machtiging is vereist wanneer een toepassing moet zijn toegestaan om alle inhoud te ontsleutelen die voor een specifieke gebruiker is beveiligd. Voorbeelden van services waarvoor rechten zijn vereist Content.DelegatedReader , zijn Line-Of-Business-toepassingen die inhoud moeten ontsleutelen, op basis van het labelbeleid van de gebruiker om de inhoud systeemeigen weer te geven. Met deze machtiging kan de toepassing inhoud ontsleutelen en lezen in de context van de gebruiker.
Content.Writer
Deze machtiging is vereist wanneer een toepassing sjablonen mag vermelden en inhoud moet versleutelen. Een service die sjablonen zonder deze machtiging probeert weer te geven, ontvangt een bericht dat het token van de service is geweigerd. Voorbeelden van services waarvoor line-of-business-toepassingen nodig Content.writer zijn die classificatielabels toepassen op bestanden die worden geëxporteerd. Content.Writer versleutelt de inhoud als de identiteit van de service-principal en de eigenaar van de beveiligde bestanden is dus de identiteit van de service-principal.
UnifiedPolicy.Tenant.Read
Deze machtiging is vereist wanneer een toepassing geïntegreerd labelbeleid voor de tenant mag downloaden. Voorbeelden van services die toepassingen vereisen UnifiedPolicy.Tenant.Read die moeten worden gebruikt met labels als service-principal-identiteit.
Gedelegeerde machtigingen
Met gedelegeerde machtigingen kan een toepassing in Microsoft Entra ID acties uitvoeren namens een bepaalde gebruiker.
| Onderhoud | Machtigingsnaam | Omschrijving | Beheerderstoestemming vereist |
|---|---|---|---|
| Azure Rights Management-service | user_impersonation | Beveiligde inhoud voor de gebruiker maken en openen | Nee |
| MIP-synchronisatieservice | UnifiedPolicy.User.Read | Alle geïntegreerde beleidsregels lezen die een gebruiker toegang heeft | Nee |
User_Impersonation
Deze machtiging is vereist wanneer een toepassing namens de gebruiker Azure Rights Management Services mag gebruiken. Voorbeelden van services waarvoor rechten zijn vereist User_Impersonation , zijn toepassingen die inhoud moeten versleutelen of openen, op basis van het labelbeleid van de gebruiker om labels toe te passen of inhoud systeemeigen te versleutelen.
UnifiedPolicy.User.Read
Deze machtiging is vereist wanneer een toepassing geïntegreerde labelbeleidsregels met betrekking tot een gebruiker mag lezen. Voorbeelden van services waarvoor machtigingen zijn vereist UnifiedPolicy.User.Read , zijn toepassingen die inhoud moeten versleutelen en ontsleutelen op basis van het labelbeleid van de gebruiker.