Permissões de API para o SDK da Proteção de Informações da Microsoft
O SDK da PIM usa dois serviços de back-end do Azure para rotulagem e proteção. Na folha de permissões de aplicativo do Microsoft Entra, esses serviços são:
- Azure Rights Management Service
- Serviço de sincronização da Proteção de Informações do Microsoft Purview
As permissões de aplicativo devem ser concedidas a uma ou mais APIs quando o SDK da PIM é usado para rotulagem e proteção. Vários cenários de autenticação de aplicativo podem exigir permissões de aplicativo diferentes. Para cenários de autenticação de aplicativo, confira Cenários de autenticação.
O consentimento do administrador em todo o locatário deve ser concedido para permissões de aplicativo nas quais o consentimento do administrador é necessário. Para obter mais informações, confira a documentação do Microsoft Entra.
Permissões do Aplicativo
As permissões de aplicativo permitem que um aplicativo no Microsoft Entra ID atue como sua própria entidade e não em nome de um usuário específico.
| Serviço | Nome da Permissão | Descrição | Consentimento do administrador obrigatório |
|---|---|---|---|
| Azure Rights Management Service | Content.SuperUser | Ler todo o conteúdo protegido para esse locatário | Sim |
| Azure Rights Management Service | Content.DelegatedReader | Ler o conteúdo protegido em nome de um usuário | Sim |
| Azure Rights Management Service | Content.DelegatedWriter | Criar conteúdo protegido em nome de um usuário | Sim |
| Azure Rights Management Service | Content.Writer | Criar conteúdo protegido | Sim |
| Azure Rights Management Service | Application.Read.All | Permissão não necessária para uso do MIPSDK | Não Aplicável |
| Serviço de sincronização da PIM | UnifiedPolicy.Tenant.Read | Ler todas as políticas unificadas do locatário | Sim |
Content.SuperUser
Essa permissão é necessária quando um aplicativo deve ter permissão para descriptografar todo o conteúdo protegido para o locatário específico. Exemplos de serviços que exigem direitos de Content.Superuser são prevenção contra perda de dados ou serviços de agente de segurança de acesso à nuvem que devem visualizar todo o conteúdo em texto não criptografado para tomar decisões de política sobre onde esses dados podem fluir ou ser armazenados.
Content.DelegatedWriter
Essa permissão é necessária quando um aplicativo deve ter permissão para criptografar conteúdo protegido por um usuário específico. Exemplos de serviços que exigem direitos de Content.DelegatedWriter são aplicativos de linha de negócios que precisam criptografar conteúdo com base nas políticas de rótulo do usuário para aplicar rótulos e/ou criptografar conteúdo nativamente. Essa permissão permite que o aplicativo criptografe o conteúdo no contexto do usuário.
Content.DelegatedReader
Essa permissão é necessária quando um aplicativo deve ter permissão para descriptografar todo o conteúdo protegido para um usuário específico. Exemplos de serviços que exigem direitos de Content.DelegatedReader são aplicativos de linha de negócios que precisam descriptografar conteúdo com base nas políticas de rótulo do usuário para exibir o conteúdo nativamente. Essa permissão permite que o aplicativo descriptografe e leia o conteúdo no contexto do usuário.
Content.Writer
Essa permissão é necessária quando um aplicativo deve ter permissão para listar modelos e criptografar conteúdo. Um serviço que tentar listar modelos sem essa permissão receberá uma mensagem de token rejeitado do serviço. Exemplos de serviços que exigem Content.writer são aplicativos de linha de negócios que aplicam rótulos de classificação a arquivos durante a exportação. O Content.Writer criptografa o conteúdo como a identidade da entidade de serviço e, portanto, o proprietário dos arquivos protegidos será a identidade da entidade de serviço.
UnifiedPolicy.Tenant.Read
Essa permissão é necessária quando um aplicativo deve ter permissão para baixar políticas de rotulagem unificadas para o locatário. Exemplos de serviços que exigem UnifiedPolicy.Tenant.Read são aplicativos que precisam trabalhar com rótulos como uma identidade da entidade de serviço.
Permissões Delegadas
As permissões delegadas permitem que um aplicativo no Microsoft Entra ID execute ações em nome de um usuário específico.
| Serviço | Nome da Permissão | Descrição | Consentimento do administrador obrigatório |
|---|---|---|---|
| Azure Rights Management Service | user_impersonation | Criar e acessar conteúdo protegido para o usuário | Não |
| Serviço de sincronização da PIM | UnifiedPolicy.User.Read | Ler todas as políticas unificadas às quais um usuário tem acesso | Não |
User_Impersonation
Essa permissão é necessária quando um aplicativo deve ter permissão para usar o Azure Rights Management Services em nome do usuário. Exemplos de serviços que exigem direitos de User_Impersonation são aplicativos que precisam criptografar ou acessar conteúdo com base nas políticas de rótulo do usuário para aplicar rótulos ou criptografar conteúdo nativamente.
UnifiedPolicy.User.Read
Essa permissão é necessária quando um aplicativo deve ter permissão para ler políticas de rotulagem unificadas relacionadas a um usuário. Exemplos de serviços que exigem permissões de UnifiedPolicy.User.Read são aplicativos que precisam criptografar e descriptografar conteúdo, com base nas políticas de rótulo do usuário.