Instalação e configuração do SDK da MIP (Proteção de Informações da Microsoft)

Os artigos do Início Rápido e de Tutoriais se concentram na criação de aplicativos que usam as APIs e as bibliotecas do SDK da PIM. Este artigo mostra como instalar e configurar a assinatura e a estação de trabalho cliente do Microsoft 365 como preparação para usar o SDK.

Pré-requisitos

Examine os seguintes tópicos antes de começar:

• Portal de conformidade do Microsoft Purview
• O que é a Proteção de Informações do Azure?
• Como a defesa funciona na Proteção de Informações do Azure?

Importante

Para respeitar a privacidade do usuário, você precisa solicitar o consentimento dele antes de habilitar o registro em log automático. O seguinte exemplo é uma mensagem padrão que a Microsoft usa para notificação de registro em log:

Ao ativar o Registro em Log de Erros e de Desempenho, você estará concordando em enviar Dados de Erro e de Desempenho à Microsoft. A Microsoft coletará dados de erro e de desempenho por meio da Internet (“Dados”). A Microsoft usa esses Dados para proporcionar e aprimorar a qualidade, a segurança e a integridade dos produtos e serviços que oferece. Analisamos o desempenho e a confiabilidade, por exemplo: quais recursos você usa, a rapidez com que os recursos respondem, o desempenho do dispositivo, as interações com a interface do usuário e os problemas encontrados no produto. Os dados também incluirão informações sobre configuração de software, como o software em execução no momento e o endereço IP.

Inscreva-se em uma assinatura do Office 365

Muitos dos exemplos do SDK exigem acesso a uma assinatura do Office 365. Caso ainda não o tenha feito, inscreva-se em um dos seguintes tipos de assinatura:

Nome	Inscrever-se
Avaliação do Office 365 Enterprise E3 (avaliação gratuita de 30 dias)	https://go.microsoft.com/fwlink/p/?LinkID=403802
Office 365 Enterprise E3 ou E5	https://www.microsoft.com/microsoft-365/enterprise/office-365-e3
Enterprise Mobility + Security E3 ou E5	https://www.microsoft.com/security
Proteção de Informações do Azure Premium P1 ou P2	Diretrizes de licenciamento do Microsoft 365 para conformidade e segurança
Microsoft 365 E3, E5 ou F1	https://www.microsoft.com/microsoft-365/enterprise/microsoft365-plans-and-pricing

Configurar rótulos de confidencialidade

Se você está usando a Proteção de Informações do Azure no momento, migre os rótulos para o Centro de Segurança e Conformidade do Office 365. Para obter mais informações sobre o processo, consulte Como migrar rótulos da Proteção de Informações do Azure para o Centro de Conformidade e de Segurança do Office 365.

Configurar a estação de trabalho cliente

Conclua as etapas a seguir para garantir que o computador cliente seja instalado e esteja configurado corretamente.

1. Se você está usando uma estação de trabalho do Windows 10:

   Usando o Windows Update, atualize o computador para o Windows 10 Fall Creators Update (versão 1709) ou posterior. Para verificar a versão atual:

   • Clique no ícone do Windows no canto inferior esquerdo.
   • Digite "Sobre o computador" e pressione a tecla "Enter".
   • Role a tela até encontrar Especificações do Windows e procure em Versão.

2. Se você está usando uma estação de trabalho do Windows 11 ou do Windows 10:

   Verifique se o "Modo do Desenvolvedor" está habilitado na estação de trabalho:

   • Clique no ícone do Windows no canto inferior esquerdo.
   • Digite "Usar recursos do desenvolvedor" e pressione a tecla "Enter" quando aparecer o item Usar Recursos do Desenvolvedor.
   • Na caixa de diálogo Configurações, na guia Para desenvolvedores, em "Usar Recursos de Desenvolvedor", selecione a opção Modo do desenvolvedor.
   • Feche a caixa de diálogo Configurações.

3. Instale o Visual Studio 2019 com as seguintes cargas de trabalho e componentes opcionais:

   • Carga de trabalho do Windows de Desenvolvimento da Plataforma Universal do Windows, mais os seguintes componentes opcionais:

     • Ferramentas C++ da Plataforma Universal do Windows
     • SDK 10.0.16299.0 do Windows 10 ou posterior, se não estiver incluído por padrão

   • Carga de trabalho de Desenvolvimento de área de trabalho com C++ do Windows, mais os seguintes componentes opcionais:

     • SDK 10.0.16299.0 do Windows 10 ou posterior, se não estiver incluído por padrão

     

4. Instale o Módulo do PowerShell ADAL.PS:

   • Como são necessários direitos de administrador para instalar os módulos, primeiro execute uma das seguintes opções:

     • entre no computador com uma conta que tenha direitos de Administrador.
     • execute a sessão do Windows PowerShell com direitos elevados (Executar como Administrador).

   • Depois, execute o cmdlet install-module -name adal.ps:

     PS C:\WINDOWS\system32> install-module -name adal.ps
     
     Untrusted repository
     You are installing the modules from an untrusted repository. If you trust this repository, change its
     InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from
     'PSGallery'?
     [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): A
     
     PS C:\WINDOWS\system32>
     

5. Baixe os arquivos:

   O SDK da PIM é compatível com as seguintes plataformas, com downloads separados para cada plataforma/linguagem com suporte:

   Sistema operacional	Versões	Downloads	Observações
   Ubuntu	20.04	C++ tar.gz Java (versão prévia) tar.gz .NET Core NuGet (versão prévia)
   Ubuntu	22.04	C++ tar.gz Java (versão prévia) tar.gz .NET Core NuGet (versão prévia)
   RedHat Enterprise Linux	8 e 9	C++ tar.gz
   Debian	10 e 11	C++ tar.gz
   macOS	Todas as versões com suporte	C++ .zip	O desenvolvimento no Xcode exige o 13 ou superior.
   Windows	Todas as versões com suporte, 32/64 bits	C++ C++/.NET NuGet Java (versão prévia) .zip
   Android	9.0 e posterior	C++ .zip	Somente SDKs de proteção e política.
   iOS	Todas as versões com suporte	C++ .zip	Somente SDKs de proteção e política.

   Downloads de Tar.gz/.Zip

   Os downloads de Tar.gz e .Zip contêm arquivos compactados, um para cada API. Os arquivos compactados são nomeados da maneira a seguir, em que a <API> = file, protection ou upe e <OS> = a plataforma: mip_sdk_<API>_<OS>_1.0.0.0.zip (or .tar.gz). Por exemplo, o arquivo dos binários e cabeçalhos do SDK de proteção no Debian seria: mip_sdk_protection_debian9_1.0.0.0.tar.gz. Cada .tar.gz/.zip contido é dividido em três diretórios:

   • Compartimentos: binários compilados para cada arquitetura de plataforma, quando aplicável.
   • Inclusão: arquivos de cabeçalho (C++).
   • Amostras: código-fonte dos aplicativos de exemplo.

   Pacotes NuGet

   Se você está fazendo o desenvolvimento no Visual Studio, o SDK também pode ser instalado por meio do Console do Gerenciador de Pacotes NuGet:

   Install-Package Microsoft.InformationProtection.File
   Install-Package Microsoft.InformationProtection.Policy
   Install-Package Microsoft.InformationProtection.Protection
   

6. Se você não está usando o pacote NuGet, adicione os caminhos dos binários do SDK à variável de ambiente PATH. A variável PATH permite que os binários dependentes (DLLs) sejam encontrados no runtime, por aplicativos cliente (OPCIONAL):

   Se você está usando uma estação de trabalho do Windows 11 ou do Windows 10:

   • Clique no ícone do Windows no canto inferior esquerdo.

   • Digite "Caminho" e pressione a tecla "Enter" quando aparecer o item Editar as variáveis de ambiente do sistema.

   • Na caixa de diálogo Propriedades do Sistema, clique em Variáveis de Ambiente.

   • Na caixa de diálogo Variáveis de Ambiente, clique na linha da variável Caminho em Variáveis de usuário do <usuário> e clique em Editar....

   • Na caixa de diálogo Editar a variável de ambiente, clique em Novo, o que cria uma nova linha editável. Usando o caminho completo para cada um dos subdiretórios file\bins\debug\amd64, protection\bins\debug\amd64 e upe\bins\debug\amd64, adicione uma nova linha para cada um deles. Os diretórios do SDK são armazenados no formato <API>\bins\<target>\<platform>, em que:

     • <API> = file, protection, upe
     • <target> = debug, release
     • <platform> = amd64 (x64), x86 etc.

   • Quando terminar de atualizar a variável Caminho, clique em OK. Depois, clique em OK quando voltar à caixa de diálogo Variáveis de Ambiente.

7. Baixe exemplos do SDK do GitHub (OPCIONAL):

   • Se você ainda não criou um perfil do GitHub, faça isso.
   • Depois, instale a última versão das Ferramentas cliente do Git da Software Freedom Conservancy (Git Bash)
   • Usando o Git Bash, baixe os exemplos relevantes para você:
     • Use a seguinte consulta para exibir os repositórios: https://github.com/Azure-Samples?utf8=%E2%9C%93& q=MipSdk.
     • Com o Git Bash, use git clone https://github.com/azure-samples/<repo-name> para baixar cada repositório de exemplo.

Registrar um Aplicativo cliente no Microsoft Entra ID

Durante o processo de provisionamento de assinatura do Microsoft 365, é criado um locatário do Microsoft Entra associado. O locatário do Microsoft Entra oferece gerenciamento de identidade e de acesso para contas de usuário e contas de aplicativo do Microsoft 365. Os aplicativos que precisam de acesso a APIs protegidas (como APIs da PIM) exigem uma conta de aplicativo.

Para autenticação e autorização no runtime, as contas são representadas por uma entidade de segurança, que é derivada das informações de identidade da conta. As entidades de segurança que representam uma conta de aplicativo são chamadas de entidades de serviço.

Para registrar uma conta de aplicativo no Microsoft Entra ID a ser usada com os exemplos e guias de início rápido do SDK da PIM:

Importante

Para acessar o gerenciamento de locatários do Microsoft para criação de conta, entre no portal do Azure com uma conta de usuário que seja membro da função "Proprietário" na assinatura. Dependendo da configuração do locatário, você também precisará ser membro da função de diretório "Administrador Global" para registrar um aplicativo. Recomendamos fazer um teste com uma conta restrita. Verifique se a conta tem direitos de acesso apenas aos pontos de extremidade da SCC necessários. Senhas de texto não criptografado passadas por meio da linha de comando podem ser coletadas por sistemas de registro em log.

1. Siga as etapas na seção Registrar um aplicativo no Microsoft Entra ID, Registrar um novo aplicativo. Para fins de teste, use os seguintes valores para as propriedades fornecidas ao percorrer as etapas do guia:

   • Tipos de conta com suporte – selecione "Somente contas neste diretório organizacional".
   • URI de Redirecionamento – Defina o tipo de URI de redirecionamento como "Cliente público (móvel e desktop)". Se o seu aplicativo estiver usando a MSAL (Biblioteca de Autenticação da Microsoft), use http://localhost. Caso contrário, use algo no formato <app-name>://authorize.

2. Quando terminar, você voltará para a página Aplicativo registrado do novo registro de aplicativo. Copie e salve o GUID no campo ID do aplicativo (cliente), pois você precisará dele nos guias de início rápido.

3. Depois, clique em Permissões de API para adicionar as APIs e as permissões que o cliente precisará acessar. Clique em Adicionar uma permissão para abrir o painel "Solicitar permissões de API".

4. Agora, você adicionará as permissões e as APIs da PIM de que o aplicativo precisará no runtime:

   • Na página Selecionar uma API, clique em Serviços do Azure Rights Management.
   • Na página da API dos Serviços do Azure Rights Management, clique em Permissões delegadas.
   • Na seção Selecionar permissões, marque a permissão user_impersonation. Esse direito permite que o aplicativo crie e acesse conteúdo protegido em nome de um usuário.
   • Clique em Adicionar permissões para salvar.

5. Repita a etapa 4, mas desta vez, quando chegar à página Selecionar uma API, procure a API.

   • Na página Selecionar uma API, clique em APIs que minha organização usa, depois, na caixa de pesquisa, digite "Serviço de Sincronização da Proteção de Informações da Microsoft" e selecione-o.
   • Na página da API do Serviço de Sincronização da Proteção de Informações da Microsoft, clique em Permissões delegadas.
   • Expanda o nó UnifiedPolicy e marque UnifiedPolicy.User.Read
   • Clique em Adicionar permissões para salvar.

6. Ao voltar à página Permissões da API, clique em Dar consentimento de administrador para (nome do locatário) e depois em Sim. Esta etapa dá um consentimento prévio ao aplicativo que está usando esse registro para acessar as APIs com as permissões especificadas. Se você tiver entrado como administrador global, o consentimento será registrado para todos os usuários no locatário que executam o aplicativo. Caso contrário, ele se aplicará somente à sua conta de usuário.

Quando terminar, o registro de aplicativo e as permissões da API deverão ser semelhantes aos seguintes exemplos:

Para obter mais informações sobre como adicionar APIs e permissões a um registro, confira Configurar um aplicativo cliente para acessar APIs Web. Aqui, você encontrará informações sobre como adicionar as APIs e as permissões necessárias para um aplicativo cliente.

Solicitar um IPIA (Contrato de Integração da Proteção de Informações)

Para lançar ao público um aplicativo desenvolvido com a PIM, você precisa solicitar e concluir um contrato formal com a Microsoft.

Observação

Esse contrato não é necessário para aplicativos destinados apenas a uso interno.

1. Obtenha o IPIA enviando um email para IPIA@microsoft.com com as seguintes informações:

   Assunto: Solicitação de IPIA para Nome da Empresa

   No corpo do email, inclua:

   • Nome do produto e do aplicativo
   • Nome e sobrenome do solicitante
   • Endereço de email do solicitante

2. Após o recebimento da solicitação do IPIA, enviaremos um formulário (como um documento do Word). Examine os termos e condições do IPIA e retorne o formulário para IPIA@microsoft.com com as seguintes informações:

   • Razão social da empresa
   • Estado/Província (EUA/Canadá) ou o país da incorporação
   • URL da empresa
   • Endereço de email da pessoa de contato
   • Endereços adicionais da empresa (opcional)
   • Nome do aplicativo da empresa
   • Breve descrição do aplicativo
   • ID do locatário do Azure
   • ID do Aplicativo para o aplicativo
   • Contatos da empresa, email e telefone para correspondência de situação crítica

3. Quando nós recebermos o formulário, enviaremos o link do IPIA final para que você o assine digitalmente. Depois que você assinar, ele será assinado pelo representante da Microsoft apropriado, concluindo o contrato.

Você já tem um IPIA assinado?

Se você já tem um IPIA assinado e quer adicionar uma nova ID do Aplicativo para um aplicativo que está lançando, envie um email para IPIA@microsoft.com com as seguintes informações:

• Nome do aplicativo da empresa
• Breve descrição do aplicativo
• ID do locatário do Azure (mesmo que igual à anterior)
• ID do Aplicativo para o aplicativo
• Contatos da empresa, email e telefone para correspondência de situação crítica

Após o envio do email, aguarde uma confirmação de recebimento em até 72 horas.

Verifique se o aplicativo tem o runtime necessário

Observação

Esta etapa é necessária somente ao implantar o aplicativo em um computador sem o Visual Studio ou quando a instalação do Visual Studio não tem os componentes de runtime do Visual C++.

Os aplicativos criados com o SDK da PIM exigem que o runtime do Visual C++ 2015 ou 2017 seja instalado, caso ainda não esteja.

• Pacotes Redistribuíveis do Microsoft Visual C++ 2015 Atualização 3
• Pacotes Redistribuíveis do Microsoft Visual C++ para Visual Studio 2017

Esses itens só funcionam quando o aplicativo é compilado como versão. Se o aplicativo for compilado como depuração, as DLLs de depuração do runtime do Visual C++ precisarão ser incluídas no aplicativo ou instaladas no computador.

Próximas etapas

• Se você é desenvolvedor C++
  • Leia Conceitos sobre observadores antes de iniciar a seção de Início Rápido para saber mais sobre a natureza assíncrona das APIs C++.
  • Quando quiser adquirir experiência com o SDK, comece com o Início Rápido: inicialização do aplicativo cliente (C++).
• Se você é desenvolvedor C#, quando quiser adquirir experiência com o SDK, comece com o Início Rápido: inicialização do aplicativo cliente (C#).