Partilhar via


Permissões de API para o SDK da Proteção de Informações da Microsoft

O MIP SDK usa dois serviços de back-end do Azure para rotulagem e proteção. Na folha de permissões do aplicativo Microsoft Entra, esses serviços são:

  • Serviço Azure Rights Management
  • Serviço de Sincronização de Proteção de Informações do Microsoft Purview

As permissões de aplicativo devem ser concedidas a uma ou mais APIs ao usar o MIP SDK para rotulagem e proteção. Vários cenários de autenticação de aplicativo podem exigir permissões de aplicativo diferentes. Para cenários de autenticação de aplicativos, consulte Cenários de autenticação.

O consentimento de administrador de todo o locatário deve ser concedido para permissões de aplicativo onde o consentimento do administrador é necessário. Para obter mais informações, consulte a documentação do Microsoft Entra.

Permissões do aplicativo

As permissões de aplicativo permitem que um aplicativo no Microsoft Entra ID aja como sua própria entidade, em vez de em nome de um usuário específico.

Service Nome da permissão Descrição Consentimento de Administrador Necessário
Serviço Azure Rights Management Content.SuperUser Leia todo o conteúdo protegido para este locatário Sim
Serviço Azure Rights Management Content.DelegatedReader Ler conteúdo protegido em nome de um utilizador Sim
Serviço Azure Rights Management Content.DelegatedWriter Criar conteúdo protegido em nome de um utilizador Sim
Serviço Azure Rights Management Content.Writer Criar conteúdo protegido Sim
Serviço Azure Rights Management Application.Read.All Permissão não necessária para o uso do MIPSDK Não Aplicável
Serviço de sincronização MIP UnifiedPolicy.Tenant.Read Leia todas as políticas unificadas do locatário Sim

Content.SuperUser

Essa permissão é necessária quando um aplicativo deve ter permissão para descriptografar todo o conteúdo protegido para o locatário específico. Exemplos de serviços que exigem Content.Superuser direitos são a prevenção de perda de dados ou serviços de agente de segurança de acesso à nuvem que devem exibir todo o conteúdo em texto sem formatação para tomar decisões políticas sobre onde esses dados podem fluir ou ser armazenados.

Content.DelegatedWriter

Essa permissão é necessária quando um aplicativo deve ter permissão para criptografar conteúdo protegido por um usuário específico. Exemplos de serviços que exigem Content.DelegatedWriter direitos são aplicativos de linha de negócios que precisam criptografar conteúdo, com base nas políticas de rótulos do usuário para aplicar rótulos e/ou criptografar conteúdo nativamente. Essa permissão permite que o aplicativo criptografe o conteúdo no contexto do usuário.

Content.DelegatedReader

Essa permissão é necessária quando um aplicativo deve ter permissão para descriptografar todo o conteúdo protegido para um usuário específico. Exemplos de serviços que exigem Content.DelegatedReader direitos são aplicativos de linha de negócios que precisam descriptografar conteúdo, com base nas políticas de rótulo do usuário para exibir o conteúdo nativamente. Essa permissão permite que o aplicativo descriptografe e leia o conteúdo no contexto do usuário.

Content.Writer

Essa permissão é necessária quando um aplicativo deve ter permissão para listar modelos e criptografar conteúdo. Um serviço que tentar listar modelos sem essa permissão receberá uma mensagem de token rejeitado do serviço. Exemplos de serviços que exigem Content.writer são aplicativos de linha de negócios que aplicam rótulos de classificação a arquivos na exportação. Content.Writer criptografa o conteúdo como a identidade principal do serviço e, portanto, o proprietário dos arquivos protegidos será a identidade principal do serviço.

UnifiedPolicy.Tenant.Read

Essa permissão é necessária quando um aplicativo deve ter permissão para baixar políticas de rotulagem unificadas para o locatário. Exemplos de serviços que exigem UnifiedPolicy.Tenant.Read são aplicativos que precisam trabalhar com rótulos como uma identidade principal de serviço.

Permissões delegadas

As permissões delegadas permitem que um aplicativo no Microsoft Entra ID execute ações em nome de um usuário específico.

Service Nome da permissão Descrição Consentimento de Administrador Necessário
Serviço Azure Rights Management user_impersonation Criar e acessar conteúdo protegido para o usuário Não
Serviço de sincronização MIP UnifiedPolicy.User.Read Leia todas as políticas unificadas às quais um usuário tem acesso Não

User_Impersonation

Essa permissão é necessária quando um aplicativo deve ser permitido ao usuário do Azure Rights Management Services em nome do usuário. Exemplos de serviços que exigem User_Impersonation direitos são aplicativos que precisam criptografar ou acessar conteúdo com base nas políticas de rótulos do usuário para aplicar rótulos ou criptografar conteúdo nativamente.

UnifiedPolicy.User.Read

Essa permissão é necessária quando um aplicativo deve ter permissão para ler políticas de rotulagem unificadas relacionadas a um usuário. Exemplos de serviços que exigem UnifiedPolicy.User.Read permissões são aplicativos que precisam criptografar e descriptografar conteúdo, com base nas políticas de rótulo do usuário.