Permissões de API para o SDK da Proteção de Informações da Microsoft
O MIP SDK usa dois serviços de back-end do Azure para rotulagem e proteção. Na folha de permissões do aplicativo Microsoft Entra, esses serviços são:
- Serviço Azure Rights Management
- Serviço de Sincronização de Proteção de Informações do Microsoft Purview
As permissões de aplicativo devem ser concedidas a uma ou mais APIs ao usar o MIP SDK para rotulagem e proteção. Vários cenários de autenticação de aplicativo podem exigir permissões de aplicativo diferentes. Para cenários de autenticação de aplicativos, consulte Cenários de autenticação.
O consentimento de administrador de todo o locatário deve ser concedido para permissões de aplicativo onde o consentimento do administrador é necessário. Para obter mais informações, consulte a documentação do Microsoft Entra.
Permissões do aplicativo
As permissões de aplicativo permitem que um aplicativo no Microsoft Entra ID aja como sua própria entidade, em vez de em nome de um usuário específico.
Service | Nome da permissão | Descrição | Consentimento de Administrador Necessário |
---|---|---|---|
Serviço Azure Rights Management | Content.SuperUser | Leia todo o conteúdo protegido para este locatário | Sim |
Serviço Azure Rights Management | Content.DelegatedReader | Ler conteúdo protegido em nome de um utilizador | Sim |
Serviço Azure Rights Management | Content.DelegatedWriter | Criar conteúdo protegido em nome de um utilizador | Sim |
Serviço Azure Rights Management | Content.Writer | Criar conteúdo protegido | Sim |
Serviço Azure Rights Management | Application.Read.All | Permissão não necessária para o uso do MIPSDK | Não Aplicável |
Serviço de sincronização MIP | UnifiedPolicy.Tenant.Read | Leia todas as políticas unificadas do locatário | Sim |
Content.SuperUser
Essa permissão é necessária quando um aplicativo deve ter permissão para descriptografar todo o conteúdo protegido para o locatário específico. Exemplos de serviços que exigem Content.Superuser
direitos são a prevenção de perda de dados ou serviços de agente de segurança de acesso à nuvem que devem exibir todo o conteúdo em texto sem formatação para tomar decisões políticas sobre onde esses dados podem fluir ou ser armazenados.
Content.DelegatedWriter
Essa permissão é necessária quando um aplicativo deve ter permissão para criptografar conteúdo protegido por um usuário específico. Exemplos de serviços que exigem Content.DelegatedWriter
direitos são aplicativos de linha de negócios que precisam criptografar conteúdo, com base nas políticas de rótulos do usuário para aplicar rótulos e/ou criptografar conteúdo nativamente. Essa permissão permite que o aplicativo criptografe o conteúdo no contexto do usuário.
Content.DelegatedReader
Essa permissão é necessária quando um aplicativo deve ter permissão para descriptografar todo o conteúdo protegido para um usuário específico. Exemplos de serviços que exigem Content.DelegatedReader
direitos são aplicativos de linha de negócios que precisam descriptografar conteúdo, com base nas políticas de rótulo do usuário para exibir o conteúdo nativamente. Essa permissão permite que o aplicativo descriptografe e leia o conteúdo no contexto do usuário.
Content.Writer
Essa permissão é necessária quando um aplicativo deve ter permissão para listar modelos e criptografar conteúdo. Um serviço que tentar listar modelos sem essa permissão receberá uma mensagem de token rejeitado do serviço. Exemplos de serviços que exigem Content.writer
são aplicativos de linha de negócios que aplicam rótulos de classificação a arquivos na exportação. Content.Writer criptografa o conteúdo como a identidade principal do serviço e, portanto, o proprietário dos arquivos protegidos será a identidade principal do serviço.
UnifiedPolicy.Tenant.Read
Essa permissão é necessária quando um aplicativo deve ter permissão para baixar políticas de rotulagem unificadas para o locatário. Exemplos de serviços que exigem UnifiedPolicy.Tenant.Read
são aplicativos que precisam trabalhar com rótulos como uma identidade principal de serviço.
Permissões delegadas
As permissões delegadas permitem que um aplicativo no Microsoft Entra ID execute ações em nome de um usuário específico.
Service | Nome da permissão | Descrição | Consentimento de Administrador Necessário |
---|---|---|---|
Serviço Azure Rights Management | user_impersonation | Criar e acessar conteúdo protegido para o usuário | Não |
Serviço de sincronização MIP | UnifiedPolicy.User.Read | Leia todas as políticas unificadas às quais um usuário tem acesso | Não |
User_Impersonation
Essa permissão é necessária quando um aplicativo deve ser permitido ao usuário do Azure Rights Management Services em nome do usuário. Exemplos de serviços que exigem User_Impersonation
direitos são aplicativos que precisam criptografar ou acessar conteúdo com base nas políticas de rótulos do usuário para aplicar rótulos ou criptografar conteúdo nativamente.
UnifiedPolicy.User.Read
Essa permissão é necessária quando um aplicativo deve ter permissão para ler políticas de rotulagem unificadas relacionadas a um usuário. Exemplos de serviços que exigem UnifiedPolicy.User.Read
permissões são aplicativos que precisam criptografar e descriptografar conteúdo, com base nas políticas de rótulo do usuário.