Разрешения API для пакета SDK Microsoft Information Protection
Пакет SDK MIP использует две внутренние службы Azure для маркировки и защиты. В колонке разрешений приложения Microsoft Entra эти службы:
- Служба Azure Rights Management
- Служба синхронизации Защита информации Microsoft Purview
Разрешения приложения должны быть предоставлены одному или нескольким API при использовании пакета SDK MIP для маркировки и защиты. Для различных сценариев проверки подлинности приложений могут потребоваться разные разрешения приложения. Сценарии проверки подлинности приложений см . в сценариях проверки подлинности.
Согласие администратора на уровне клиента должно быть предоставлено для разрешений приложения, где требуется согласие Администратор istrator. Дополнительные сведения см. в документации по Microsoft Entra.
Разрешения приложения
Разрешения приложения позволяют приложению в идентификаторе Microsoft Entra выступать в качестве собственной сущности, а не от имени конкретного пользователя.
| Служба | Имя разрешения | Description | Требуется согласие администратора |
|---|---|---|---|
| Служба Azure Rights Management | Content.SuperUser | Чтение всего защищенного содержимого для этого клиента | Да |
| Служба Azure Rights Management | Content.DelegatedReader | Чтение защищенного содержимого от имени пользователя | Да |
| Служба Azure Rights Management | Content.DelegatedWriter | Создание защищенного содержимого от имени пользователя | Да |
| Служба Azure Rights Management | Content.Writer | Создание защищенного содержимого | Да |
| Служба Azure Rights Management | Application.Read.All | Разрешение не требуется для использования MIPSDK | Н/Д |
| Служба синхронизации MIP | UnifiedPolicy.Tenant.Read | Чтение всех унифицированных политик клиента | Да |
Content.SuperUser
Это разрешение необходимо, если приложению необходимо расшифровать все содержимое, защищенное для конкретного клиента. Примеры служб, которым требуются Content.Superuser права, являются службами брокера защиты от потери данных или служб брокера безопасности для облачного доступа, которые должны просматривать все содержимое в виде открытого текста, чтобы принимать решения о том, где эти данные могут передаваться или храниться.
Content.DelegatedWriter
Это разрешение требуется, если приложение должно быть разрешено шифровать содержимое, защищенное определенным пользователем. Примеры служб, требующих Content.DelegatedWriter прав, — это бизнес-приложения, которые должны шифровать содержимое на основе политик меток пользователя для применения меток и шифрования содержимого в собственном коде. Это разрешение позволяет приложению шифровать содержимое в контексте пользователя.
Content.DelegatedReader
Это разрешение необходимо, если приложению необходимо расшифровать все содержимое, защищенное для конкретного пользователя. Примеры служб, требующих Content.DelegatedReader прав, — это бизнес-приложения, которые должны расшифровывать содержимое на основе политик меток пользователя для отображения содержимого в собственном коде. Это разрешение позволяет приложению расшифровывать и читать содержимое в контексте пользователя.
Content.Writer
Это разрешение необходимо, если приложение должно быть разрешено перечислять шаблоны и шифровать содержимое. Служба, которая пытается перечислить шаблоны без этого разрешения, получит сообщение об отклонении маркера от службы. Примеры служб, требующих Content.writer использования бизнес-приложения, которые применяют метки классификации к файлам при экспорте. Content.Writer шифрует содержимое как удостоверение субъекта-службы, поэтому владелец защищенных файлов будет удостоверением субъекта-службы.
UnifiedPolicy.Tenant.Read
Это разрешение требуется, если приложению необходимо скачать политики унифицированных меток для клиента. Примеры служб, которым требуются UnifiedPolicy.Tenant.Read приложения, которые нуждаются в работе с метками в качестве удостоверения субъекта-службы.
Делегированные разрешения
Делегированные разрешения позволяют приложению в идентификаторе Microsoft Entra выполнять действия от имени конкретного пользователя.
| Служба | Имя разрешения | Description | Требуется согласие администратора |
|---|---|---|---|
| Служба Azure Rights Management | user_impersonation | Создание и доступ к защищенному содержимому для пользователя | Нет |
| Служба синхронизации MIP | UnifiedPolicy.User.Read | Чтение всех унифицированных политик, к которые у пользователя есть доступ | Нет |
User_Impersonation
Это разрешение требуется, если приложение должно быть разрешено использовать службы Azure Rights Management от имени пользователя. Примеры служб, требующих User_Impersonation прав, — это приложения, которые должны шифровать содержимое или получать доступ к содержимому на основе политик меток пользователя для применения меток или шифрования содержимого в собственном коде.
UnifiedPolicy.User.Read
Это разрешение требуется, если приложению необходимо разрешить читать политики унифицированных меток, связанные с пользователем. Примеры служб, требующих UnifiedPolicy.User.Read разрешений, — это приложения, которые должны шифровать и расшифровывать содержимое на основе политик меток пользователя.