Microsoft 資訊保護 SDK 的 API 許可權

發行項
01/30/2024

MIP SDK 使用兩個後端 Azure 服務進行標籤和保護。在 [Microsoft Entra 應用程式許可權] 刀鋒視窗中，這些服務如下：

Azure Rights Management Service
Microsoft Purview 資訊保護同步服務

使用 MIP SDK 進行標籤和保護時，應用程式許可權必須授與一或多個 API。各種應用程式驗證案例可能需要不同的應用程式許可權。如需應用程式驗證案例，請參閱驗證案例。

對於需要管理員istrator 同意的應用程式許可權，應授與全租使用者系統管理員同意。如需詳細資訊，請參閱 Microsoft Entra 檔。

應用程式許可權

應用程式許可權可讓 Microsoft Entra 識別碼中的應用程式做為自己的實體，而不是代表特定使用者。

服務	權限名稱	描述	需要管理員同意
Azure Rights Management Service	Content.SuperUser	讀取此租使用者的所有受保護內容	Yes
Azure Rights Management Service	Content.DelegatedReader	代表使用者讀取受保護的內容	Yes
Azure Rights Management Service	Content.DelegatedWriter	代表使用者建立受保護的內容	Yes
Azure Rights Management Service	Content.Writer	建立受保護的內容	Yes
Azure Rights Management Service	Application.Read.All	MIPSDK 使用不需要許可權	不適用
MIP 同步服務	UnifiedPolicy.Tenant.Read	讀取租使用者的所有統一原則	Yes

Content.SuperUser

當必須允許應用程式解密為特定租使用者保護的所有內容時，需要此許可權。需要 Content.Superuser 許可權的服務範例是資料外泄防護或雲端存取安全性代理程式服務，這些服務必須以純文字檢視所有內容，以做出有關該資料可能流動或儲存位置的原則決策。

Content.DelegatedWriter

當應用程式必須允許加密受特定使用者保護的內容時，需要此許可權。需要 Content.DelegatedWriter 許可權的服務範例是企業營運應用程式，這些應用程式需要根據使用者的標籤原則，以原生方式套用標籤或加密內容。此許可權可讓應用程式加密使用者內容。

Content.DelegatedReader

當應用程式必須允許解密為特定使用者保護的所有內容時，就需要此許可權。需要 Content.DelegatedReader 許可權的服務範例是企業營運應用程式，這些應用程式需要根據使用者的標籤原則，以原生方式顯示內容。此許可權可讓應用程式解密和讀取使用者內容。

Content.Writer

當應用程式必須允許列出範本並加密內容時，需要此許可權。嘗試列出沒有此許可權之範本的服務會收到來自服務的權杖拒絕訊息。需要 Content.writer 的服務範例是將分類標籤套用至匯出檔案的企業營運應用程式。 Content.Writer 會將內容加密為服務主體身分識別，因此受保護檔案的擁有者會是服務主體身分識別。

UnifiedPolicy.Tenant.Read

當必須允許應用程式下載租使用者的統一標籤原則時，需要此許可權。需要 UnifiedPolicy.Tenant.Read 的應用程式需要使用標籤作為服務主體身分識別的服務範例。

委派的許可權

委派的許可權可讓 Microsoft Entra ID 中的應用程式代表特定使用者執行動作。

服務	權限名稱	描述	需要管理員同意
Azure Rights Management Service	user_impersonation	為使用者建立和存取受保護的內容	No
MIP 同步服務	UnifiedPolicy.User.Read	讀取使用者可存取的所有統一原則	No

User_Impersonation

當應用程式必須代表使用者允許使用者 Azure Rights Management Services 時，需要此許可權。需要 User_Impersonation 許可權的服務範例是需要根據使用者標籤原則來套用標籤或原生加密內容的應用程式，來加密或存取內容。

UnifiedPolicy.User.Read

當應用程式必須允許讀取與使用者相關的統一標籤原則時，需要此許可權。需要 UnifiedPolicy.User.Read 許可權的服務範例是需要根據使用者的標籤原則加密和解密內容的應用程式。

共用方式為