Microsoft 資訊保護 (MIP) SDK 安裝程式和設定

快速入門和教學課程文章以建置使用 MIP SDK 連結庫和 API 的應用程式為中心。 本文說明如何設定及設定 Microsoft 365 訂閱和用戶端工作站，以準備使用 SDK。

必要條件

開始之前，請務必先檢閱下列主題：

• Microsoft Purview 合規性入口網站
• 什麼是 Azure 資訊保護？
• 保護如何在 Azure 資訊保護 中運作？

重要

若要接受使用者隱私權，您必須要求使用者同意，才能啟用自動記錄。 下列範例是 Microsoft 用於記錄通知的標準訊息：

藉由開啟錯誤和效能記錄，您同意將錯誤和效能數據傳送給 Microsoft。 Microsoft 會透過因特網收集錯誤和效能資料（「數據」）。 Microsoft 會使用此數據來提供及改善 Microsoft 產品和服務的品質、安全性和完整性。 例如，我們會分析效能和可靠性，例如您使用的功能、功能回應速度、裝置效能、使用者介面互動，以及您產品遇到的任何問題。 數據也會包含軟體設定的相關信息，例如您目前正在執行的軟體，以及IP位址。

註冊 Office 365 訂閱

許多 SDK 範例都需要存取 Office 365 訂用帳戶。 如果您尚未註冊，請務必註冊下列其中一種訂用帳戶類型：

名稱	註冊
Office 365 企業版 E3 試用版 （30 天免費試用）	https://go.microsoft.com/fwlink/p/?LinkID=403802
Office 365 企業版 E3 或 E5	https://www.microsoft.com/microsoft-365/enterprise/office-365-e3
Enterprise Mobility and Security E3 或 E5	https://www.microsoft.com/security
Azure 資訊保護 進階版 P1 或 P2	安全性與合規性的 Microsoft 365 授權指引
Microsoft 365 E3、E5 或 F1	https://www.microsoft.com/microsoft-365/enterprise/microsoft365-plans-and-pricing

設定敏感度標籤

如果您目前使用 Azure 資訊保護，您必須將標籤移轉至 Office 365 安全性與合規性中心。 如需此程式的詳細資訊，請參閱如何將 Azure 資訊保護 標籤移轉至 Office 365 安全性與合規性中心。

設定用戶端工作站

接下來，完成下列步驟，以確保用戶端計算機已正確設定及設定。

1. 如果您使用 Windows 10 工作站：

   使用 Windows Update，將您的電腦更新為 Windows 10 Fall Creators Update（版本 1709）或更新版本。 若要確認您目前的版本：

   • 按兩下左下方的 Windows 圖示。
   • 輸入 「關於您的計算機」，然後按 「Enter」 鍵。
   • 向下捲動至 Windows 規格，並在 [版本] 底下查看。

2. 如果您使用 Windows 11 或 Windows 10 工作站：

   確定工作站上已啟用「開發人員模式」：

   • 按兩下左下方的 Windows 圖示。
   • 當您看到 [使用開發人員功能 ] 項目顯示時，輸入 「使用開發人員功能」，然後按下 “Enter” 鍵。
   • 在 [設定] 對話方塊的 [針對開發人員] 索引卷標的 [使用開發人員功能] 底下，選取 [開發人員模式] 選項。
   • 關閉設定對話方塊。

3. 安裝 Visual Studio 2019，其中包含下列工作負載和選用元件：

   • 通用 Windows 平台開發Windows 工作負載，加上下列選用元件：

     • C++ 通用 Windows 平台 工具
     • Windows 10 SDK 10.0.16299.0 SDK 或更新版本，如果未預設包含

   • 使用 C++ Windows 工作負載進行桌面開發，以及下列選用元件：

     • Windows 10 SDK 10.0.16299.0 SDK 或更新版本，如果未預設包含

     

4. 安裝 ADAL.PS PowerShell 模組：

   • 因為需要系統管理員許可權才能安裝模組，您必須先執行下列其中一項：

     • 使用具有 管理員 istrator 許可權的帳戶登入您的電腦。
     • 使用提高的許可權執行 Windows PowerShell 會話（以 管理員 istrator 身分執行）。

   • 然後執行 install-module -name adal.ps Cmdlet：

     PS C:\WINDOWS\system32> install-module -name adal.ps
     
     Untrusted repository
     You are installing the modules from an untrusted repository. If you trust this repository, change its
     InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from
     'PSGallery'?
     [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): A
     
     PS C:\WINDOWS\system32>
     

5. 下載檔案：

   下列平台上支援 MIP SDK，每個支援的平台/語言都有個別的下載：

   作業系統	版本	下載	備註
   Ubuntu	20.04	C++ tar.gz Java （預覽） tar.gz .NET Core NuGet （預覽）
   Ubuntu	22.04	C++ tar.gz Java （預覽） tar.gz .NET Core NuGet （預覽）
   RedHat Enterprise Linux	8 和 9	C++ tar.gz
   Debian	10 和 11	C++ tar.gz
   macOS	所有支援的版本	C++ .zip	Xcode 開發需要 13 或更新。
   Windows	所有支援的版本，32/64 位	C++ C++/.NET NuGet Java （預覽） .zip
   Android	9.0 和更新版本	C++ .zip	僅限保護和原則 SDK。
   iOS	所有支援的版本	C++ .zip	僅限保護和原則 SDK。

   Tar.gz/.Zip 下載

   Tar.gz 和 。Zip 下載包含壓縮檔案，每個 API 各一個。 壓縮檔案的名稱如下，其中 API = 、、 或 與 OS = 平臺：。fileprotection><mip_sdk_<API>_<OS>_1.0.0.0.zip (or .tar.gz)><upe 例如，Debian 上的 Protection SDK 二進位檔和標頭檔案會是： mip_sdk_protection_debian9_1.0.0.0.tar.gz。 每個包含的 .tar.gz/.zip 會分割成三個目錄：

   • Bins： 適用於每個平台架構的已編譯二進位檔。
   • 包括： 頭檔 （C++）。
   • 範例： 範例應用程式的原始程式碼。

   NuGet 套件

   如果您要進行Visual Studio開發，也可以透過NuGet 封裝管理員 主控台安裝 SDK：

   Install-Package Microsoft.InformationProtection.File
   Install-Package Microsoft.InformationProtection.Policy
   Install-Package Microsoft.InformationProtection.Protection
   

6. 如果您未使用 NuGet 套件，請將 SDK 二進位檔的路徑新增至 PATH 環境變數。 PATH 變數可讓用戶端應用程式在執行時間找到相依二進位檔 （DLL）：

   如果您使用 Windows 11 或 Windows 10 工作站：

   • 按兩下左下方的 Windows 圖示。

   • 輸入 「Path」，然後按 「Enter」 鍵，當您看到 [編輯系統環境變數 ] 項目顯示時。

   • 在 [ 系統屬性] 對話框中，按兩下 [ 環境變數]。

   • 在 [環境變數] 對話框中，按兩下 [用戶>變數] <底下的 [路徑變數] 資料列，然後按兩下 [編輯...]。

   • 在 [ 編輯環境變數] 對話框中，按兩下 [新增]，這會建立新的可編輯數據列。 使用、 protection\bins\debug\amd64和 upe\bins\debug\amd64 子目錄的完整file\bins\debug\amd64路徑，為每個 新增一個數據列。 SDK 目錄會以下欄格式儲存 <API>\bins\<target>\<platform> ：

     • <API> = file、、 protectionupe
     • <target> = debug、 release
     • <platform> = amd64 （x64）、 x86等等。

   • 完成更新 Path 變數時，按兩下 [ 確定]。 然後在返回 [環境變數] 對話框時按兩下 [確定]。

7. 從 GitHub 下載 SDK 範例（選擇性）：

   • 如果您還沒有帳戶，請先建立 GitHub 配置檔。
   • 然後安裝最新版本的軟體 自由保護的 Git 用戶端工具 （Git Bash）
   • 使用 Git Bash，下載感興趣的範例：
     • 使用下列查詢來檢視存放庫： https://github.com/Azure-Samples?utf8=%E2%9C%93&q=MipSdk。
     • 使用 Git Bash，使用 git clone https://github.com/azure-samples/<repo-name> 下載每個範例存放庫。

使用 Microsoft Entra 識別元註冊用戶端應用程式

在 Microsoft 365 訂閱布建程式中，會建立相關聯的 Microsoft Entra 租使用者。 Microsoft Entra 租使用者提供 Microsoft 365 使用者帳戶和應用程式帳戶的身分識別和存取管理。 需要存取安全 API 的應用程式（例如 MIP API），需要應用程式帳戶。

針對運行時間的驗證和授權，帳戶會以 衍生自帳戶身分識別資訊的安全性主體表示。 代表應用程式帳戶的安全性主體稱為服務主體。

若要在 Microsoft Entra ID 中註冊應用程式帳戶，以搭配快速入門和 MIP SDK 範例使用：

重要

若要存取建立帳戶的 Microsoft Entra 租使用者管理，您必須使用訂用帳戶上「擁有者」角色成員的用戶帳戶登入 Azure 入口網站。 視租使用者的組態而定，您可能也需要是「全域 管理員 instrator」目錄角色的成員，才能註冊應用程式。 我們建議使用受限制的帳戶進行測試。 請確定帳戶只具有存取必要 SCC 端點的許可權。 透過命令行傳遞的純文本密碼可能會由記錄系統收集。

1. 遵循使用 Microsoft Entra ID 註冊應用程式、註冊新應用程式一節中的步驟。 針對測試目的，當您完成指南步驟時，請針對指定的屬性使用下列值：

   • 支援的帳戶類型 - 選取 [僅限此組織目錄中的帳戶]。
   • 重新導向 URI - 將重新導向 URI 類型設定為「公用用戶端」（行動裝置和桌面版）。如果您的應用程式使用 Microsoft 驗證連結庫 （MSAL），請使用 http://localhost。 否則，請使用 格式 <app-name>://authorize為 的專案。

2. 完成後，您將會回到 新應用程式註冊的 [已註冊的應用程式 ] 頁面。 複製並儲存 [ 應用程式（用戶端） 識別符 ] 字段中的 GUID，因為您將需要快速入門。

3. 然後按下 [API 許可權] 以新增用戶端需要存取權的 API 和許可權。 按兩下 [新增許可權 ] 以開啟 [要求 API 許可權] 刀鋒視窗。

4. 現在您將新增 MIP API，應用程式在執行時間需要的權限：

   • 在 [ 選取 API] 頁面上，按兩下 [Azure Rights Management Services]。
   • 在 [ Azure Rights Management Services API] 頁面上，按兩下 [委派的許可權]。
   • 在 [ 選取許可權] 區段上 ，檢查user_impersonation 許可權。 此許可權可讓應用程式代表使用者建立及存取受保護的內容。
   • 按兩下 [ 新增許可權 ] 以儲存。

5. 重複步驟 #4，但當您進入 [ 選取 API ] 頁面時，您必須搜尋 API。

   • 在 [選取 API] 頁面上，按兩下 [我的組織所使用的 API]，然後在搜尋方塊中輸入 “Microsoft 資訊保護 Sync Service”，然後選取它。
   • 在 [Microsoft 資訊保護 Sync Service API] 頁面上，按兩下 [委派的許可權]。
   • 展開 UnifiedPolicy 節點並檢查 UnifiedPolicy.User.Read
   • 按兩下 [ 新增許可權 ] 以儲存。

6. 當您回到 [API 許可權] 頁面上時，按兩下 [ 授與系統管理員同意][租使用者名稱]，然後按兩下 [ 是]。 此步驟會使用此註冊預先同意應用程式，以存取指定許可權下的 API。 如果您是以全域管理員身分登入，則會針對執行應用程式的租使用者中的所有用戶記錄同意;否則，它只適用於您的用戶帳戶。

完成時，應用程式註冊和 API 許可權看起來應該類似下列範例：

如需將 API 和許可權新增至註冊的詳細資訊，請參閱 設定用戶端應用程式來存取 Web API。 您可以在這裡找到有關新增用戶端應用程式所需 API 和權限的資訊。

要求 資訊保護 整合協定 （IPIA）

您必須先向 Microsoft 申請並完成正式合約，才能將 MIP 開發的應用程式發行給公眾。

注意

僅供內部使用的應用程式不需要此合約。

1. 使用下列資訊將電子郵件傳送至 以 IPIA@microsoft.com 取得您的IPIA：

   主旨： 要求公司名稱的 IPIA

   在電子郵件本文中，包括：

   • 應用程式和產品名稱
   • 要求者的名字和姓氏
   • 要求者的電子郵件位址

2. 收到您的IPIA要求後，我們會傳送表單（Word 檔）。 檢閱IPIA的條款及條件，並使用下列資訊將表單傳回 ：IPIA@microsoft.com

   • 公司合法名稱
   • 州/省（美國/加拿大）或公司國家/地區
   • 公司 URL
   • 聯繫人的電子郵件位址
   • 公司的其他地址（選擇性）
   • 公司應用程式的名稱
   • 應用程式的簡短描述
   • Azure 租用戶標識碼
   • 應用程式的應用程式識別碼
   • 公司聯繫人、電子郵件和電話，以取得重大情況通訊

3. 當我們收到您的表單時，我們會將最終的IPIA連結傳送給您，以數字簽署。 簽署之後，將會由適當的 Microsoft 代表簽署，完成合約。

已經有已簽署的IPIA嗎？

如果您已經有已簽署的IPIA，且想要為發行的應用程式新增應用程式 識別碼 ，請傳送電子郵件給我們 IPIA@microsoft.com ，並提供下列資訊：

• 公司應用程式的名稱
• 應用程式的簡短描述
• Azure 租使用者識別碼（即使與之前相同）
• 應用程式的應用程式識別碼
• 公司聯繫人、電子郵件和電話，以取得重大情況通訊

傳送電子郵件時，最多允許72小時確認收據。

確定您的應用程式具有必要的運行時間

注意

只有在將應用程式部署至沒有 Visual Studio 的電腦，或 Visual Studio 安裝缺少 Visual C++ 執行時間元件時，才需要此步驟。

使用 MIP SDK 建置的應用程式，如果尚未安裝，則需要安裝 Visual C++ 2015 或 Visual C++ 2017 運行時間。

• Microsoft Visual C++ 2015 可轉散發套件更新 3
• 適用於 Visual Studio 2017 的 Microsoft Visual C++ 可轉散發套件

只有在應用程式已建置為 Release 時，這些才會運作。 如果應用程式建置為偵錯，則 Visual C++ 執行時間偵錯 DLL 必須隨附於應用程式或安裝在機器上。

後續步驟

• 如果您是 C++ 開發人員
  • 開始快速入門一節之前，請務必先閱讀 觀察者概念 ，以瞭解 C++ API 的異步本質。
  • 當您準備好取得 SDK 的一些體驗時，請從快速入門：用戶端應用程式初始化 （C++） 開始。
• 如果您是 C# 開發人員，當您準備好取得 SDK 的一些體驗時，請從 快速入門：用戶端應用程式初始化 （C#） 開始。