Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пакет SDK MIP использует две внутренние службы Azure для маркировки и защиты. В панели разрешений приложения Microsoft Entra эти службы:
- Служба Azure Rights Management
- Служба синхронизации Microsoft Purview по защите информации
Разрешения приложения должны быть предоставлены одному или нескольким API при использовании пакета SDK MIP для маркировки и защиты. Для различных сценариев проверки подлинности приложений могут потребоваться разные разрешения приложения. Сценарии проверки подлинности приложений см. в сценариях проверки подлинности.
Согласие администратора на уровне клиента должно быть предоставлено для разрешений приложения, где требуется согласие администратора. Дополнительные сведения см. в документации по Microsoft Entra.
Разрешения приложения
Разрешения приложения позволяют приложению в идентификаторе Microsoft Entra выступать в качестве собственной сущности, а не от имени конкретного пользователя.
| Услуга | Имя разрешения | Описание | Требуется согласие администратора |
|---|---|---|---|
| Служба Azure Rights Management | Контент.Суперпользователь | Чтение всего защищенного содержимого для этого клиента | Да |
| Служба Azure Rights Management | Content.DelegatedReader | Чтение защищенного содержимого от имени пользователя | Да |
| Служба Azure Rights Management | Контент.ДелегированныйПисатель | Создание защищенного содержимого от имени пользователя | Да |
| Служба Azure Rights Management | Автор контента | Создание защищенного содержимого | Да |
| Служба Azure Rights Management | Application.Read.All (предоставление приложениям права на чтение всех данных) | Разрешение не требуется для использования MIPSDK | Не применимо |
| Служба синхронизации MIP | UnifiedPolicy.Tenant.Read | Прочитать все унифицированные политики арендатора | Да |
Content.SuperUser
Это разрешение необходимо, если приложению необходимо расшифровать все содержимое, защищенное для конкретного клиента. Примеры служб, которым требуются Content.Superuser права, включают службы защиты от потери данных или брокера безопасности облачного доступа, которые должны просматривать все содержимое в виде нешифрованного текста, чтобы определять, где эти данные могут передаваться или храниться.
Content.DelegatedWriter
Это разрешение требуется, если приложение должно быть разрешено шифровать содержимое, защищенное определенным пользователем. Примеры служб, требующих Content.DelegatedWriter прав, — это бизнес-приложения, которые должны шифровать содержимое, используя политики меток пользователя для применения меток и шифрования содержимого непосредственно в приложении. Это разрешение позволяет приложению шифровать содержимое в контексте пользователя.
Content.DelegatedReader
Это разрешение необходимо, если приложению необходимо расшифровать все содержимое, защищенное для конкретного пользователя. Примеры служб, требующих Content.DelegatedReader прав, — это корпоративные приложения, которые должны расшифровывать содержимое на основе политик меток пользователя для отображения содержимого в исходном формате. Это разрешение позволяет приложению расшифровывать и читать содержимое в контексте пользователя.
Контент-райтер
Это разрешение необходимо, если приложение должно быть разрешено перечислять шаблоны и шифровать содержимое. Служба, которая пытается перечислить шаблоны без этого разрешения, получит сообщение об отказе в доступе от этой службы. Примеры служб, требующих Content.writer: бизнес-приложения, которые применяют метки классификации к файлам при экспорте. Content.Writer шифрует содержимое как удостоверение сервисного принципала, поэтому владелец защищенных файлов будет сервисным принципалом.
UnifiedPolicy.Tenant.Read
Это разрешение требуется, если приложению необходимо скачать политики унифицированной маркировки для арендатора. Примеры служб, которым требуются UnifiedPolicy.Tenant.Read приложения, которые нуждаются в работе с метками в качестве удостоверения субъекта-службы.
Делегированные разрешения
Делегированные разрешения позволяют приложению в идентификаторе Microsoft Entra выполнять действия от имени конкретного пользователя.
| Услуга | Имя разрешения | Описание | Требуется согласие администратора |
|---|---|---|---|
| Служба Azure Rights Management | имитация пользователя | Создание и доступ к защищенному содержимому для пользователя | нет |
| Служба синхронизации MIP | UnifiedPolicy.User.Read | Чтение всех унифицированных политик, к которые у пользователя есть доступ | нет |
Имитация_Пользователя
Это разрешение требуется, если приложение должно быть разрешено использовать службы Azure Rights Management от имени пользователя. Примеры служб, требующих User_Impersonation прав, — это приложения, которые должны шифровать содержимое или получать доступ к содержимому на основе политик меток пользователя для применения меток или шифрования содержимого в собственном коде.
UnifiedPolicy.User.Read
Это разрешение требуется, если приложению необходимо разрешить читать политики унифицированных меток, связанные с пользователем. Примеры служб, требующих UnifiedPolicy.User.Read разрешений, — это приложения, которые должны шифровать и расшифровывать содержимое на основе политик меток пользователя.