MIP SDK 使用两个后端 Azure 服务进行标记和保护。 在“Microsoft Entra 应用权限”边栏选项卡中,这些服务包括:
- Azure 权限管理服务
- Microsoft Purview 信息保护同步服务
使用 MIP SDK 进行标记和保护时,必须向一个或多个 API 授予应用程序权限。 各种应用程序身份验证方案可能需要不同的应用程序权限。 有关应用程序身份验证方案,请参阅 身份验证方案。
应为需要管理员同意的应用程序权限授予租户范围的管理员许可。 有关详细信息,请参阅 Microsoft Entra 文档。
应用程序权限
应用程序权限允许Microsoft Entra ID 中的应用程序充当其自己的实体,而不是代表特定用户。
| 服务 | 权限名称 | 说明 | 需要管理员同意 |
|---|---|---|---|
| Azure 权限管理服务 | Content.SuperUser | 读取此租户的所有受保护内容 | 是的 |
| Azure 权限管理服务 | Content.DelegatedReader | 代表用户读取受保护的内容 | 是的 |
| Azure 权限管理服务 | Content.DelegatedWriter | 代表用户创建受保护的内容 | 是的 |
| Azure 权限管理服务 | Content.Writer | 创建受保护的内容 | 是的 |
| Azure 权限管理服务 | Application.Read.All | 使用MIPSDK不需要权限 | 不適用 |
| MIP 同步服务 | UnifiedPolicy.Tenant.Read | 读取租户的所有统一策略 | 是的 |
Content.SuperUser
当必须允许应用程序解密受特定租户保护的所有内容时,需要此权限。 需要 Content.Superuser 权限的服务示例包括数据丢失防护或云访问安全代理服务,这些服务必须以纯文本方式查看所有内容,以便做出有关该数据可能流动或存储位置的策略决策。
Content.DelegatedWriter
当必须允许应用程序加密受特定用户保护的内容时,需要此权限。 根据应用标签和/或本机加密内容的用户标签策略,需要 Content.DelegatedWriter 权限的服务的示例是需要加密内容的业务线应用程序。 此权限允许应用程序在用户的上下文中加密内容。
Content.DelegatedReader
当必须允许应用程序解密受特定用户保护的所有内容时,需要此权限。 根据本机显示内容的用户标签策略,需要 Content.DelegatedReader 权限的服务的示例是需要解密内容的业务线应用程序。 此权限允许应用程序在用户的上下文中解密和读取内容。
Content.Writer
当必须允许应用程序列出模板和加密内容时,需要此权限。 尝试在没有此权限的情况下列出模板的服务将收到来自服务的令牌被拒绝消息。 需要 Content.writer 的服务示例包括在导出文件时应用分类标签的业务线应用程序。 Content.Writer 将内容加密为服务主体标识,因此受保护文件的所有者将是服务主体标识。
UnifiedPolicy.Tenant.Read
当必须允许应用程序下载租户的统一标记策略时,需要此权限。 需要 UnifiedPolicy.Tenant.Read 的服务示例包括那些将标签用作服务主体身份的应用程序。
委托的权限
委派的权限允许Microsoft Entra ID 中的应用程序代表特定用户执行作。
| 服务 | 权限名称 | 说明 | 需要管理员同意 |
|---|---|---|---|
| Azure 权限管理服务 | user_impersonation | 为用户创建和访问受保护的内容 | 否 |
| MIP 同步服务 | UnifiedPolicy.User.Read | 读取用户有权访问的所有统一策略 | 否 |
User_Impersonation
当应用程序需要代表用户使用 Azure Rights Management Services 时,需要此权限。 需要 User_Impersonation 权限的服务示例是需要根据用户的标签策略加密或访问内容的程序,以本地应用标签或加密内容。
UnifiedPolicy.User.Read
当必须允许应用程序读取与用户相关的统一标记策略时,需要此权限。 需要 UnifiedPolicy.User.Read 权限的服务示例是需要根据用户的标签策略加密和解密内容的应用程序。