Permisos de API para el SDK de Microsoft Information Protection

El SDK de MIP usa dos servicios back-end de Azure para el etiquetado y la protección. En la Azure Active Directory permisos de la aplicación, estos servicios son:

  • Azure Rights Management de Azure Rights Management
  • Microsoft Information Protection de sincronización

Los permisos de aplicación deben concederse a una o más API al usar el SDK de MIP para el etiquetado y la protección. Es posible que varios escenarios de autenticación de aplicaciones requieran permisos de aplicación diferentes. Para escenarios de autenticación de aplicaciones, vea Escenarios de autenticación.

Se debe conceder el consentimiento de administrador de todo el espacio empresarial para los permisos de aplicación en los que se requiera el consentimiento del administrador. Para obtener más información, vea la Azure Active Directory de datos.

Permisos de aplicación

Los permisos de aplicación permiten a una aplicación Azure Active Directory actuar como su propia entidad, en lugar de en nombre de un usuario específico.

Servicio Nombre del permiso Descripción Consentimiento del administrador obligatorio
Azure Rights Management de Azure Rights Management Content.SuperUser Leer todo el contenido protegido de este inquilino
Azure Rights Management de Azure Rights Management Content.DelegatedReader Leer contenido protegido en nombre de un usuario
Azure Rights Management de Azure Rights Management Content.DelegatedWriter Crear contenido protegido en nombre de un usuario
Azure Rights Management de Azure Rights Management Content.Writer Crear contenido protegido
Azure Rights Management de Azure Rights Management Application.Read.All Permisos no necesarios para el uso de MIPSDK No aplicable
Servicio de sincronización de MIP UnifiedPolicy.Tenant.Read Leer todas las directivas unificadas del inquilino

Content.SuperUser

Este permiso es necesario cuando se debe permitir que una aplicación descifra todo el contenido protegido para el espacio empresarial específico. Ejemplos de servicios que requieren derechos son los servicios de prevención de pérdida de datos o de agente de seguridad de acceso a la nube que deben ver todo el contenido en texto sin formato para tomar decisiones de directiva sobre dónde pueden fluir o almacenarse los Content.Superuser datos.

Content.DelegatedWriter

Este permiso es necesario cuando se debe permitir a una aplicación cifrar contenido protegido por un usuario específico. Ejemplos de servicios que requieren derechos son las aplicaciones de línea de negocio que necesitan cifrar contenido, en función de las directivas de etiquetas del usuario para aplicar etiquetas o cifrar Content.DelegatedWriter contenido de forma nativa. Este permiso permite a la aplicación cifrar contenido en el contexto del usuario.

Content.DelegatedReader

Este permiso es necesario cuando se debe permitir que una aplicación descifra todo el contenido protegido para un usuario específico. Ejemplos de servicios que requieren derechos son las aplicaciones de línea de negocio que necesitan descifrar contenido, en función de las directivas de etiqueta del usuario para mostrar el Content.DelegatedReader contenido de forma nativa. Este permiso permite a la aplicación descifrar y leer contenido en el contexto del usuario.

Content.Writer

Este permiso es necesario cuando se debe permitir a una aplicación enumerar plantillas y cifrar contenido. Un servicio que intenta enumerar plantillas sin este permiso recibirá un mensaje rechazado de token del servicio. Ejemplos de servicios que requieren son aplicaciones de línea de negocio que aplican etiquetas de Content.writer clasificación a archivos al exportar. Content.Writer cifra el contenido como identidad de entidad de servicio y, por lo tanto, el propietario de los archivos protegidos será la identidad de la entidad de servicio.

UnifiedPolicy.Tenant.Read

Este permiso es necesario cuando se debe permitir que una aplicación descargue directivas de etiquetado unificadas para el inquilino. Ejemplos de servicios que requieren UnifiedPolicy.Tenant.Read son aplicaciones que necesitan trabajar con etiquetas como identidad de entidad de servicio.

Permisos delegados

Los permisos delegados permiten a una aplicación Azure Active Directory realizar acciones en nombre de un usuario determinado.

Servicio Nombre del permiso Descripción Consentimiento del administrador obligatorio
Azure Rights Management de Azure Rights Management user_impersonation Crear y obtener acceso a contenido protegido para el usuario No
Servicio de sincronización de MIP UnifiedPolicy.User.Read Leer todas las directivas unificadas a las que tiene acceso un usuario No

User_Impersonation

Este permiso es necesario cuando una aplicación debe permitirse al usuario Azure Rights Management Servicios en nombre del usuario. Ejemplos de servicios que requieren derechos son las aplicaciones que necesitan cifrar o acceder al contenido en función de las directivas de etiquetas del usuario para aplicar etiquetas o cifrar User_Impersonation contenido de forma nativa.

UnifiedPolicy.User.Read

Este permiso es necesario cuando se debe permitir a una aplicación leer directivas de etiquetado unificadas relacionadas con un usuario. Ejemplos de servicios que requieren permisos son aplicaciones que necesitan cifrar y descifrar contenido, en función de las directivas UnifiedPolicy.User.Read de etiquetas del usuario.