Autorizzazioni API per Microsoft Information Protection SDKAPI permissions for the Microsoft Information Protection SDK

L'SDK MIP usa due servizi di Azure back-end per l'assegnazione di etichette e la protezione.The MIP SDK uses two backend Azure services for labeling and protection. Nel pannello autorizzazioni dell'app Azure Active Directory, questi servizi sono:In the Azure Active Directory app permissions blade, these services are:

  • Servizio Rights Management di AzureAzure Rights Management Service
  • Servizio Microsoft Information Protection SyncMicrosoft Information Protection Sync Service

Quando si usa l'SDK MIP per l'assegnazione di etichette e la protezione, è necessario concedere le autorizzazioni dell'applicazione a una o più API.Application permissions must be granted to one or more APIs when using the MIP SDK for labeling and protection. Diversi scenari di autenticazione delle applicazioni possono richiedere autorizzazioni di applicazione diverse.Various application authentication scenarios may require different application permissions. Per gli scenari di autenticazione delle applicazioni, vedere scenari di autenticazione.For application authentication scenarios please refer to Authentication scenarios.

È necessario concedere il consenso dell'amministratore a livello di tenant per le autorizzazioni dell'applicazione in cui è richiesto il consenso dell'amministratore, come descritto nella documentazione di AAD.Tenant-wide admin consent should be granted for application permissions where Administrator consent is required as described in AAD documentation.

Autorizzazioni applicazioneApplication Permissions

Le autorizzazioni dell'applicazione consentono a un'applicazione in Azure Active Directory di agire come entità personale, anziché per conto di un utente specifico.Application permissions allow an application in Azure Active Directory to act as it’s own entity, rather than on behalf of a specific user.

ServizioService Nome dell'autorizzazionePermission Name DescrizioneDescription Il consenso dell'amministratore è obbligatorioAdmin Consent Required
Servizio Rights Management di AzureAzure Rights Management Service Content. superuserContent.SuperUser Leggi tutto il contenuto protetto per questo tenantRead all protected content for this tenant Yes
Servizio Rights Management di AzureAzure Rights Management Service Content. DelegatedReaderContent.DelegatedReader Leggi il contenuto protetto per conto di un utenteRead protected content on behalf of a user Yes
Servizio Rights Management di AzureAzure Rights Management Service Content. DelegatedWriterContent.DelegatedWriter Creare contenuto protetto per conto di un utenteCreate protected content on behalf of a user Yes
Servizio Rights Management di AzureAzure Rights Management Service Content. WriterContent.Writer Crea contenuto protettoCreate protected content Yes
Servizio di sincronizzazione MIPMIP Sync Service UnifiedPolicy. tenant. ReadUnifiedPolicy.Tenant.Read Leggere tutti i criteri unificati del tenantRead all unified policies of the tenant Yes

Content. superuserContent.SuperUser

Questa autorizzazione è obbligatoria quando un'applicazione deve essere autorizzata a decrittografare tutto il contenuto protetto per il tenant specifico.This permission is required when an application must be permitted to decrypt all content protected for the specific tenant. Esempi di servizi che richiedono diritti utente con privilegi avanzati sono la prevenzione della perdita dei dati o i servizi di broker di sicurezza per l'accesso al cloud che devono essere in grado di visualizzare tutto il contenuto in testo non crittografato per prendere decisioni relative ai criteri in cui i dati possono essere o archiviatiExamples of services that require super user rights are data loss prevention or cloud access security broker services that must be able to view all content in plaintext to make policy decisions about where that data may flow or be stored.

Content. DelegatedWriterContent.DelegatedWriter

Questa autorizzazione è obbligatoria quando un'applicazione deve essere autorizzata a crittografare il contenuto protetto da un utente specifico.This permission is required when an application must be permitted to encrypt content protected by a specific user. Esempi di servizi che richiedono diritti di scrittura delegati sono applicazioni line-of-business che devono crittografare il contenuto in base ai criteri etichetta dell'utente per applicare etichette e crittografare il contenuto in modo nativo.Examples of services that require Delegated Write rights are line of business applications that need to encrypt content based on user’s label policies to apply labels and or encrypt content natively. Questa autorizzazione consente all'applicazione di crittografare il contenuto nel contesto dell'utente.This permission allows the application to encrypt content in the context of the user.

Content. DelegatedReaderContent.DelegatedReader

Questa autorizzazione è obbligatoria quando un'applicazione deve essere autorizzata a decrittografare tutto il contenuto protetto per un utente specifico.This permission is required when an application must be permitted to decrypt all content protected for a specific user. Esempi di servizi che richiedono diritti di lettura delegati sono applicazioni line-of-business che devono decrittografare il contenuto in base ai criteri etichetta dell'utente per visualizzare il contenuto in modo nativo.Examples of services that require Delegated Reader rights are line of business applications that need to decrypt content based on user’s label policies to display the content natively. Questa autorizzazione consente all'applicazione di decrittografare e leggere il contenuto nel contesto dell'utente.This permission allows the application to decrypt and read content in the context of the user.

Content. WriterContent.Writer

Questa autorizzazione è obbligatoria quando un'applicazione deve essere autorizzata a crittografare il contenuto.This permission is required when an application must be permitted to encrypt content. Esempi di servizi che richiedono writer sono applicazioni line-of-business che applicano etichette di classificazione ai file durante l'esportazione.Examples of services that require writer are line-of-business application that applies classification labels to files on export. Content. Writer crittografa il contenuto come identità dell'entità servizio e quindi il proprietario dei file protetti sarà l'identità dell'entità servizio.Content.Writer encrypts the content as the service principal identity and hence the owner of the protected files will be the service principal identity.

UnifiedPolicy. tenant. ReadUnifiedPolicy.Tenant.Read

Questa autorizzazione è obbligatoria quando un'applicazione deve essere autorizzata a scaricare i criteri di assegnazione di etichette unificati per il tenant.This permission is required when an application must be permitted to download unified labeling policies for the tenant. Esempi di servizi che richiedono la lettura del tenant di criteri unificato sono applicazioni che richiedono l'uso delle etichette come identità dell'entità servizio.Examples of services that require Unified Policy Tenant Read are applications which need work with labels as a service principal identity.

Autorizzazioni delegateDelegated Permissions

Le autorizzazioni delegate consentono a un'applicazione in Azure Active Directory di eseguire azioni per conto di un determinato utente.Delegated permissions allow an application in Azure Active Directory to perform actions on behalf of a particular user.

ServizioService Nome dell'autorizzazionePermission Name DescrizioneDescription Il consenso dell'amministratore è obbligatorioAdmin Consent Required
Servizio Rights Management di AzureAzure Rights Management Service user_impersonationuser_impersonation Creare e accedere al contenuto protetto per l'utenteCreate and access protected content for the user NoNo
Servizio di sincronizzazione MIPMIP Sync Service UnifiedPolicy. utente. ReadUnifiedPolicy.User.Read Leggi tutti i criteri unificati a cui un utente può accedereRead all unified policies a user has access to NoNo

user_impersonationuser_impersonation

Questa autorizzazione è obbligatoria quando un'applicazione deve essere consentita all'utente di Azure Rights Management Services per conto dell'utente.This permission is required when an application must be permitted to user Azure Rights Management Services on behalf of the user. Esempi di servizi che richiedono diritti di User_Impersonation sono le applicazioni che devono crittografare o accedere al contenuto in base ai criteri etichetta dell'utente per applicare etichette o crittografare il contenuto in modo nativo.Examples of services that require User_Impersonation rights are applications that need to encrypt, or access content based on user’s label policies to apply labels or encrypt content natively.

UnifiedPolicy. utente. ReadUnifiedPolicy.User.Read

Questa autorizzazione è obbligatoria quando un'applicazione deve essere autorizzata a leggere i criteri di etichetta unificata correlati a un utente.This permission is required when an application must be permitted to read unified labeling policies related to a user. crittografare il contenuto protetto da un utente specifico.encrypt content protected by a specific user. Esempi di servizi che richiedono diritti di scrittura delegati sono applicazioni che devono crittografare il contenuto in base ai criteri etichetta dell'utente per applicare etichette e crittografare il contenuto in modo nativo.Examples of services that require Delegated Write rights are applications that need to encrypt content based on user’s label policies to apply labels and or encrypt content natively.