Microsoft Information Protection (MIP) SDK-installatie en -configuratie

  • Artikel
  • 10 minuten om te lezen

De artikelen Snelstart en Zelfstudie zijn gecentreerd rond het bouwen van toepassingen die gebruikmaken van de MIP SDK-bibliotheken en API's. In dit artikel wordt beschreven hoe u uw Microsoft 365 en clientwerkstation kunt instellen en configureren, ter voorbereiding op het gebruik van de SDK.

Vereisten

Controleer de volgende onderwerpen voordat u aan de slag gaat:

Belangrijk

Als u de privacy van gebruikers wilt respecteren, moet u de gebruiker vragen toestemming te geven voordat u automatische logboekregistratie inschakelen. Het volgende voorbeeld is een standaardbericht dat Microsoft gebruikt voor logboekregistratiemeldingen:

Als u Fout- en prestatieregistratie inschakelen, gaat u ermee akkoord fout- en prestatiegegevens naar Microsoft te verzenden. Microsoft verzamelt fout- en prestatiegegevens via internet ('Gegevens'). Microsoft gebruikt deze gegevens om de kwaliteit, beveiliging en integriteit van Microsoft-producten en -services te bieden en te verbeteren. We analyseren bijvoorbeeld prestaties en betrouwbaarheid, zoals welke functies u gebruikt, hoe snel de functies reageren, apparaatprestaties, interacties met de gebruikersinterface en eventuele problemen met het product. Gegevens bevatten ook informatie over de configuratie van uw software, zoals de software die u momenteel gebruikt, en het IP-adres.

Registreren voor een Office 365 abonnement

Veel van de SDK-voorbeelden vereisen toegang tot een Office 365 abonnement. Als u dit nog niet hebt gedaan, moet u zich registreren voor een van de volgende abonnementstypen:

Naam Registreren
Proefabonnement Office 365 Enterprise E3 (gratis proefversie van 30 dagen) https://go.microsoft.com/fwlink/p/?LinkID=403802
Office 365 Enterprise E3 of E5 https://products.office.com/business/office-365-enterprise-e3-business-software
Enterprise Mobility and Security E3 of E5 https://www.microsoft.com/cloud-platform/enterprise-mobility-security
Azure Information Protection Premium P1 of P2 Microsoft 365 licentie-richtlijnen voor beveiligings compliance
Microsoft 365 E3, E5 of F1 https://www.microsoft.com/microsoft-365/compare-all-microsoft-365-plans

Gevoeligheidslabels configureren

Als u momenteel Azure Information Protection gebruikt, moet u uw etiketten migreren naar Office 365 beveiligings- en compliancecentrum. Zie Azure Information Protection-labels migreren naar het Office 365 Security Compliance Center voor meer informatie over het proces.

Uw clientwerkstation configureren

Volg vervolgens de volgende stappen om ervoor te zorgen dat uw clientcomputer correct is ingesteld en geconfigureerd.

  1. Als u een Windows 10 gebruikt:

    Met Windows Update kunt u uw computer bijwerken Windows 10 Fall Creators Update (versie 1709) of hoger. De huidige versie verifiëren:

    • Klik op Windows in de linkerbenedenbalk.
    • Typ 'Over uw pc' en druk op de toets Enter.
    • Schuif omlaag naar Windows specificaties en kijk onder Versie.

  2. Als u een Windows 11 of Windows 10 gebruikt:

    Zorg ervoor dat 'Ontwikkelaarsmodus' is ingeschakeld op uw werkstation:

    • Klik op Windows in de linkerbenedenbalk.
    • Typ 'Ontwikkelaarsfuncties gebruiken' en druk op de toets Enter wanneer u de itemvoorstelling Ontwikkelaarsfuncties gebruiken ziet.
    • Selecteer op Instellingen dialoogvenster Voor ontwikkelaars onder 'Ontwikkelaarsfuncties gebruiken' de optie Ontwikkelaarsmodus.
    • Sluit het Instellingen dialoogvenster.

  3. Installeer Visual Studio 2019,met de volgende werkbelastingen en optionele onderdelen:

    • Universele Windows platformontwikkeling Windows werkbelasting, plus de volgende optionele onderdelen:

      • C++ Universele Windows Platformhulpmiddelen
      • Windows 10 SDK 10.0.16299.0 SDK of hoger, indien standaard niet inbegrepen

    • Desktopontwikkeling met C++ Windows werkbelasting, plus de volgende optionele onderdelen:

      • Windows 10 SDK 10.0.16299.0 SDK of hoger, indien standaard niet inbegrepen

      Visual Studio instellen

  4. Installeer de ADAL.PS PowerShell-module:

    • Omdat beheerdersrechten vereist zijn voor het installeren van modules, moet u eerst de volgende gegevens gebruiken:

      • meld u aan bij uw computer met een account met beheerdersrechten.
      • voer de Windows PowerShell met verhoogde rechten uit (Uitvoeren als beheerder).

    • Voer vervolgens de install-module -name adal.ps cmdlet uit:

      PS C:\WINDOWS\system32> install-module -name adal.ps

Untrusted repository
You are installing the modules from an untrusted repository. If you trust this repository, change its
InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from
'PSGallery'?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): A

PS C:\WINDOWS\system32>

  5. Bestanden downloaden:

    De MIP SDK wordt ondersteund op de volgende platforms, met afzonderlijke downloads voor elk ondersteund platform/elke ondersteunde taal:

    Besturingssysteem Versies Downloads Notities
    Ubuntu 16.04 C++ tar.gz
    Ubuntu 18.04 C++ tar.gz
    Java (Preview) tar.gz
    .NET Core NuGet (preview)
    RedHat Enterprise Linux 7 met devtoolset-7 C++ tar.gz
    Debian 9 C++ tar.gz
    macOS High Sierra en hoger C++ .zip Xcode-ontwikkeling vereist 9.4.1 of hoger.
    Windows Alle ondersteunde versies, 32/64 bits C++/.NET Framework 4,6 .zip
    C++/.NET NuGet
    Java (Preview) .zip
    Android 7.0 en hoger C++ .zip Alleen beveiligings- en beleids-SDK's.
    iOS Alle ondersteunde versies C++ .zip Alleen beveiligings- en beleids-SDK's.

    Tar.gz/.Zip downloads

    Tar.gz en .Zip downloads bevatten gecomprimeerde bestanden, één voor elke API. De gecomprimeerde bestanden worden als volgt benoemd, waarbij < API = , of , en OS = het >fileprotectionupe<> platform: mip_sdk_<API>_<OS>_1.0.0.0.zip (or .tar.gz) . Het bestand voor SDK-binaries voor beveiliging en kopteksten in Debian zou bijvoorbeeld: mip_sdk_protection_debian9_1.0.0.0.tar.gz . Elke opgenomen .tar.gz/.zip is gesplitst in drie directories:

    • Opslaglocaties: Gecompileerde binaries voor elke platformarchitectuur, indien van toepassing.
    • Neem het volgende op: Koptekstbestanden (C++).
    • Voorbeelden: Broncode voor voorbeeldtoepassingen.

    NuGet-pakketten

    Als u bezig bent met Visual Studio ontwikkeling, kan de SDK ook worden geïnstalleerd via de NuGet Pakketbeheer Console:

    Install-Package Microsoft.InformationProtection.File
Install-Package Microsoft.InformationProtection.Policy
Install-Package Microsoft.InformationProtection.Protection

  6. Als u het NuGet-pakket niet gebruikt, voegt u de paden van de SDK-binaries toe aan de path-omgevingsvariabele. Met de variabele PATH kunnen de afhankelijke binaries (DLL's) worden gevonden tijdens runtime, door clienttoepassingen (OPTIONEEL):

    Als u een Windows 11 of Windows 10 gebruikt:

    • Klik op Windows in de linkerbenedenbalk.

    • Typ 'Pad' en druk op de toets Enter wanneer u het item Variabelen in de systeemomgeving bewerken ziet.

    • Klik in het dialoogvenster Systeemeigenschappen op Omgevingsvariabelen.

    • Klik in het dialoogvenster Omgevingsvariabelen op de rij Padvariabele onder Gebruikersvariabelen voor gebruiker en klik vervolgens op Bewerken....

    • Klik in het dialoogvenster Omgevingsvariabele bewerken op Nieuw,waarmee een nieuwe bewerkbare rij wordt gemaakt. Als u het volledige pad naar elk van de , en file\bins\debug\amd64protection\bins\debug\amd64 subdirectorieën gebruikt, voegt u een nieuwe rij upe\bins\debug\amd64 toe voor elk pad. De SDK-directories worden opgeslagen in een <API>\bins\<target>\<platform> indeling, waarin:

      • <API > = file , protection , upe
      • <doel > = debug , release
      • <platform > = amd64 (x64), x86 enzovoort.

    • Wanneer u klaar bent met het bijwerken van de variabele Pad, klikt u op OK. Klik vervolgens op OK wanneer u terug gaat naar het dialoogvenster Omgevingsvariabelen.

  7. Download SDK-voorbeelden van GitHub (OPTIONEEL):

Een clienttoepassing registreren met Azure Active Directory

Als onderdeel van het Microsoft 365 abonnements inrichtingsproces wordt een gekoppelde Azure Active Directory (Azure AD) tenant gemaakt. De Azure AD-tenant biedt identiteits- en toegangsbeheer voor Microsoft 365 gebruikersaccounts en toepassingsaccounts. Voor toepassingen waarvoor toegang tot beveiligde API's (zoals MIP-API's) is vereist, is een toepassingsaccount vereist.

Voor verificatie en autorisatie tijdens runtime worden accounts vertegenwoordigd door een beveiligingsprincipaal , die is afgeleid van de identiteitsgegevens van het account. Beveiligingsprincipen die een toepassingsaccount vertegenwoordigen, worden een serviceprincipaal genoemd.

Een toepassingsaccount registreren in Azure AD voor gebruik met de SDK-voorbeelden Quickstarts en MIP:

Belangrijk

Als u toegang wilt tot Azure AD-tenantbeheer voor het maken van een account, moet u zich aanmelden bij de Azure-portal met een gebruikersaccount dat lid is van de rol 'Eigenaar' van het abonnement. Afhankelijk van de configuratie van uw tenant, moet u mogelijk ook lid zijn van de directoryrol 'Globale beheerder' om een toepassing te registreren. Het is raadzaam om te testen met een beperkt account. Zorg ervoor dat het account alleen toegang heeft tot de benodigde SCC-eindpunten. Cleartext-wachtwoorden die via commandline zijn doorgegeven, kunnen worden verzameld door logboekregistratiesystemen.

  1. Volg de stappen in Een app registreren met Azure AD, Sectie Nieuwe toepassing registreren. Gebruik voor testdoeleinden de volgende waarden voor de opgegeven eigenschappen terwijl u door de hulplijnstappen gaat:

    • Ondersteunde accounttypen: selecteer 'Alleen accounts in deze organisatiemap'.
    • Redirect URI - Stel het type redirect URI in op 'Openbare client (mobiel bureaublad).' Als uw toepassing de Microsoft Authentication Library (MSAL) gebruikt, gebruikt u http://localhost . Gebruik anders iets in de notatie <app-name>://authorize .

  2. Wanneer u klaar bent, wordt u teruggegeven aan de pagina Geregistreerde app voor uw nieuwe toepassingsregistratie. Kopieer en sla de GUID op in het veld Toepassings-id (client-id), zoals u deze nodig hebt voor de Quickstarts.

  3. Klik vervolgens op API-machtigingen om de API's en machtigingen toe te voegen waaraan de client toegang nodig heeft. Klik op Een machtiging toevoegen om het mes API-machtigingen aanvragen te openen.

  4. U voegt nu de MIP-API's en machtigingen toe die de toepassing tijdens runtime nodig heeft:

    • Klik op de pagina Selecteer een API op Azure Rights Management Services.
    • Klik op Azure Rights Management pagina Services API op Gedelegeerde machtigingen.
    • Controleer in de sectie Machtigingen selecteren de user_impersonation machtiging. Met dit recht kan de toepassing beveiligde inhoud maken en openen namens een gebruiker.
    • Klik op Machtigingen toevoegen om op te slaan.

  5. Herhaal stap #4, maar als u deze keer bij de pagina Een API selecteren bent, moet u zoeken naar de API.

    • Klik op de pagina Selecteer een API op API's die mijn organisatie vervolgens gebruikt in het zoekvaktype 'Microsoft Information Protection Synchronisatieservice'en selecteer deze.
    • Klik op Microsoft Information Protection pagina Synchronisatieservice-APIop Gedelegeerde machtigingen.
    • Vouw het knooppunt UnifiedPolicy uit en controleer UnifiedPolicy.User.Read
    • Klik op Machtigingen toevoegen om op te slaan.

  6. Wanneer u terug bent op de pagina API-machtigingen, klikt u op Beheerder toestemming verlenen voor (tenantnaam)en vervolgens op Ja. Deze stap geeft vooraf toestemming aan de toepassing met deze registratie om toegang te krijgen tot de API's onder de opgegeven machtigingen. Als u zich hebt aangemeld als globale beheerder, wordt toestemming geregistreerd voor alle gebruikers in de tenant die de toepassing uitvoeren. anders is dit alleen van toepassing op uw gebruikersaccount.

Wanneer u klaar bent, moeten toepassingsregistratie en API-machtigingen er ongeveer hetzelfde uitzien als de volgende voorbeelden:

Azure AD app registrationAzure AD app API permissions

Zie Een clienttoepassing configureren voor toegang tot web-API'svoor meer informatie over het toevoegen van API's en machtigingen aan een registratie. Hier vindt u informatie over het toevoegen van de API's en machtigingen die nodig zijn voor een clienttoepassing.

Een IPIA -overeenkomst (Information Protection Integration Agreement) aanvragen

Voordat u een toepassing die met MIP is ontwikkeld, openbaar kunt maken, moet u een formele overeenkomst met Microsoft aanvragen en voltooien.

Opmerking

Deze overeenkomst is niet vereist voor toepassingen die alleen zijn bedoeld voor intern gebruik.

  1. Verkrijg uw IPIA door een e-mail te verzenden IPIA@microsoft.com naar met de volgende informatie:

    Onderwerp: IPIA aanvragen voor bedrijfsnaam

    Neem in de body van het e-mailbericht het volgende op:

    • Toepassing en productnaam
    • Voor- en achternaam van de aanvraag
    • E-mailadres van de aanvraager

  2. Na ontvangst van uw IPIA-aanvraag sturen we u een formulier (als Word-document). Bekijk de voorwaarden van de IPIA en retournatie van het formulier IPIA@microsoft.com met de volgende informatie:

    • Juridische naam van het bedrijf
    • Staat/provincie (VS/Canada) of Land van integratie
    • Bedrijfs-URL
    • E-mailadres van de contactpersoon
    • Aanvullende adressen van het bedrijf (optioneel)
    • Naam van de bedrijfstoepassing
    • Korte beschrijving van de toepassing
    • Azure Tenant-id
    • App-id voor de toepassing
    • Bedrijfscontacten, e-mail en telefoon voor kritieke situatiecorrespondentie

  3. Wanneer we uw formulier ontvangen, sturen we u de laatste IPIA-koppeling om digitaal te ondertekenen. Na uw ondertekening wordt deze ondertekend door de juiste Microsoft-vertegenwoordiger, die de overeenkomst voltooit.

Hebt u al een ondertekende IPIA?

Als u al een ondertekende IPIA hebt en een nieuwe app-id wilt toevoegen voor een toepassing die u wilt vrijgeven, stuurt u een e-mail naar en geeft u ons de volgende informatie:

  • Naam van de bedrijfstoepassing
  • Korte beschrijving van de toepassing
  • Azure Tenant-id (zelfs als deze dezelfde is als voorheen)
  • App-id voor de toepassing
  • Bedrijfscontacten, e-mail en telefoon voor kritieke situatiecorrespondentie

Sta bij het verzenden van de e-mail maximaal 72 uur toe voor een bevestiging van de ontvangst.

Controleer of uw app de vereiste runtime heeft

Opmerking

Deze stap is alleen nodig als de toepassing wordt geïmplementeerd op een computer zonder Visual Studio of als de installatie van Visual Studio Visual C++ Runtime-onderdelen ontbreekt.

Voor toepassingen die zijn gemaakt met de MIP SDK moet de Visual C++ 2015- of Visual C++ 2017-runtime worden geïnstalleerd, indien nog niet aanwezig.

Deze werken alleen als de toepassing is gemaakt als Release. Als de toepassing is gemaakt als Foutopsporing, moeten de DLL's voor visuele C++ runtime-foutopsporing worden opgenomen in de toepassing of op de computer zijn geïnstalleerd.

Volgende stappen