Microsoft 信息保护 SDK 的 API 权限

MIP SDK 使用两个后端 Azure 服务进行标记和保护。 在"Azure Active Directory权限"边栏选项卡中,这些服务包括:

  • Azure Rights Management Service
  • Microsoft 信息保护同步服务

使用 MIP SDK 进行标记和保护时,必须将应用程序权限授予一个或多个 API。 各种应用程序身份验证方案可能需要不同的应用程序权限。 有关应用程序身份验证方案,请参阅 身份验证方案

对于需要管理员许可的应用程序权限,应授予租户范围的管理员许可。 有关详细信息,请参阅 Azure Active Directory文档

应用程序权限

应用程序权限允许Azure Active Directory应用程序充当其自己的实体,而不是代表特定用户。

服务 权限名称 说明 需要管理员许可
Azure Rights Management Service Content.SuperUser 读取此租户的所有受保护内容 是的
Azure Rights Management Service Content.DelegatedReader 代表用户读取受保护的内容 是的
Azure Rights Management Service Content.DelegatedWriter 代表用户创建受保护的内容 是的
Azure Rights Management Service Content.Writer 创建受保护的内容 是的
Azure Rights Management Service Application.Read.All MIPSDK 使用不需要的权限 不适用
MIP 同步服务 UnifiedPolicy.Tenant.Read 读取租户的所有统一策略 是的

Content.SuperUser

当必须允许应用程序解密受特定租户保护的所有内容时,需要此权限。 需要权限的服务示例包括数据丢失防护或云访问安全代理服务,这些服务必须以纯文本格式查看所有内容,以做出有关数据流动或存储位置的策略 Content.Superuser 决策。

Content.DelegatedWriter

当必须允许应用程序加密受特定用户保护的内容时,需要此权限。 需要权限的服务示例包括需要根据用户标签策略对内容进行加密的业务线应用程序,以本机应用标签 Content.DelegatedWriter 和加密内容。 此权限允许应用程序加密用户上下文中的内容。

Content.DelegatedReader

当必须允许应用程序解密受特定用户保护的所有内容时,需要此权限。 需要权限的服务示例包括需要根据用户标签策略解密内容以本机显示内容 Content.DelegatedReader 的业务线应用程序。 此权限允许应用程序解密和读取用户上下文中的内容。

Content.Writer

当必须允许应用程序列出模板和加密内容时,需要此权限。 尝试列出没有此权限的模板的服务将收到来自该服务的令牌被拒绝消息。 需要的服务示例包括业务线应用程序,该应用程序在导出时对 Content.writer 文件应用分类标签。 Content.Writer 将内容加密为服务主体标识,因此受保护文件的所有者将是服务主体标识。

UnifiedPolicy.Tenant.Read

当必须允许应用程序下载租户的统一标签策略时,需要此权限。 需要的服务示例 UnifiedPolicy.Tenant.Read 包括需要将标签用作服务主体标识的应用程序。

委托的权限

委托的权限允许应用程序中Azure Active Directory代表特定用户执行操作。

服务 权限名称 说明 需要管理员许可
Azure Rights Management Service user_impersonation 为用户创建和访问受保护的内容
MIP 同步服务 UnifiedPolicy.User.Read 读取用户有权访问的所有统一策略

User_Impersonation

当必须允许应用程序代表用户使用 Azure Rights Management Services 时,需要此权限。 需要权限的服务示例包括需要根据用户标签策略对内容进行加密或访问的应用程序,以本机 User_Impersonation 应用标签或加密内容。

UnifiedPolicy.User.Read

当必须允许应用程序读取与用户相关的统一标签策略时,需要此权限。 需要权限的服务示例包括需要根据用户标签策略加密和解密 UnifiedPolicy.User.Read 内容的应用程序。