Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
MIP SDK usa due servizi back-end di Azure per l'etichettatura e la protezione. Nel pannello Autorizzazioni dell'app Microsoft Entra questi servizi sono:
- Servizio Azure Rights Management
- Servizio di sincronizzazione Microsoft Purview Information Protection
Le autorizzazioni dell'applicazione devono essere concesse a una o più API quando si usa MIP SDK per l'etichettatura e la protezione. Diversi scenari di autenticazione dell'applicazione possono richiedere autorizzazioni diverse per le applicazioni. Per gli scenari di autenticazione delle applicazioni, vedere Scenari di autenticazione.
È necessario concedere l'approvazione amministrativa a livello di tenant per le autorizzazioni delle applicazioni in cui è richiesta l'approvazione dell'amministratore. Per altre informazioni, vedere la documentazione di Microsoft Entra.
Autorizzazioni dell'applicazione
Le autorizzazioni dell'applicazione consentono a un'applicazione in Microsoft Entra ID di fungere da entità propria, anziché per conto di un utente specifico.
| Service | Nome del permesso | Descrizione | Consenso amministratore obbligatorio |
|---|---|---|---|
| Servizio Azure Rights Management | Content.SuperUser | Leggere tutto il contenuto protetto per questo tenant | Sì |
| Servizio Azure Rights Management | Content.DelegatedReader | Leggere il contenuto protetto per conto di un utente | Sì |
| Servizio Azure Rights Management | Content.DelegatedWriter | Creare contenuto protetto per conto di un utente | Sì |
| Servizio Azure Rights Management | Scrittore di Contenuti | Creare contenuto protetto | Sì |
| Servizio Azure Rights Management | Application.Read.All | Autorizzazione non richiesta per l'uso di MIPSDK | Non applicabile |
| Servizio di sincronizzazione MIP | UnifiedPolicy.Tenant.Read | Leggere tutte le politiche unificate del tenant | Sì |
Content.SuperUser
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata a decrittografare tutto il contenuto protetto per il tenant specifico. Esempi di servizi che richiedono Content.Superuser diritti sono la prevenzione della perdita dei dati o i servizi broker di sicurezza per l'accesso al cloud che devono visualizzare tutto il contenuto in testo non crittografato per prendere decisioni sui criteri sulla posizione in cui tali dati possono essere trasmessi o archiviati.
Content.DelegatedWriter
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata a crittografare il contenuto protetto da un utente specifico. Esempi di servizi che richiedono Content.DelegatedWriter diritti sono applicazioni line-of-business che devono crittografare il contenuto, in base ai criteri di etichetta dell'utente per applicare etichette e crittografare il contenuto in modo nativo. Questa autorizzazione consente all'applicazione di crittografare il contenuto nel contesto dell'utente.
Content.DelegatedReader
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata a decrittografare tutto il contenuto protetto per un utente specifico. Esempi di servizi che richiedono Content.DelegatedReader diritti sono applicazioni aziendali che devono decrittografare il contenuto, secondo i criteri di etichettatura dell'utente per visualizzare il contenuto nativamente. Questa autorizzazione consente all'applicazione di decrittografare e leggere il contenuto nel contesto dell'utente.
Scrittore di contenuti
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata a elencare i modelli e crittografare il contenuto. Un servizio che tenta di elencare i modelli senza questa autorizzazione riceverà un messaggio di token rifiutato dal servizio. Esempi di servizi che richiedono Content.writer sono applicazioni line-of-business che applicano etichette di classificazione ai file in caso di esportazione. Content.Writer crittografa il contenuto con l'identità principale del servizio, e quindi il proprietario dei file protetti sarà l'identità principale del servizio.
UnifiedPolicy.Tenant.Read
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata a scaricare criteri di etichettatura unificata per il tenant. Esempi di servizi che richiedono UnifiedPolicy.Tenant.Read sono applicazioni che richiedono l'uso delle etichette come identità dell'entità servizio.
Autorizzazioni delegate
Le autorizzazioni delegate consentono a un'applicazione in Microsoft Entra ID di eseguire azioni per conto di un determinato utente.
| Service | Nome del permesso | Descrizione | Consenso amministratore obbligatorio |
|---|---|---|---|
| Servizio Azure Rights Management | user_impersonation | Creare e accedere al contenuto protetto per l'utente | No |
| Servizio di sincronizzazione MIP | UnifiedPolicy.User.Read | Leggere tutti i criteri unificati a cui un utente può accedere | No |
Impersonazione_Utente
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata per utilizzare Azure Rights Management Services per conto dell'utente. Esempi di servizi che richiedono User_Impersonation diritti sono applicazioni che devono crittografare o accedere al contenuto, in base ai criteri di etichetta dell'utente per applicare etichette o crittografare il contenuto in modo nativo.
UnifiedPolicy.User.Read
Questa autorizzazione è necessaria quando un'applicazione deve essere autorizzata a leggere i criteri di etichettatura unificata correlati a un utente. Esempi di servizi che richiedono UnifiedPolicy.User.Read autorizzazioni sono applicazioni che devono crittografare e decrittografare il contenuto, in base ai criteri di etichetta dell'utente.