Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De MIP SDK maakt gebruik van twee back-end Azure-services voor labeling en beveiliging. In de Microsoft Entra-app-machtigingen blade zijn de volgende services:
- Azure Rights Management-dienst
- Microsoft Purview Information Protection-synchronisatieservice
Toepassingsmachtigingen moeten worden verleend aan een of meer API's wanneer u de MIP SDK gebruikt voor labelen en beveiliging. Voor verschillende toepassingsverificatiescenario's zijn mogelijk verschillende toepassingsmachtigingen vereist. Zie Verificatiescenario's voor toepassingsverificatie.
Beheerderstoestemming voor de hele tenant moet worden verleend voor toepassingsmachtigingen waarvoor beheerderstoestemming is vereist. Zie de Microsoft Entra-documentatie voor meer informatie.
Toepassingsmachtigingen
Met toepassingsmachtigingen kan een toepassing in Microsoft Entra ID fungeren als een eigen entiteit in plaats van namens een specifieke gebruiker.
| Dienst | Machtigingsnaam | Beschrijving | Beheerderstoestemming vereist |
|---|---|---|---|
| Azure Rights Managementservice | Inhoud.Supergebruiker | Alle beveiligde inhoud voor deze tenant lezen | Ja |
| Azure Rights Management-service | Content.DelegatedReader | Beveiligde inhoud lezen namens een gebruiker | Ja |
| Azure Rights Managementdienst | Content.DelegatedWriter | Beveiligde inhoud maken namens een gebruiker | Ja |
| Azure Rights Management-service | Contentauteur | Beveiligde inhoud maken | Ja |
| Azure Rights Management Dienst | Application.Read.All | De machtiging is niet vereist voor MIPSDK-gebruik | Niet van toepassing |
| MIP-synchronisatieservice | UnifiedPolicy.Tenant.Read | Alle geünificeerde beleidsregels van de tenant lezen | Ja |
Content.SuperUser
Deze machtiging is vereist wanneer een toepassing moet zijn toegestaan om alle inhoud te ontsleutelen die voor de specifieke tenant is beveiligd. Voorbeelden van services waarvoor rechten zijn vereist Content.Superuser , zijn preventie van gegevensverlies of beveiligingsbrokerservices voor cloudtoegang die alle inhoud in platte tekst moeten bekijken om beleidsbeslissingen te nemen over waar die gegevens kunnen stromen of worden opgeslagen.
Content.DelegatedWriter
Deze machtiging is vereist wanneer een toepassing moet zijn toegestaan om inhoud te versleutelen die wordt beveiligd door een specifieke gebruiker. Voorbeelden van services waarvoor Content.DelegatedWriter rechten vereist zijn, zijn line-of-business-toepassingen die inhoud moeten versleutelen, op basis van het labelbeleid van de gebruiker om labels toe te passen en/of inhoud nativelijk te versleutelen. Met deze machtiging kan de toepassing inhoud versleutelen in de context van de gebruiker.
Content.DelegatedReader
Deze machtiging is vereist wanneer een toepassing moet zijn toegestaan om alle inhoud te ontsleutelen die voor een specifieke gebruiker is beveiligd. Voorbeelden van services die Content.DelegatedReader rechten vereisen, zijn line-of-business-toepassingen die inhoud moeten ontsleutelen, op basis van het labelbeleid van de gebruiker om de inhoud natuurlijk weer te geven. Met deze machtiging kan de toepassing inhoud ontsleutelen en lezen in de context van de gebruiker.
Content.Writer
Deze machtiging is vereist wanneer een toepassing sjablonen mag vermelden en inhoud moet versleutelen. Een service die zonder deze machtiging sjablonen probeert weer te geven, zal een bericht ontvangen dat het token is geweigerd door de service. Voorbeelden van services waarvoor een line-of-business-toepassing Content.writer nodig is, zijn toepassingen die classificatielabels toevoegen aan te exporteren bestanden. Content.Writer versleutelt de inhoud als de identiteit van de service-principal en de eigenaar van de beveiligde bestanden is dus de identiteit van de service-principal.
UnifiedPolicy.Tenant.Read
Deze machtiging is vereist wanneer een toepassing geïntegreerd labelbeleid voor de tenant mag downloaden. Voorbeelden van services waarvoor UnifiedPolicy.Tenant.Read vereist is, zijn toepassingen die met labels als service-principal-identiteit werken.
Gedelegeerde machtigingen
Met gedelegeerde machtigingen kan een toepassing in Microsoft Entra ID acties uitvoeren namens een bepaalde gebruiker.
| Dienst | Machtigingsnaam | Beschrijving | Beheerderstoestemming vereist |
|---|---|---|---|
| Azure Rights Management Service | user_impersonation | Beveiligde inhoud voor de gebruiker maken en openen | No |
| MIP-synchronisatieservice | UnifiedPolicy.User.Read | Lees alle geïntegreerde beleidsregels waartoe een gebruiker toegang heeft | No |
Gebruikersimitatie
Deze machtiging is vereist wanneer een toepassing namens de gebruiker Azure Rights Management Services mag gebruiken. Voorbeelden van services waarvoor rechten zijn vereist User_Impersonation , zijn toepassingen die inhoud moeten versleutelen of openen, op basis van het labelbeleid van de gebruiker om labels toe te passen of inhoud systeemeigen te versleutelen.
UnifiedPolicy.User.Read
Deze machtiging is vereist wanneer een toepassing geïntegreerde labelbeleidsregels met betrekking tot een gebruiker mag lezen. Voorbeelden van services waarvoor machtigingen zijn vereist UnifiedPolicy.User.Read , zijn toepassingen die inhoud moeten versleutelen en ontsleutelen op basis van het labelbeleid van de gebruiker.