Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O SDK MIP utiliza dois serviços backend Azure para rotulagem e proteção. Na lâmina de permissões da aplicação Microsoft Entra, estes serviços são:
- Serviço de Gestão de Direitos do Azure
- Serviço de Sincronização de Proteção de Informação Microsoft Purview
As permissões de aplicação devem ser concedidas a uma ou mais APIs ao utilizar o MIP SDK para rotulagem e proteção. Vários cenários de autenticação de aplicações podem exigir permissões diferentes. Para cenários de autenticação de aplicações, veja Cenários de autenticação.
Deve ser concedido consentimento administrativo a nível de inquilino para permissões de aplicação onde é necessário consentimento do Administrador. Para mais informações, consulte a documentação do Microsoft Entra.
Permissões da Aplicação
As permissões da aplicação permitem que uma aplicação no Microsoft Entra ID atue como uma entidade independente, em vez de em nome de um utilizador específico.
| Service | Nome da permissão | Descrição | Consentimento de Administrador Necessário |
|---|---|---|---|
| Serviço de Gestão de Direitos do Azure | Content.SuperUser | Leia todo o conteúdo protegido deste inquilino | Sim |
| Serviço de Gestão de Direitos do Azure | Content.DelegatedReader | Leia conteúdo protegido em nome de um utilizador | Sim |
| Serviço de Gestão de Direitos do Azure | Conteúdo.DelegadoEscritor | Crie conteúdo protegido em nome de um utilizador | Sim |
| Serviço de Gestão de Direitos do Azure | Redator de Conteúdo | Criar conteúdo protegido | Sim |
| Serviço de Gestão de Direitos do Azure | Application.Read.All | Não é necessária permissão para utilização do MIPSDK | Não aplicável |
| Serviço de Sincronização MIP | UnifiedPolicy.Tenant.Read | Leia todas as políticas unificadas do locatário | Sim |
Content.SuperUser
Esta permissão é necessária quando uma aplicação deve ser autorizada a desencriptar todo o conteúdo protegido para o inquilino específico. Exemplos de serviços que requerem Content.Superuser direitos são os serviços de prevenção de perda de dados ou de corretores de segurança de acesso à nuvem, que têm de visualizar todo o conteúdo em texto simples para tomar decisões políticas sobre onde esses dados podem fluir ou ser armazenados.
Conteúdo.EscritorDelegado
Esta permissão é necessária quando uma aplicação deve ser autorizada a encriptar conteúdos protegidos por um utilizador específico. Exemplos de serviços que requerem Content.DelegatedWriter direitos são aplicações de linha de negócio que precisam de encriptar conteúdo, com base nas políticas de etiquetas do utilizador para aplicar etiquetas e/ou encriptar conteúdo nativamente. Esta permissão permite à aplicação encriptar conteúdos no contexto do utilizador.
Conteúdo.DelegadoLeitor
Esta permissão é necessária quando uma aplicação tem de ser autorizada a desencriptar todo o conteúdo protegido para um utilizador específico. Exemplos de serviços que requerem Content.DelegatedReader direitos são aplicações de linha de negócio que precisam de desencriptar conteúdo, com base nas políticas de etiquetas do utilizador para exibir o conteúdo de forma nativa. Esta permissão permite à aplicação desencriptar e ler conteúdos no contexto do utilizador.
Gerador de Conteúdo
Esta permissão é necessária quando uma aplicação deve ser autorizada a listar modelos e encriptar conteúdo. Um serviço que tente listar modelos sem esta permissão receberá uma mensagem de token rejeitado do serviço. Exemplos de serviços que requerem Content.writer são aplicações de linha de negócio que aplicam etiquetas de classificação a ficheiros na exportação. O Content.Writer encripta o conteúdo com a identidade principal do serviço, e assim, o proprietário dos ficheiros protegidos será a identidade principal do serviço.
UnifiedPolicy.Tenant.Read
Esta permissão é necessária quando uma aplicação deve ser autorizada a descarregar políticas unificadas de rotulagem para o inquilino. Exemplos de serviços que requerem UnifiedPolicy.Tenant.Read são aplicações que precisam de trabalhar com rótulos como identidade principal de serviço.
Permissões Delegadas
Permissões delegadas permitem que uma aplicação no Microsoft Entra ID realize ações em nome de um determinado utilizador.
| Service | Nome da permissão | Descrição | Consentimento de Administrador Necessário |
|---|---|---|---|
| Serviço de Gestão de Direitos do Azure | user_impersonation | Criar e aceder a conteúdos protegidos para o utilizador | No |
| Serviço de Sincronização MIP | UnifiedPolicy.User.Read | Leia todas as políticas unificadas a que um utilizador tem acesso | No |
Imitação_de_Usuário
Esta permissão é necessária quando uma aplicação deve ser autorizada a utilizar os Serviços de Gestão de Direitos Azure em nome do utilizador. Exemplos de serviços que requerem User_Impersonation direitos são aplicações que precisam de encriptar, ou aceder a conteúdos, com base nas políticas de etiquetas do utilizador para aplicar rótulos ou encriptar conteúdo nativamente.
UnifiedPolicy.User.Read
Esta permissão é necessária quando uma aplicação deve ser autorizada a ler políticas unificadas de rotulagem relacionadas com um utilizador. Exemplos de serviços que requerem UnifiedPolicy.User.Read permissões são aplicações que precisam de encriptar e desencriptar conteúdo, com base nas políticas de rótulos do utilizador.