Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Namespace: microsoft.graph.security
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Beschreibt die Information Protection-Bezeichnung, die beschreibt, wie eine Vertraulichkeitsbezeichnung ordnungsgemäß auf Informationen angewendet wird. Die Ressource informationProtectionLabel beschreibt die Konfiguration von Vertraulichkeitsbezeichnungen, die für einen Benutzer oder Mandanten gelten.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| List | microsoft.graph.security.sensitivityLabel-Sammlung | Rufen Sie eine Liste der microsoft.graph.security.sensitivityLabel-Objekte und deren Eigenschaften ab. |
| Get | microsoft.graph.security.sensitivityLabel | Lesen sie die Eigenschaften und Beziehungen eines microsoft.graph.security.sensitivityLabel-Objekts . |
| Computevererbung | microsoft.graph.security.sensitivityLabel | Berechnen Sie die Vererbung für die Vertraulichkeitsbezeichnung und den Eingabeinhalt. |
| Computerechte und Vererbung | computeRightsAndInheritanceResult | Berechnen Sie die Rechte und die Vererbung für die Vertraulichkeitsbezeichnung. |
| Anwendung auswerten | microsoft.graph.security.informationProtectionAction-Sammlung | Berechnen Sie anhand einer Eingabe von contentInfo und labelingOptions den Satz von Aktionen, die zum Anwenden der Bezeichnung erforderlich sind. |
| Klassifizierungsergebnis auswerten | microsoft.graph.security.informationProtectionAction-Sammlung | Berechnen Sie anhand einer Eingabe von contentInfo und klassifizierungsergebnissen den Satz von Aktionen, die zum Anwenden der Bezeichnung erforderlich sind. |
| Entfernen auswerten | microsoft.graph.security.informationProtectionAction-Sammlung | Berechnen Sie anhand einer Eingabe von contentInfo und downgradeJustification die Aktionen, die zum Entfernen der Bezeichnung ausgeführt werden sollten. |
| Inhaltsbezeichnung extrahieren | microsoft.graph.security.contentLabel | Geben Sie bei einer Eingabe von contentInfo Details zu dem informationProtectionLabel zurück, den die Metadaten darstellen. |
| Auflisten von Vertraulichkeitsbezeichnungen für Datensicherheit und Compliance | microsoft.graph.security.sensitivityLabel-Sammlung | Rufen Sie eine Liste der sensitivityLabel-Objekte und deren Eigenschaften mithilfe der Datensicherheits- und Governance-API ab. |
| Abrufen einer Vertraulichkeitsbezeichnung für Datensicherheit und Compliance | microsoft.graph.security.sensitivityLabel-Sammlung | Rufen Sie ein sensitivityLabel-Objekt und seine Eigenschaften mithilfe der Datensicherheits- und Governance-API ab. |
| Abrufen von Nutzungsrechten | usageRightsIncluded-Sammlung | Rufen Sie die Nutzungsrechte ab, die dem aufrufenden Benutzer gewährt werden. |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| actionSource | microsoft.graph.security.labelActionSource | Gibt die Quelle der Aktion an, die zur Anwendung der Bezeichnung geführt hat. Mögliche Werte sind: manual, automatic, recommended, none. |
| autoLabeling | autoLabeling | Die Automatische Bezeichnungskonfiguration für die Bezeichnung. |
| applicableTo | microsoft.graph.security.sensitivityLabelTarget | Gibt die Workloads an, für die die Bezeichnung angewendet werden kann. Mögliche Werte: email, site, unifiedGroup, teamwork, file, . schematizedData |
| applicationMode | microsoft.graph.security.applicationMode | Gibt an, wie die Bezeichnung angewendet oder empfohlen werden soll. Die möglichen Werte sind: manual, automatic, recommended. |
| assignedPolicies | labelPolicy-Auflistung | Die Auflistung von Bezeichnungsrichtlinien, die der Bezeichnung zugewiesen sind. |
| autoTooltip | Zeichenfolge | Die QuickInfo, die Benutzern für empfohlene oder automatisch angewendete Bezeichnungen angezeigt wird. |
| color | String | Die Farbe, die auf der Benutzeroberfläche für die Bezeichnung angezeigt werden soll, sofern konfiguriert. |
| contentFormats | Zeichenfolgensammlung | Gibt die unterstützten Inhaltsformate für die Bezeichnung zurück. |
| description | Zeichenfolge | Die vom Administrator definierte Beschreibung für die Bezeichnung. |
| displayName | Zeichenfolge | Der Anzeigename der Vertraulichkeitsbezeichnung. |
| hasProtection | Boolean | Gibt an, ob für die Bezeichnung Schutzaktionen (z. B. Verschlüsselung oder Nichtweiterleitung) konfiguriert sind. |
| id | Zeichenfolge | Die Bezeichnungs-ID ist eine GUID (Globally Unique Identifier). |
| isActive | Boolean | Gibt an, ob die Bezeichnung aktiv ist oder nicht. Aktive Bezeichnungen sollten in der Benutzeroberfläche ausgeblendet oder deaktiviert sein. |
| isAppliable | Boolean | Gibt an, ob die Bezeichnung auf Inhalte angewendet werden kann.
False , wenn die Bezeichnung ein übergeordnetes Element mit untergeordneten Bezeichnungen ist. |
| isDefault | Boolean |
true , wenn die Bezeichnung die Standardbezeichnung für die Richtlinie ist; false sonst. |
| isEnabled | Boolescher Wert |
true , wenn die Bezeichnung derzeit aktiviert ist; false sonst. |
| isEndpointProtectionEnabled | Boolean |
true , wenn die Bezeichnung Schutzeinstellungen bereitstellt, die vom Endpunkt zur Verhinderung von Datenverlust erzwungen werden; false sonst. |
| isScopedToUser | Boolean | Gibt an, ob die Bezeichnung für bestimmte Benutzer oder Gruppen (true) oder für den gesamten Mandanten verfügbar ist (false). |
| labelActions | labelActionBase-Auflistung | Die Aktionen, die der Bezeichnung zugeordnet sind. |
| Gebietsschema | Zeichenfolge | Das Gebietsschema, das den lokalisierten Eigenschaften der Bezeichnung zugeordnet ist (z. B. "en-US"). Wird im Kontext der Auflistung von Bezeichnungen verwendet, die auf Benutzer/Gebietsschemas ausgerichtet sind. |
| name | Zeichenfolge | Der Klartextname der Bezeichnung. |
| Priorität | Int32 | Die Priorität der Bezeichnung. Niedrigere Zahlen weisen auf eine höhere Priorität hin. |
| sensitivity | Int32 | Der Vertraulichkeitswert der Bezeichnung, wobei niedriger weniger empfindlich ist. |
| tooltip | Zeichenfolge | Die QuickInfo, die für die Bezeichnung in einer Benutzeroberfläche angezeigt werden soll. |
Api-Filterregeln für Vertraulichkeitsbezeichnungen
In diesem Abschnitt werden die Filterregeln und Einschränkungen beschrieben, die für verschiedene API-Aufrufe von Vertraulichkeitsbezeichnungen verfügbar sind.
Szenario 1: Zurückgeben von Vertraulichkeitsbezeichnungen (1 oder mehr)
Der Benutzer ruft die API auf und filtert nach einer oder mehreren Bezeichnungs-ID-GUIDs.
Beispiel
$filter=((id eq 'guid1') or (id eq 'guid2') or (id eq 'guid3'))
Regeln
OR-Einschränkung mit isScopedToUser
- Wenn
isScopedToUserder Filterparameter vorhanden ist, ist in den Filterparameternornicht zulässig.
- Wenn
Vorfilterverhalten mit OR
- Wenn
orin den Filterparameternlocalevorhanden ist, werden die Filterparameter undcontentFormats(sofern vorhanden) nicht zum Vorfiltern verwendet.
- Wenn
Innere OR-Ausnahme
- Innere
orVorgänge, die unter die Parameterstruktur fallen, sind zulässig.
- Innere
Szenario 2: Zurückgeben von Ergebnissen für Vertraulichkeitsbezeichnungen mithilfe eines Filters für eine einzelne ID und ein Benutzerrecht
Der Benutzer ruft die API auf und filtert nach einer Bezeichnungs-ID-GUID und einem Benutzerrecht.
Beispiel
$filter=(id eq 'guid1' and ownerEmail eq 'ownerEmail1')
Regeln
OR-Einschränkung mit mehreren Parametern
- Wenn einer der folgenden Filterparameter vorhanden ist: ,
idoderownerEmail,orist in den Filterparametern nicht zulässig.isScopedToUser
- Wenn einer der folgenden Filterparameter vorhanden ist: ,
ownerEmail-Überprüfung
-
ownerEmailpresent ohneidlöst eine ausArgumentException.
-
Vorfilterverhalten mit OR
- Wenn
orin der $filter Zeichenfolge vorhanden ist, werden dielocaleFilterparameter undcontentFormatsignoriert und nicht zum Vorabfiltern der Ergebnisse verwendet.
- Wenn
Innere OR-Ausnahme
- Sie können innere
orVorgänge zwischen einzelnen Klauseln verwenden.
- Sie können innere
Szenario 2.5: Zurückgeben von Ergebnissen für Vertraulichkeitsbezeichnungen mithilfe eines Filters für mehrere IDs und Benutzerrechte
Der Benutzer möchte die API aufrufen und nach mehreren IDs und ownerEmail filtern. Um dieses Ergebnis zu erzielen, müssen Sie sowohl die Bezeichnungs-ID als auch ownerEmail in einer booleschen Klausel kombinieren.
Beispiel
$filter=(
(id eq 'guid1' and ownerEmail eq 'ownerEmail1')
or (id eq 'guid2')
or (id eq 'guid3' and ownerEmail eq 'ownerEmail2')
)
Dieses $filter Muster ist eine Erweiterung der OData-Standardspezifikation. In Standard-OData wird das Kombinieren mehrerer Tupel mit or auf diese Weise in der Regel nicht unterstützt. Mit dieser API können Sie jedoch ein tupelbasiertes OR-Muster verwenden, bei dem jedes (id, ownerEmail) Paar unabhängig voneinander ausgewertet wird und die resultierenden Rechteinformationen zusammengeführt werden. Weitere Informationen zum OData-Standardverhalten $filter finden Sie in der OData-Spezifikation.
Es wird empfohlen, Filter zu verwenden, die einen einzelnen Aufruf mit mehreren IDs verwenden, um Rechte für mehrere Bezeichnungen abzurufen, da dadurch die Anzahl der API-Aufrufe reduziert wird, die Sie über Ihre App ausführen müssen.
ownerEmail ist optional und kann weggelassen werden, um nur Rechte auf Bezeichnungsebene abzurufen.
Regeln
Strenges OR-Muster
Nur die tupelbasierte Struktur, die durch OR-Vorgänge kombiniert wird, wie oben gezeigt, wird unterstützt.
Jede andere Kombination von OR-Vorgängen oder das Mischen von nicht verknüpften Filtern ist nicht zulässig und führt zu einer ArgumentException.
ownerEmail-Überprüfung
-
ownerEmailmuss immer zusammen mit einemidangezeigt werden. Die verwendung alleinownerEmailführt zu einemArgumentException.
-
Innere OR-Ausnahme
Sie können Klauseln mithilfe von Unterklauseln kombinieren. Hier sehen Sie ein Beispiel für eine Unterklausel: (id eq 'guid1' und ownerEmail eq 'ownerEmail1')
In diesem Beispiel gibt es drei Unterklauseln. Wenn Sie die ID und ownerEmail kombinieren, verwenden Sie AND in der Unterklausel. Verwenden Sie nicht ODER, andernfalls wird eine Ausnahme ausgelöst.
Vorfilterverhalten
- Wenn
orverwendet wird, werden dielocaleParameter undcontentFormats(sofern angegeben) zum Vorfiltern ignoriert.
- Wenn
Verhaltenszusammenfassung
| Fall | Beispiel | Beschreibung |
|---|---|---|
| Nur Bezeichnungs-ID | (id eq 'guid1') |
Gibt die für die Bezeichnung definierten Rechte zurück. |
| Bezeichnungs-ID + BesitzerE-Mail | (id eq 'guid1' and ownerEmail eq 'ownerEmail1') |
Wertet Die Rechte für den angegebenen Benutzer aus. |
| Mehrere Tupel | (id eq 'guid1' and ownerEmail eq 'ownerEmail1') or (id eq 'guid2') or (id eq 'guid3' and ownerEmail eq 'ownerEmail2') |
Kombinieren Sie Bedingungen mit OR. Gibt eine zusammengeführte Liste von Bezeichnungen und Rechten für alle übereinstimmend bezeichneten Bezeichnungen und Benutzer zurück. |
Szenario 3: Vertraulichkeitsbezeichnungsrechte /id/rights
Regeln
OR-Einschränkung mit ownerEmail
-
orVorgänge mit FilterparameternownerEmailführen zu einer Ausnahme.
-
Innere OR-Ausnahme
- Innere
orVorgänge, die unter die Parameterstruktur fallen, sind zulässig.
- Innere
isScopedToUser-Parameterregeln
In diesem Abschnitt werden das Verhalten und die Einschränkungen für den isScopedToUser Parameter in Vertraulichkeitsbezeichnungs-APIs beschrieben.
Parameterverhalten
isScopedToUser = true
- Ergebnis: Zeigt nur aktivierte Bezeichnungen an.
- Anwendungsfall: Standard Filtern nach aktiv/aktivierten Bezeichnungen
- Status: Empfohlene Verwendung
isScopedToUser = false
- Ergebnis: Zeigt nur deaktivierte Bezeichnungen an.
- Anwendungsfall: Eingeschränkt – idealerweise nicht mit diesem Wert verwendet
- Status: Nicht für typische Vorgänge empfohlen
isScopedToUser nicht übergeben
- Ergebnis: Zeigt alle Bezeichnungen an (sowohl aktiviert als auch deaktiviert)
- Anwendungsfall: Umfassendes Abrufen von Bezeichnungen
- Status: Standardverhalten, wenn parameter nicht angegeben wird
Einschränkungen
Ausnahme für Mandantenbezeichnungen
-
Verhalten: Beim Abrufen von Mandantenbezeichnungen löst die Verwendung von
isScopedToUserArgumentException - Ursache: Der Parameter gilt nicht für Bezeichnungsvorgänge auf Mandantenebene.
-
Lösung: Lassen Sie den
isScopedToUserParameter bei der Arbeit mit Mandantenbezeichnungen aus.
Beziehungen
| Beziehung | Typ | Beschreibung |
|---|---|---|
| Rechte | usageRightsIncluded | Stellt ggf. die für die Bezeichnung konfigurierten Nutzungsrechte (Berechtigungen) dar. |
| Untergeordnete Bezeichnungen | microsoft.graph.security.sensitivityLabel-Sammlung | Die Auflistung der untergeordneten Bezeichnungen, die der Bezeichnung zugeordnet sind. |
JSON-Darstellung
Die folgende JSON-Darstellung veranschaulicht den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.security.sensitivityLabel",
"actionSource": "String",
"applicableTo": "String",
"applicationMode": "String",
"assignedPolicies": [{"@odata.type": "microsoft.graph.labelPolicy"}],
"autoLabeling": {"@odata.type": "microsoft.graph.autoLabeling"},
"autoTooltip": "String",
"color": "String",
"description": "String",
"displayName": "String",
"hasProtection": "Boolean",
"id": "String (identifier)",
"isDefault": "Boolean",
"isEnabled": "Boolean",
"isEndpointProtectionEnabled": "Boolean",
"isScopedToUser": "Boolean",
"labelActions": [{"@odata.type": "microsoft.graph.encryptWithUserDefinedRights"}],
"locale": "String",
"name": "String",
"priority": "Int32",
"toolTip": "String"
}