Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El SDK de MIP usa dos servicios de Azure back-end para etiquetar y proteger. En el panel de Permisos de aplicación de Microsoft Entra, estos servicios son:
- Servicio de Azure Rights Management
- Servicio de sincronización de Information Protection de Microsoft Purview
Se deben conceder permisos de aplicación a una o varias API al usar el SDK de MIP para etiquetar y proteger. Varios escenarios de autenticación de aplicaciones pueden requerir permisos de aplicación diferentes. Para escenarios de autenticación de aplicaciones, consulte Escenarios de autenticación.
Para los permisos de aplicación en los que se requiera el consentimiento del administrador, se debe conceder el consentimiento del administrador para todo el inquilino. Para obtener más información, consulte la documentación de Microsoft Entra.
Permisos de aplicación
Los permisos de aplicación permiten que una aplicación de Microsoft Entra ID actúe como propia entidad, en lugar de en nombre de un usuario específico.
| Servicio | Nombre del permiso | Descripción | Consentimiento del administrador requerido |
|---|---|---|---|
| Servicio Azure Rights Management | Content.SuperUser | Leer todo el contenido protegido de este inquilino | Sí |
| Azure Rights Management Service | Content.DelegatedReader | Leer contenido protegido en nombre de un usuario | Sí |
| Servicio de Administración de Derechos de Azure | Content.DelegatedWriter | Creación de contenido protegido en nombre de un usuario | Sí |
| Servicio de Administración de Derechos de Azure | Redactor de Contenidos | Creación de contenido protegido | Sí |
| Servicio Azure de Administración de Derechos | Application.Read.All | El permiso no es necesario para el uso de MIPSDK | No aplicable |
| Servicio de sincronización de MIP | UnifiedPolicy.Tenant.Read | Leer todas las directivas unificadas del inquilino | Sí |
Content.SuperUser
Este permiso es necesario cuando se debe permitir que una aplicación descifre todo el contenido protegido para el inquilino específico. Algunos ejemplos de servicios que requieren Content.Superuser derechos son la prevención de pérdida de datos o los servicios de agente de seguridad de acceso a la nube que deben ver todo el contenido en texto no cifrado para tomar decisiones de directiva sobre dónde pueden fluir o almacenarse los datos.
Content.DelegatedWriter
Este permiso es necesario cuando se debe permitir que una aplicación cifre el contenido protegido por un usuario específico. Algunos ejemplos de servicios que requieren Content.DelegatedWriter derechos son aplicaciones de línea de negocio que necesitan cifrar contenido, en función de las directivas de etiquetas del usuario para aplicar etiquetas o cifrar contenido de forma nativa. Este permiso permite a la aplicación cifrar el contenido en el contexto del usuario.
Content.DelegatedReader
Este permiso es necesario cuando se debe permitir que una aplicación descifre todo el contenido protegido para un usuario específico. Algunos ejemplos de servicios que requieren Content.DelegatedReader derechos son aplicaciones de línea de negocio que necesitan descifrar contenido, en función de las directivas de etiquetas del usuario para mostrar el contenido de forma nativa. Este permiso permite a la aplicación descifrar y leer contenido en el contexto del usuario.
Redactor de Contenidos
Este permiso es necesario cuando se debe permitir que una aplicación enumere plantillas y cifre el contenido. Un servicio que intente enumerar plantillas sin este permiso recibirá un mensaje de token rechazado por parte del servicio. Ejemplos de servicios que requieren Content.writer son una aplicación de línea de negocio que aplica etiquetas de clasificación a archivos en la exportación. Content.Writer cifra el contenido como la identidad de la entidad de servicio y, por tanto, el propietario de los archivos protegidos será la identidad de la entidad de servicio.
UnifiedPolicy.Tenant.Read
Este permiso es necesario cuando se debe permitir que una aplicación descargue directivas de etiquetado unificadas para el inquilino. Ejemplos de servicios que requieren UnifiedPolicy.Tenant.Read son aplicaciones que necesitan trabajar con etiquetas como identidad de entidad de servicio.
Permisos delegados
Los permisos delegados permiten a una aplicación de Microsoft Entra ID realizar acciones en nombre de un usuario determinado.
| Servicio | Nombre del permiso | Descripción | Consentimiento del administrador requerido |
|---|---|---|---|
| Servicio Azure Rights Management | suplantación_de_usuario | Creación y acceso al contenido protegido para el usuario | No |
| Servicio de sincronización de MIP | UnifiedPolicy.User.Read | Leer todas las directivas unificadas a las que un usuario tiene acceso | No |
Suplantación_de_Usuario
Este permiso es necesario cuando se debe permitir que una aplicación pueda usar Azure Rights Management Services en nombre del usuario. Algunos ejemplos de servicios que requieren User_Impersonation derechos son aplicaciones que necesitan cifrar o acceder al contenido en función de las directivas de etiquetas del usuario para aplicar etiquetas o cifrar contenido de forma nativa.
UnifiedPolicy.User.Read
Este permiso es necesario cuando se debe permitir que una aplicación lea las directivas de etiquetado unificadas relacionadas con un usuario. Algunos ejemplos de servicios que requieren UnifiedPolicy.User.Read permisos son aplicaciones que necesitan cifrar y descifrar contenido, en función de las directivas de etiquetas del usuario.