Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le SDK MIP utilise deux services Azure principaux pour l’étiquetage et la protection. Dans le panneau Autorisations de l’application Microsoft Entra, ces services sont les suivants :
- Service de gestion des droits Azure
- Service de synchronisation Microsoft Purview Information Protection
Les autorisations d’application doivent être accordées à une ou plusieurs API lors de l’utilisation du Kit de développement logiciel (SDK) MIP pour l’étiquetage et la protection. Différents scénarios d’authentification d’application peuvent nécessiter des autorisations d’application différentes. Pour les scénarios d’authentification d’application, consultez scénarios d’authentification.
Le consentement administrateur de l'ensemble des locataires doit être accordé pour les permissions d'application lorsque le consentement de l'administrateur est requis. Pour plus d’informations, consultez la documentation Microsoft Entra.
Autorisations d’application
Les autorisations d’application permettent à une application dans Microsoft Entra ID d’agir en tant qu’entité propre, plutôt que pour le compte d’un utilisateur spécifique.
| Service | Nom de l’autorisation | Description | Consentement administrateur requis |
|---|---|---|---|
| Azure Rights Management Service | Content.SuperUser | Lire tout le contenu protégé pour ce locataire | Oui |
| Azure Rights Management Service | Content.DelegatedReader | Lire le contenu protégé pour le compte d’un utilisateur | Oui |
| Azure Rights Management Service | Content.DelegatedWriter | Créer du contenu protégé pour le compte d’un utilisateur | Oui |
| Service de gestion des droits Azure | Rédacteur de contenu | Créer du contenu protégé | Oui |
| Azure Rights Management Service | Application.Read.All | Autorisation non requise pour l’utilisation de MIPSDK | Sans objet |
| Service de synchronisation MIP | UnifiedPolicy.Tenant.Read | Lisez toutes les stratégies unifiées du locataire | Oui |
Content.SuperUser
Cette autorisation est requise lorsqu’une application doit être autorisée à déchiffrer tout le contenu protégé pour le locataire spécifique. Exemples de services qui nécessitent des Content.Superuser droits sont la protection contre la perte de données ou les services de service broker de sécurité d’accès cloud qui doivent afficher tout le contenu en texte clair pour prendre des décisions de stratégie sur l’endroit où ces données peuvent circuler ou être stockées.
Content.DelegatedWriter
Cette autorisation est requise lorsqu’une application doit être autorisée à chiffrer le contenu protégé par un utilisateur spécifique. Des exemples de services qui nécessitent des Content.DelegatedWriter droits sont des applications métier qui doivent chiffrer du contenu, en fonction des stratégies d’étiquette de l’utilisateur pour appliquer des étiquettes et ou chiffrer du contenu en mode natif. Cette autorisation permet à l’application de chiffrer du contenu dans le contexte de l’utilisateur.
Content.DelegatedReader
Cette autorisation est requise lorsqu’une application doit être autorisée à déchiffrer tout le contenu protégé pour un utilisateur spécifique. Les applications métier qui doivent déchiffrer du contenu en fonction des stratégies d'étiquettes de l'utilisateur pour afficher le contenu en mode natif sont des exemples de services qui nécessitent des droits Content.DelegatedReader. Cette autorisation permet à l’application de déchiffrer et de lire du contenu dans le contexte de l’utilisateur.
Rédacteur de contenu
Cette autorisation est requise lorsqu’une application doit être autorisée à répertorier les modèles et chiffrer le contenu. Un service qui tente de répertorier les modèles sans cette autorisation recevra un message de rejet de la part du service. Exemples de services nécessitant Content.writer une application métier qui applique des étiquettes de classification aux fichiers à l’exportation. Content.Writer chiffre le contenu en tant qu'identité principale du service, de sorte que le propriétaire des fichiers protégés sera l'identité principale du service.
UnifiedPolicy.Tenant.Read
Cette autorisation est requise lorsqu’une application doit être autorisée à télécharger des stratégies d’étiquetage unifiées pour le locataire. Les applications qui nécessitent de travailler avec des étiquettes en tant qu'identité principale de service sont des exemples de services qui requièrent UnifiedPolicy.Tenant.Read.
Autorisations déléguées
Les autorisations déléguées permettent à une application dans Microsoft Entra ID d’effectuer des actions pour le compte d’un utilisateur particulier.
| Service | Nom de l’autorisation | Description | Consentement administrateur requis |
|---|---|---|---|
| Azure Rights Management Service | usurpation d'identité utilisateur | Créer et accéder au contenu protégé pour l’utilisateur | Non |
| Service de synchronisation MIP | UnifiedPolicy.User.Read | Lire toutes les stratégies unifiées qu’un utilisateur a accès à | Non |
User_Impersonation
Cela est requis lorsque une application doit être autorisée à utiliser les services Azure Rights Management pour le compte de l'utilisateur. Par exemple, les services qui nécessitent des User_Impersonation droits sont des applications qui doivent chiffrer ou accéder au contenu, en fonction des stratégies d’étiquette de l’utilisateur pour appliquer des étiquettes ou chiffrer du contenu en mode natif.
UnifiedPolicy.User.Read
Cette autorisation est requise lorsqu’une application doit être autorisée à lire les stratégies d’étiquetage unifiées associées à un utilisateur. Exemples de services nécessitant des autorisations UnifiedPolicy.User.Read incluent des applications qui doivent chiffrer et déchiffrer du contenu en fonction des stratégies d’étiquette de l’utilisateur.