Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O SDK do MIP usa dois serviços do Azure de back-end para rotulagem e proteção. Na folha de permissões do aplicativo Microsoft Entra, esses serviços são:
- Serviço de Gerenciamento de Direitos do Azure
- Serviço de Sincronização de Proteção de Informações do Microsoft Purview
As permissões de aplicativo devem ser concedidas a uma ou mais APIs ao usar o SDK do MIP para rotulagem e proteção. Vários cenários de autenticação de aplicativo podem exigir permissões de aplicativo diferentes. Para cenários de autenticação de aplicativo, consulte cenários de autenticação.
O consentimento do administrador em todo o locatário deve ser concedido para permissões de aplicativo nas quais o consentimento do administrador é necessário. Para obter mais informações, consulte a documentação do Microsoft Entra.
Permissões do Aplicativo
As permissões de aplicativo permitem que um aplicativo na ID do Microsoft Entra atue como sua própria entidade, em vez de em nome de um usuário específico.
| Serviço | Nome da permissão | Descrição | Consentimento do administrador obrigatório |
|---|---|---|---|
| Serviço do Azure Rights Management | Content.SuperUser | Ler todo o conteúdo protegido para esse locatário | Yes |
| Serviço de Gerenciamento de Direitos do Microsoft Azure | Content.DelegatedReader | Ler o conteúdo protegido em nome de um usuário | Yes |
| Serviço de Gerenciamento de Direitos do Azure | Content.DelegatedWriter | Criar conteúdo protegido em nome de um usuário | Yes |
| Serviço de Gerenciamento de Direitos do Azure | Redator de Conteúdo | Criar conteúdo protegido | Yes |
| O serviço Azure Rights Management | Application.Read.All | Permissão não necessária para uso do MIPSDK | Não aplicável |
| Serviço de Sincronização de MIP | UnifiedPolicy.Tenant.Read | Ler todas as políticas unificadas do locatário | Yes |
Content.SuperUser
Essa permissão é necessária quando um aplicativo deve ter permissão para descriptografar todo o conteúdo protegido para o locatário específico. Exemplos de serviços que exigem direitos de Content.Superuser são prevenção contra perda de dados ou serviços de agente de segurança de acesso à nuvem que devem visualizar todo o conteúdo em texto não criptografado para tomar decisões de política sobre onde esses dados podem fluir ou ser armazenados.
Content.DelegatedWriter
Essa permissão é necessária quando um aplicativo deve ter permissão para criptografar o conteúdo protegido por um usuário específico. Exemplos de serviços que exigem Content.DelegatedWriter direitos são aplicativos de linha de negócios que precisam criptografar o conteúdo, com base nas políticas de rótulo do usuário para aplicar rótulos e ou criptografar conteúdo nativamente. Essa permissão permite que o aplicativo criptografe o conteúdo no contexto do usuário.
Content.DelegatedReader
Essa permissão é necessária quando um aplicativo deve ter permissão para descriptografar todo o conteúdo protegido para um usuário específico. Exemplos de serviços que exigem direitos de Content.DelegatedReader são aplicativos de linha de negócios que precisam descriptografar conteúdo com base nas políticas de rótulo do usuário para exibir o conteúdo nativamente. Essa permissão permite que o aplicativo descriptografe e leia conteúdo no contexto do usuário.
Redator de Conteúdo
Essa permissão é necessária quando um aplicativo deve ter permissão para listar modelos e criptografar conteúdo. Um serviço que tentar listar modelos sem essa permissão receberá uma mensagem de token rejeitado do serviço. Exemplos de serviços que exigem Content.writer são aplicativos de linha de negócios que aplica rótulos de classificação a arquivos na exportação. Content.Writer criptografa o conteúdo como a identidade principal de serviço e, assim, o proprietário dos arquivos protegidos será a identidade principal de serviço.
UnifiedPolicy.Tenant.Read
Essa permissão é necessária quando um aplicativo deve ter permissão para baixar políticas de rotulagem unificadas para o locatário. Exemplos de serviços que exigem UnifiedPolicy.Tenant.Read são aplicativos que precisam utilizar rótulos como identidade principal de serviço.
Permissões Delegadas
As permissões delegadas permitem que um aplicativo na ID do Microsoft Entra execute ações em nome de um usuário específico.
| Serviço | Nome da permissão | Descrição | Consentimento do administrador obrigatório |
|---|---|---|---|
| Serviço de Gerenciamento de Direitos do Azure | user_impersonation | Criar e acessar conteúdo protegido para o usuário | Não |
| Serviço de Sincronização de MIP | UnifiedPolicy.User.Read | Ler todas as políticas unificadas às quais um usuário tem acesso | Não |
User_Impersonation
Essa permissão é necessária quando um aplicativo deve ser permitido para usar o Azure Rights Management Services em nome do usuário. Exemplos de serviços que exigem User_Impersonation direitos são aplicativos que precisam criptografar ou acessar conteúdo, com base nas políticas de rótulo do usuário para aplicar rótulos ou criptografar conteúdo nativamente.
UnifiedPolicy.User.Read
Essa permissão é necessária quando um aplicativo deve ter permissão para ler políticas de rotulagem unificadas relacionadas a um usuário. Exemplos de serviços que exigem UnifiedPolicy.User.Read permissões são aplicativos que precisam criptografar e descriptografar conteúdo, com base nas políticas de rótulo do usuário.