API-Berechtigungen für das Microsoft Information Protection SDK
Das MIP SDK verwendet zwei Back-End-Azure-Dienste für Bezeichnung und Schutz. Im Blatt „Microsoft Entra-App-Berechtigungen“ sind die folgenden Dienste:
- Azure Rights Management Service
- Microsoft Purview Information Protection Synchronisationsdienst
Anwendungsberechtigungen müssen einer oder mehreren APIs erteilt werden, wenn sie das MIP SDK für Bezeichnung und Schutz verwenden. Verschiedene Anwendungsauthentifizierungsszenarien erfordern möglicherweise unterschiedliche Anwendungsberechtigungen. Für Anwendungsauthentifizierungsszenarien, siehe Authentifizierungsszenarien.
Mandantenweite Administratorberechtigungen sollten für Anwendungsberechtigungen gewährt werden, bei denen Administrator-Zustimmung erforderlich ist. Weitere Informationen finden Sie in der Microsoft Entra-Dokumentation.
Anwendungsberechtigungen
Anwendungsberechtigungen ermöglichen es einer Anwendung in Microsoft Entra ID, als eigene Entität und nicht im Namen eines bestimmten Benutzers zu handeln.
| Dienst | Name der Berechtigung | Beschreibung | Administratoreinwilligung erforderlich |
|---|---|---|---|
| Azure Rights Management Service | Content.SuperUser | Alle geschützten Inhalte für diesen Mandanten lesen | Ja |
| Azure Rights Management Service | Content.DelegatedReader | Lesen geschützter Inhalte im Auftrag eines Benutzers | Ja |
| Azure Rights Management Service | Content.DelegatedWriter | Erstellen von geschützten Inhalten im Auftrag eines Benutzers | Ja |
| Azure Rights Management Service | Content.Writer | Erstellen geschützter Inhalte | Ja |
| Azure Rights Management Service | Application.Read.All | Die Berechtigung ist für die Verwendung von MIPSDK nicht erforderlich. | Nicht zutreffend |
| MIP Sync Service | UnifiedPolicy.Tenant.Read | Lesen aller einheitlichen Richtlinien des Mandanten | Ja |
Content.SuperUser
Diese Berechtigung ist erforderlich, wenn eine Anwendung alle für den bestimmten Mandanten geschützten Inhalte entschlüsseln darf. Beispiele für Dienste, die Content.Superuser Rechte erfordern, sind Dienste zur Verhinderung von Datenverlusten oder Cloud Access Security Broker-Dienste, die alle Inhalte im Klartext anzeigen müssen, um Richtlinienentscheidungen darüber zu treffen, wohin diese Daten fließen oder gespeichert werden dürfen.
Content.DelegatedWriter
Diese Berechtigung ist erforderlich, wenn eine Anwendung berechtigt sein muss, Inhalte zu verschlüsseln, die von einem bestimmten Benutzer geschützt sind. Beispiele für Dienste, die Content.DelegatedWriter-Rechte benötigen, sind Geschäftsanwendungen, die Inhalte verschlüsseln müssen, auf der Grundlage der Bezeichnungsrichtlinien des Benutzers, um Bezeichnungen anzuwenden und/oder Inhalte nativ zu verschlüsseln. Diese Berechtigung ermöglicht es der Anwendung, Inhalte im Kontext des Benutzers zu verschlüsseln.
Content.DelegatedReader
Diese Berechtigung ist erforderlich, wenn eine Anwendung alle für einen bestimmten Benutzer geschützten Inhalte entschlüsseln darf. Beispiele für Dienste, die Content.DelegatedReader Rechte benötigen, sind Geschäftsanwendungen, die Inhalte auf der Grundlage der Bezeichnungsrichtlinien des Benutzers entschlüsseln müssen, um die Inhalte nativ anzuzeigen. Diese Berechtigung ermöglicht es der Anwendung, Inhalte im Kontext des Benutzers zu entschlüsseln und zu lesen.
Content.Writer
Diese Berechtigung ist erforderlich, wenn eine Anwendung Vorlagen auflisten und Inhalte verschlüsseln muss. Ein Dienst, der versucht, Vorlagen ohne diese Berechtigung auflisten zu können, erhält eine vom Dienst abgelehnte Nachricht. Beispiele für Dienste, die Content.writer benötigen, sind Geschäftsanwendungen, die Dateien beim Export mit Klassifizierungsetiketten versehen. Content.Writer verschlüsselt den Inhalt als Dienstprinzipalidentität und so ist der Besitzer der geschützten Dateien die Dienstprinzipalidentität.
UnifiedPolicy.Tenant.Read
Diese Berechtigung ist erforderlich, wenn eine Anwendung einheitliche Bezeichnungsrichtlinien für den Mandanten herunterladen darf. Beispiele für Dienste, die UnifiedPolicy.Tenant.Read benötigen, sind Anwendungen, die mit Bezeichnungen als Dienstprinzipalidentität arbeiten müssen.
Delegierte Berechtigungen
Delegierte Berechtigungen ermöglichen es einer Anwendung in Microsoft Entra ID, Aktionen im Auftrag eines bestimmten Benutzers auszuführen.
| Dienst | Name der Berechtigung | Beschreibung | Administratoreinwilligung erforderlich |
|---|---|---|---|
| Azure Rights Management Service | user_impersonation | Erstellen und Zugreifen auf geschützte Inhalte für den Benutzer | Nein |
| MIP Sync Service | UnifiedPolicy.User.Read | Lesen aller einheitlichen Richtlinien, auf die ein Benutzer Zugriff hat | Nein |
User_Impersonation (Benutzer_Impersonation)
Diese Berechtigung ist erforderlich, wenn eine Anwendung azure Rights Management Services im Auftrag des Benutzers verwenden darf. Beispiele für Dienste, die User_Impersonation Rechte benötigen, sind Anwendungen, die Inhalte verschlüsseln oder darauf zugreifen müssen, basierend auf den Bezeichnungsrichtlinien des Benutzers, um Bezeichnungen anzuwenden oder Inhalte nativ zu verschlüsseln.
UnifiedPolicy.User.Read
Diese Berechtigung ist erforderlich, wenn eine Anwendung einheitliche Bezeichnungsrichtlinien im Zusammenhang mit einem Benutzer lesen darf. Beispiele für Dienste, die UnifiedPolicy.User.Read Berechtigungen benötigen, sind Anwendungen, die Inhalte auf der Grundlage der Bezeichnungsrichtlinien des Benutzers ver- und entschlüsseln müssen.