API-Berechtigungen für das Microsoft Information Protection SDK

Das MIP SDK verwendet zwei Back-End-Azure-Dienste für Bezeichnung und Schutz. Im Blatt „Microsoft Entra-App-Berechtigungen“ sind die folgenden Dienste:

  • Azure Rights Management Service
  • Microsoft Purview Information Protection Synchronisationsdienst

Anwendungsberechtigungen müssen einer oder mehreren APIs erteilt werden, wenn sie das MIP SDK für Bezeichnung und Schutz verwenden. Verschiedene Anwendungsauthentifizierungsszenarien erfordern möglicherweise unterschiedliche Anwendungsberechtigungen. Für Anwendungsauthentifizierungsszenarien, siehe Authentifizierungsszenarien.

Mandantenweite Administratorberechtigungen sollten für Anwendungsberechtigungen gewährt werden, bei denen Administrator-Zustimmung erforderlich ist. Weitere Informationen finden Sie in der Microsoft Entra-Dokumentation.

Anwendungsberechtigungen

Anwendungsberechtigungen ermöglichen es einer Anwendung in Microsoft Entra ID, als eigene Entität und nicht im Namen eines bestimmten Benutzers zu handeln.

Dienst Name der Berechtigung Beschreibung Administratoreinwilligung erforderlich
Azure Rights Management Service Content.SuperUser Alle geschützten Inhalte für diesen Mandanten lesen Ja
Azure Rights Management Service Content.DelegatedReader Lesen geschützter Inhalte im Auftrag eines Benutzers Ja
Azure Rights Management Service Content.DelegatedWriter Erstellen von geschützten Inhalten im Auftrag eines Benutzers Ja
Azure Rights Management Service Content.Writer Erstellen geschützter Inhalte Ja
Azure Rights Management Service Application.Read.All Die Berechtigung ist für die Verwendung von MIPSDK nicht erforderlich. Nicht zutreffend
MIP Sync Service UnifiedPolicy.Tenant.Read Lesen aller einheitlichen Richtlinien des Mandanten Ja

Content.SuperUser

Diese Berechtigung ist erforderlich, wenn eine Anwendung alle für den bestimmten Mandanten geschützten Inhalte entschlüsseln darf. Beispiele für Dienste, die Content.Superuser Rechte erfordern, sind Dienste zur Verhinderung von Datenverlusten oder Cloud Access Security Broker-Dienste, die alle Inhalte im Klartext anzeigen müssen, um Richtlinienentscheidungen darüber zu treffen, wohin diese Daten fließen oder gespeichert werden dürfen.

Content.DelegatedWriter

Diese Berechtigung ist erforderlich, wenn eine Anwendung berechtigt sein muss, Inhalte zu verschlüsseln, die von einem bestimmten Benutzer geschützt sind. Beispiele für Dienste, die Content.DelegatedWriter-Rechte benötigen, sind Geschäftsanwendungen, die Inhalte verschlüsseln müssen, auf der Grundlage der Bezeichnungsrichtlinien des Benutzers, um Bezeichnungen anzuwenden und/oder Inhalte nativ zu verschlüsseln. Diese Berechtigung ermöglicht es der Anwendung, Inhalte im Kontext des Benutzers zu verschlüsseln.

Content.DelegatedReader

Diese Berechtigung ist erforderlich, wenn eine Anwendung alle für einen bestimmten Benutzer geschützten Inhalte entschlüsseln darf. Beispiele für Dienste, die Content.DelegatedReader Rechte benötigen, sind Geschäftsanwendungen, die Inhalte auf der Grundlage der Bezeichnungsrichtlinien des Benutzers entschlüsseln müssen, um die Inhalte nativ anzuzeigen. Diese Berechtigung ermöglicht es der Anwendung, Inhalte im Kontext des Benutzers zu entschlüsseln und zu lesen.

Content.Writer

Diese Berechtigung ist erforderlich, wenn eine Anwendung Vorlagen auflisten und Inhalte verschlüsseln muss. Ein Dienst, der versucht, Vorlagen ohne diese Berechtigung auflisten zu können, erhält eine vom Dienst abgelehnte Nachricht. Beispiele für Dienste, die Content.writer benötigen, sind Geschäftsanwendungen, die Dateien beim Export mit Klassifizierungsetiketten versehen. Content.Writer verschlüsselt den Inhalt als Dienstprinzipalidentität und so ist der Besitzer der geschützten Dateien die Dienstprinzipalidentität.

UnifiedPolicy.Tenant.Read

Diese Berechtigung ist erforderlich, wenn eine Anwendung einheitliche Bezeichnungsrichtlinien für den Mandanten herunterladen darf. Beispiele für Dienste, die UnifiedPolicy.Tenant.Read benötigen, sind Anwendungen, die mit Bezeichnungen als Dienstprinzipalidentität arbeiten müssen.

Delegierte Berechtigungen

Delegierte Berechtigungen ermöglichen es einer Anwendung in Microsoft Entra ID, Aktionen im Auftrag eines bestimmten Benutzers auszuführen.

Dienst Name der Berechtigung Beschreibung Administratoreinwilligung erforderlich
Azure Rights Management Service user_impersonation Erstellen und Zugreifen auf geschützte Inhalte für den Benutzer Nein
MIP Sync Service UnifiedPolicy.User.Read Lesen aller einheitlichen Richtlinien, auf die ein Benutzer Zugriff hat Nein

User_Impersonation (Benutzer_Impersonation)

Diese Berechtigung ist erforderlich, wenn eine Anwendung azure Rights Management Services im Auftrag des Benutzers verwenden darf. Beispiele für Dienste, die User_Impersonation Rechte benötigen, sind Anwendungen, die Inhalte verschlüsseln oder darauf zugreifen müssen, basierend auf den Bezeichnungsrichtlinien des Benutzers, um Bezeichnungen anzuwenden oder Inhalte nativ zu verschlüsseln.

UnifiedPolicy.User.Read

Diese Berechtigung ist erforderlich, wenn eine Anwendung einheitliche Bezeichnungsrichtlinien im Zusammenhang mit einem Benutzer lesen darf. Beispiele für Dienste, die UnifiedPolicy.User.Read Berechtigungen benötigen, sind Anwendungen, die Inhalte auf der Grundlage der Bezeichnungsrichtlinien des Benutzers ver- und entschlüsseln müssen.