Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das MIP SDK verwendet zwei Back-End-Azure-Dienste für Bezeichnungen und Schutz. Im Bereich "Microsoft Entra-App-Berechtigungen" sind folgende Dienste:
- Azure Rights Management Service
- Microsoft Purview Information Protection-Synchronisierungsdienst
Anwendungsberechtigungen müssen einer oder mehreren APIs erteilt werden, wenn sie das MIP SDK für Bezeichnungen und Schutz verwenden. Für verschiedene Anwendungsauthentifizierungsszenarien sind möglicherweise unterschiedliche Anwendungsberechtigungen erforderlich. Anwendungsauthentifizierungsszenarien finden Sie unter Authentifizierungsszenarien.
Die mandantenweite Administratorzustimmung sollte für Anwendungsberechtigungen erteilt werden, bei denen eine Administratorzustimmung erforderlich ist. Weitere Informationen finden Sie in der Microsoft Entra-Dokumentation.
Anwendungsberechtigungen
Anwendungsberechtigungen ermöglichen es einer Anwendung in der Microsoft Entra-ID, als eigene Entität zu fungieren, anstatt im Namen eines bestimmten Benutzers.
| Service | Name der Berechtigung | Beschreibung | Administratoreinwilligung erforderlich |
|---|---|---|---|
| Azure Rights Management Service (Dienst für Rechtemanagement in Azure) | Content.SuperUser | Alle geschützten Inhalte für diesen Mandanten lesen | Ja |
| Azure Rights Management-Dienst | Content.DelegierterLeser | Lesen geschützter Inhalte im Namen eines Benutzers | Ja |
| Azure Rights Management Service | Content.DelegierterSchreiber | Erstellen geschützter Inhalte im Auftrag eines Benutzers | Ja |
| Azure Rights Management Dienst | Content.Writer | Erstellen geschützter Inhalte | Ja |
| Azure Rights Management Service (Rechteverwaltung) | Application.Read.All | Die Berechtigung ist für die MIPSDK-Verwendung nicht erforderlich. | Nicht zutreffend |
| MIP-Synchronisierungsdienst | UnifiedPolicy.Tenant.Read | Lesen Sie alle einheitlichen Richtlinien des Mandanten | Ja |
Content.SuperUser
Diese Berechtigung ist erforderlich, wenn eine Anwendung alle inhalte entschlüsseln darf, die für den jeweiligen Mandanten geschützt sind. Beispiele für Dienste, die Rechte erfordern Content.Superuser , sind Verhinderung von Datenverlust oder Cloudzugriffs-Sicherheitsbrokerdienste, die alle Inhalte im Klartext anzeigen müssen, um Richtlinienentscheidungen darüber zu treffen, wo diese Daten fließen oder gespeichert werden können.
Content.DelegatedWriter
Diese Berechtigung ist erforderlich, wenn eine Anwendung inhalte verschlüsseln darf, die von einem bestimmten Benutzer geschützt sind. Beispiele für Dienste, die Content.DelegatedWriter-Rechte erfordern, sind geschäftskritische Anwendungen, die Inhalte verschlüsseln müssen, basierend auf den Bezeichnungsrichtlinien des Benutzers, um Bezeichnungen anzuwenden und Inhalte nativ zu verschlüsseln. Mit dieser Berechtigung kann die Anwendung Inhalte im Kontext des Benutzers verschlüsseln.
Content.DelegatedReader
Diese Berechtigung ist erforderlich, wenn eine Anwendung alle für einen bestimmten Benutzer geschützten Inhalte entschlüsseln darf. Beispiele für Dienste, die Rechte erfordern Content.DelegatedReader , sind Branchenanwendungen, die Inhalte entschlüsseln müssen, basierend auf den Bezeichnungsrichtlinien des Benutzers, um den Inhalt nativ anzuzeigen. Mit dieser Berechtigung kann die Anwendung Inhalte im Kontext des Benutzers entschlüsseln und lesen.
Content.Writer
Diese Berechtigung ist erforderlich, wenn eine Anwendung Listenvorlagen auflisten und Inhalte verschlüsseln darf. Ein Dienst, der versucht, Vorlagen ohne diese Berechtigung aufzulisten, erhält eine Meldung über einen verweigerten Token vom Dienst. Beispiele für Dienste, die eine Geschäftsanwendung erfordern, Content.writer welche Klassifizierungsbezeichnungen beim Export auf Dateien anwendet. Content.Writer verschlüsselt den Inhalt als Dienstprinzipalidentität, sodass der Besitzer der geschützten Dateien die Dienstprinzipalidentität ist.
UnifiedPolicy.Tenant.Read
Diese Berechtigung ist erforderlich, wenn eine Anwendung einheitliche Bezeichnungsrichtlinien für den Mandanten herunterladen darf. Beispiele für Dienste, die UnifiedPolicy.Tenant.Read erfordern, sind Anwendungen, die mit Bezeichnungen als Dienstprinzipalidentität arbeiten müssen.
Delegierte Berechtigungen
Delegierte Berechtigungen ermöglichen es einer Anwendung in microsoft Entra ID, Aktionen im Namen eines bestimmten Benutzers auszuführen.
| Service | Name der Berechtigung | Beschreibung | Administratoreinwilligung erforderlich |
|---|---|---|---|
| Azure Rights Management Service | Benutzerimitation | Erstellen und Zugreifen auf geschützte Inhalte für den Benutzer | No |
| MIP-Synchronisierungsdienst | UnifiedPolicy.User.Read | Lesen aller einheitlichen Richtlinien, auf die ein Benutzer Zugriff hat | No |
Benutzerimitation
Diese Berechtigung ist erforderlich, wenn eine Anwendung im Namen des Benutzers die Azure Rights Management-Dienste nutzen darf. Beispiele für Dienste, die Rechte erfordern User_Impersonation , sind Anwendungen, die basierend auf den Bezeichnungsrichtlinien des Benutzers verschlüsseln oder auf Inhalte zugreifen müssen, um Bezeichnungen anzuwenden oder inhalte nativ zu verschlüsseln.
UnifiedPolicy.User.Read
Diese Berechtigung ist erforderlich, wenn eine Anwendung einheitlichen Bezeichnungsrichtlinien für einen Benutzer lesen darf. Beispiele für Dienste, die Berechtigungen erfordern UnifiedPolicy.User.Read , sind Anwendungen, die Inhalte basierend auf den Bezeichnungsrichtlinien des Benutzers verschlüsseln und entschlüsseln müssen.