Microsoft Information Protection SDK에 대한 API 권한
MIP SDK는 레이블 지정 및 보호를 위해 두 개의 백 엔드 Azure 서비스를 사용합니다. Microsoft Entra 앱 권한 블레이드에서 이러한 서비스는 다음과 같습니다.
- Azure RMS(Rights Management Service)
- Microsoft Purview Information Protection 동기화 서비스
레이블 지정 및 보호를 위해 MIP SDK를 사용할 때 하나 이상의 API에 애플리케이션 권한을 부여해야 합니다. 다양한 애플리케이션 인증 시나리오에는 서로 다른 애플리케이션 권한이 필요할 수 있습니다. 애플리케이션 인증 시나리오는 인증 시나리오를 참조하세요.
관리자 동의가 필요한 애플리케이션 권한에 대해 테넌트 전체 관리자 동의를 부여해야 합니다. 자세한 내용은 Microsoft Entra 설명서를 참조 하세요.
애플리케이션 사용 권한
애플리케이션 권한을 사용하면 Microsoft Entra ID의 애플리케이션이 특정 사용자를 대신하는 것이 아니라 자체 엔터티로 작동할 수 있습니다.
| 서비스 | 권한 이름 | 설명 | 관리자 동의 필요 |
|---|---|---|---|
| Azure RMS(Rights Management Service) | Content.SuperUser | 이 테넌트에 대한 모든 보호되는 콘텐츠 읽기 | 예 |
| Azure RMS(Rights Management Service) | Content.DelegatedReader | 사용자를 대신하여 보호되는 콘텐츠 읽기 | 예 |
| Azure RMS(Rights Management Service) | Content.DelegatedWriter | 사용자를 대신하여 보호되는 콘텐츠 만들기 | 예 |
| Azure RMS(Rights Management Service) | Content.Writer | 보호되는 콘텐츠 만들기 | 예 |
| Azure RMS(Rights Management Service) | Application.Read.All | MIPSDK 사용에 대한 권한이 필요하지 않음 | 해당 없음 |
| MIP 동기화 서비스 | UnifiedPolicy.Tenant.Read | 테넌트에 대한 모든 통합 정책 읽기 | 예 |
Content.SuperUser
이 권한은 애플리케이션이 특정 테넌트에 대해 보호되는 모든 콘텐츠의 암호를 해독하도록 허용해야 하는 경우에 필요합니다. Content.Superuser 권한이 필요한 서비스의 예에는 데이터가 흐르거나 저장될 수 있는 위치에 대한 정책 결정을 내리기 위해 모든 콘텐츠를 일반 텍스트로 확인해야 하는 데이터 손실 방지 또는 클라우드 액세스 보안 브로커 서비스가 있습니다.
Content.DelegatedWriter
이 권한은 특정 사용자가 보호하는 콘텐츠를 암호화하도록 애플리케이션을 허용해야 하는 경우에 필요합니다. Content.DelegatedWriter 권한이 필요한 서비스의 예에는 기본적으로 레이블을 적용하거나 콘텐츠를 암호화하기 위한 사용자의 레이블 정책에 따라 콘텐츠를 암호화해야 하는 LOB(기간 업무) 애플리케이션이 있습니다. 이 권한을 통해 애플리케이션은 사용자 컨텍스트에서 콘텐츠를 암호화할 수 있습니다.
Content.DelegatedReader
이 권한은 애플리케이션이 특정 사용자에 대해 보호되는 모든 콘텐츠의 암호를 해독하도록 허용해야 하는 경우에 필요합니다. Content.DelegatedReader 권한이 필요한 서비스의 예에는 콘텐츠를 기본적으로 표시하기 위해 사용자의 레이블 정책에 따라 콘텐츠를 해독해야 하는 LOB(기간 업무) 애플리케이션이 있습니다. 이 권한은 애플리케이션이 사용자 컨텍스트에서 콘텐츠를 해독하고 읽을 수 있도록 합니다.
Content.Writer
이 권한은 애플리케이션이 템플릿을 나열하고 콘텐츠를 암호화하도록 허용되어야 하는 경우에 필요합니다. 이 권한 없이 템플릿을 나열하려는 서비스는 서비스에서 토큰 거부 메시지를 수신합니다. Content.writer가 필요한 서비스의 예에는 내보낼 때 분류 레이블을 파일에 적용하는 LOB(기간 업무) 애플리케이션이 있습니다. Content.Writer는 콘텐츠를 서비스 주체 ID로 암호화하므로 보호된 파일의 소유자가 서비스 주체 ID가 됩니다.
UnifiedPolicy.Tenant.Read
애플리케이션이 테넌트에 대한 통합 레이블 지정 정책을 다운로드하도록 허용해야 하는 경우 이 권한이 필요합니다. UnifiedPolicy.Tenant.Read가 필요한 서비스의 예에는 레이블을 서비스 주체 ID로 사용하는 작업이 필요한 애플리케이션이 있습니다.
위임된 권한
위임된 권한을 사용하면 Microsoft Entra ID의 애플리케이션이 특정 사용자를 대신하여 작업을 수행할 수 있습니다.
| 서비스 | 권한 이름 | 설명 | 관리자 동의 필요 |
|---|---|---|---|
| Azure RMS(Rights Management Service) | user_impersonation | 사용자를 위해 보호되는 콘텐츠 생성 및 액세스 | 아니요 |
| MIP 동기화 서비스 | UnifiedPolicy.User.Read | 사용자가 액세스할 수 있는 모든 통합 정책 읽기 | 아니요 |
User_Impersonation
이 권한은 사용자를 대신하여 Azure Rights Management Services를 사용하도록 애플리케이션을 허용해야 하는 경우에 필요합니다. User_Impersonation 권한이 필요한 서비스의 예에는 기본적으로 레이블을 적용하거나 콘텐츠를 암호화하기 위해 사용자의 레이블 정책에 따라 콘텐츠를 암호화하거나 액세스해야 하는 애플리케이션이 있습니다.
UnifiedPolicy.User.Read
이 권한은 애플리케이션이 사용자와 관련된 통합 레이블 지정 정책을 읽을 수 있도록 허용해야 하는 경우에 필요합니다. UnifiedPolicy.User.Read 권한이 필요한 서비스의 예에는 사용자의 레이블 정책에 따라 콘텐츠를 암호화하고 해독해야 하는 애플리케이션이 있습니다.