MIP SDK는 레이블 지정 및 보호를 위해 두 개의 백 엔드 Azure 서비스를 사용합니다. Microsoft Entra 앱 권한 블레이드에서 이러한 서비스는 다음과 같습니다.
- Azure 권한 관리 서비스
- Microsoft Purview Information Protection 동기화 서비스
레이블 지정 및 보호를 위해 MIP SDK를 사용하는 경우 하나 이상의 API에 애플리케이션 권한을 부여해야 합니다. 다양한 애플리케이션 인증 시나리오에는 다른 애플리케이션 권한이 필요할 수 있습니다. 애플리케이션 인증 시나리오는 인증 시나리오를 참조하세요.
관리자 동의가 필요한 애플리케이션 권한에 대해 테넌트 전체 관리자 동의를 부여해야 합니다. 자세한 내용은 Microsoft Entra 설명서를 참조하세요.
애플리케이션 사용 권한
애플리케이션 권한을 사용하면 Microsoft Entra ID의 애플리케이션이 특정 사용자를 대신하는 것이 아니라 자체 엔터티로 작동할 수 있습니다.
| 서비스 | 권한 이름 | 설명 | 관리자 동의 필요 |
|---|---|---|---|
| Azure 권한 관리 서비스 | Content.SuperUser | 이 테넌트에 대한 모든 보호된 콘텐츠 읽기 | 예 |
| Azure 권한 관리 서비스 | 콘텐츠.위임된리더 | 사용자를 대신하여 보호된 콘텐츠 읽기 | 예 |
| Azure 권한 관리 서비스 | There are no proposed improvements as the term should remain as "Content.DelegatedWriter" for accuracy and clarity in a technical context. | 사용자를 대신하여 보호된 콘텐츠 만들기 | 예 |
| Azure 권한 관리 서비스 | 컨텐츠 작성자 | 보호된 콘텐츠 만들기 | 예 |
| Azure 권한 관리 서비스 | Application.Read.All | MIPSDK 사용에는 권한이 필요하지 않습니다. | 해당 없음 |
| MIP 동기화 서비스 | 통합 정책.테넌트.읽기 | 테넌트 통합 정책 모두 읽기 | 예 |
Content.SuperUser
이 권한은 애플리케이션이 특정 테넌트에 대해 보호된 모든 콘텐츠의 암호를 해독하도록 허용해야 하는 경우에 필요합니다. 권한이 필요한 Content.Superuser 서비스의 예로는 데이터가 흐르거나 저장될 수 있는 위치에 대한 정책 결정을 내리기 위해 모든 콘텐츠를 일반 텍스트로 확인해야 하는 데이터 손실 방지 또는 클라우드 액세스 보안 브로커 서비스가 있습니다.
There are no proposed improvements as the term should remain as "Content.DelegatedWriter" for accuracy and clarity in a technical context.
이 권한은 애플리케이션이 특정 사용자에 의해 보호되는 콘텐츠를 암호화하도록 허용해야 하는 경우에 필요합니다. 권한이 필요한 Content.DelegatedWriter 서비스의 예로는 사용자의 레이블 정책에 따라 레이블을 적용하거나 기본적으로 콘텐츠를 암호화해야 하는 업무용 애플리케이션이 있습니다. 이 권한을 통해 애플리케이션은 사용자의 컨텍스트에서 콘텐츠를 암호화할 수 있습니다.
콘텐츠.위임된리더
이 권한은 애플리케이션이 특정 사용자에 대해 보호된 모든 콘텐츠의 암호를 해독하도록 허용해야 하는 경우에 필요합니다. 권한이 필요한 Content.DelegatedReader 서비스의 예로는 사용자의 레이블 정책에 따라 콘텐츠의 암호를 해독하여 원본 형식으로 표시해야 하는 업무용 애플리케이션이 있습니다. 이 권한을 사용하면 애플리케이션이 사용자의 컨텍스트에서 콘텐츠를 해독하고 읽을 수 있습니다.
콘텐츠 작가
이 권한은 애플리케이션이 템플릿을 나열하고 콘텐츠를 암호화하도록 허용해야 하는 경우에 필요합니다. 이 권한 없이 템플릿을 나열하려는 서비스는 서비스에서 거부된 토큰 메시지를 받게 됩니다. 필요한 Content.writer 서비스의 예로는 내보내기 시 파일에 분류 레이블을 적용하는 LOB(기간 업무) 애플리케이션이 있습니다. Content.Writer는 콘텐츠를 서비스 주체 ID로 암호화하므로 보호된 파일의 소유자는 서비스 주체 ID가 됩니다.
UnifiedPolicy.Tenant.Read
이 권한은 애플리케이션이 테넌트에 대한 통합 레이블 지정 정책을 다운로드하도록 허용해야 하는 경우에 필요합니다. 필요한 UnifiedPolicy.Tenant.Read 서비스의 예로는 레이블을 서비스 주체 ID로 사용해야 하는 애플리케이션이 있습니다.
위임된 권한
위임된 권한을 사용하면 Microsoft Entra ID의 애플리케이션이 특정 사용자를 대신하여 작업을 수행할 수 있습니다.
| 서비스 | 권한 이름 | 설명 | 관리자 동의 필요 |
|---|---|---|---|
| Azure 권한 관리 서비스 | 사용자 사칭 | 사용자에 대한 보호된 콘텐츠 만들기 및 액세스 | 아니오 |
| MIP 동기화 서비스 | UnifiedPolicy.User.Read | 사용자가 액세스할 수 있는 모든 통합 정책을 읽습니다. | 아니오 |
사용자 사칭
이 권한은 애플리케이션이 사용자를 대신하여 Azure Rights Management Services 사용자에게 허용되어야 하는 경우에 필요합니다. 권한이 필요한 User_Impersonation 서비스의 예로는 레이블을 적용하거나 기본적으로 콘텐츠를 암호화하기 위해 사용자의 레이블 정책에 따라 콘텐츠를 암호화하거나 액세스해야 하는 애플리케이션이 있습니다.
UnifiedPolicy.User.Read
이 권한은 애플리케이션이 사용자와 관련된 통합 레이블 지정 정책을 읽을 수 있어야 하는 경우에 필요합니다. 사용 권한이 필요한 UnifiedPolicy.User.Read 서비스의 예로는 사용자의 레이블 정책에 따라 콘텐츠를 암호화하고 암호를 해독해야 하는 애플리케이션이 있습니다.