Microsoft 資訊保護 (MIP) SDK 安裝程式和設定

快速入門和教學課程文章以建置使用 MIP SDK 連結庫和 API 的應用程式為中心。 本文說明如何設定及設定 Microsoft 365 訂閱和用戶端工作站,以準備使用 SDK。

必要條件

開始之前,請務必先檢閱下列主題:

重要

若要接受使用者隱私權,您必須要求使用者同意,才能啟用自動記錄。 下列範例是 Microsoft 用於記錄通知的標準訊息:

藉由開啟錯誤和效能記錄,您同意將錯誤和效能數據傳送給 Microsoft。 Microsoft 會透過因特網收集錯誤和效能資料(「數據」)。 Microsoft 會使用此數據來提供及改善 Microsoft 產品和服務的品質、安全性和完整性。 例如,我們會分析效能和可靠性,例如您使用的功能、功能回應速度、裝置效能、使用者介面互動,以及您產品遇到的任何問題。 數據也會包含軟體設定的相關信息,例如您目前正在執行的軟體,以及IP位址。

註冊 Office 365 訂閱

許多 SDK 範例都需要存取 Office 365 訂用帳戶。 如果您尚未註冊,請務必註冊下列其中一種訂用帳戶類型:

名稱 註冊
Office 365 企業版 E3 試用版 (30 天免費試用) https://go.microsoft.com/fwlink/p/?LinkID=403802
Office 365 企業版 E3 或 E5 https://www.microsoft.com/microsoft-365/enterprise/office-365-e3
Enterprise Mobility and Security E3 或 E5 https://www.microsoft.com/security
Azure 資訊保護 進階版 P1 或 P2 安全性與合規性的 Microsoft 365 授權指引
Microsoft 365 E3、E5 或 F1 https://www.microsoft.com/microsoft-365/enterprise/microsoft365-plans-and-pricing

設定敏感度標籤

如果您目前使用 Azure 資訊保護,您必須將標籤移轉至 Office 365 安全性與合規性中心。 如需此程式的詳細資訊,請參閱如何將 Azure 資訊保護 標籤移轉至 Office 365 安全性與合規性中心

設定用戶端工作站

接下來,完成下列步驟,以確保用戶端計算機已正確設定及設定。

  1. 如果您使用 Windows 10 工作站:

    使用 Windows Update,將您的電腦更新為 Windows 10 Fall Creators Update(版本 1709)或更新版本。 若要確認您目前的版本:

    • 按兩下左下方的 Windows 圖示。
    • 輸入 「關於您的計算機」,然後按 「Enter」 鍵。
    • 向下捲動至 Windows 規格,並在 [版本] 底下查看。
  2. 如果您使用 Windows 11 或 Windows 10 工作站:

    確定工作站上已啟用「開發人員模式」:

    • 按兩下左下方的 Windows 圖示。
    • 當您看到 [使用開發人員功能 ] 項目顯示時,輸入 「使用開發人員功能」,然後按下 “Enter” 鍵。
    • 在 [設定] 對話方塊的 [針對開發人員] 索引卷標的 [使用開發人員功能] 底下,選取 [開發人員模式] 選項。
    • 關閉設定對話方塊。
  3. 安裝 Visual Studio 2019,其中包含下列工作負載和選用元件:

    • 通用 Windows 平台開發Windows 工作負載,加上下列選用元件:

      • C++ 通用 Windows 平台 工具
      • Windows 10 SDK 10.0.16299.0 SDK 或更新版本,如果未預設包含
    • 使用 C++ Windows 工作負載進行桌面開發,以及下列選用元件:

      • Windows 10 SDK 10.0.16299.0 SDK 或更新版本,如果未預設包含

      Visual Studio setup

  4. 安裝 ADAL.PS PowerShell 模組

    • 因為需要系統管理員許可權才能安裝模組,您必須先執行下列其中一項:

      • 使用具有 管理員 istrator 許可權的帳戶登入您的電腦。
      • 使用提高的許可權執行 Windows PowerShell 會話(以 管理員 istrator 身分執行)。
    • 然後執行 install-module -name adal.ps Cmdlet:

      PS C:\WINDOWS\system32> install-module -name adal.ps
      
      Untrusted repository
      You are installing the modules from an untrusted repository. If you trust this repository, change its
      InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from
      'PSGallery'?
      [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): A
      
      PS C:\WINDOWS\system32>
      
  5. 下載檔案:

    下列平台上支援 MIP SDK,每個支援的平台/語言都有個別的下載:

    作業系統 版本 下載 備註
    Ubuntu 20.04 C++ tar.gz
    Java (預覽) tar.gz
    .NET Core NuGet (預覽)
    Ubuntu 22.04 C++ tar.gz
    Java (預覽) tar.gz
    .NET Core NuGet (預覽)
    RedHat Enterprise Linux 8 和 9 C++ tar.gz
    Debian 10 和 11 C++ tar.gz
    macOS 所有支援的版本 C++ .zip Xcode 開發需要 13 或更新。
    Windows 所有支援的版本,32/64 位 C++
    C++/.NET NuGet
    Java (預覽) .zip
    Android 9.0 和更新版本 C++ .zip 僅限保護和原則 SDK。
    iOS 所有支援的版本 C++ .zip 僅限保護和原則 SDK。

    Tar.gz/.Zip 下載

    Tar.gz 和 。Zip 下載包含壓縮檔案,每個 API 各一個。 壓縮檔案的名稱如下,其中 API = 、、 或 與 OS = 平臺:。fileprotection><mip_sdk_<API>_<OS>_1.0.0.0.zip (or .tar.gz)><upe 例如,Debian 上的 Protection SDK 二進位檔和標頭檔案會是: mip_sdk_protection_debian9_1.0.0.0.tar.gz。 每個包含的 .tar.gz/.zip 會分割成三個目錄:

    • Bins: 適用於每個平台架構的已編譯二進位檔。
    • 包括: 頭檔 (C++)。
    • 範例: 範例應用程式的原始程式碼。

    NuGet 套件

    如果您要進行Visual Studio開發,也可以透過NuGet 封裝管理員 主控台安裝 SDK:

    Install-Package Microsoft.InformationProtection.File
    Install-Package Microsoft.InformationProtection.Policy
    Install-Package Microsoft.InformationProtection.Protection
    
  6. 如果您未使用 NuGet 套件,請將 SDK 二進位檔的路徑新增至 PATH 環境變數。 PATH 變數可讓用戶端應用程式在執行時間找到相依二進位檔 (DLL):

    如果您使用 Windows 11 或 Windows 10 工作站:

    • 按兩下左下方的 Windows 圖示。

    • 輸入 「Path」,然後按 「Enter」 鍵,當您看到 [編輯系統環境變數 ] 項目顯示時。

    • 在 [ 系統屬性] 對話框中,按兩下 [ 環境變數]。

    • 在 [環境變數] 對話框中,按兩下 [用戶>變數] <底下的 [路徑變數] 資料列,然後按兩下 [編輯...]。

    • 在 [ 編輯環境變數] 對話框中,按兩下 [新增],這會建立新的可編輯數據列。 使用、 protection\bins\debug\amd64upe\bins\debug\amd64 子目錄的完整file\bins\debug\amd64路徑,為每個 新增一個數據列。 SDK 目錄會以下欄格式儲存 <API>\bins\<target>\<platform>

      • <API> = file、、 protectionupe
      • <target> = debugrelease
      • <platform> = amd64 (x64)、 x86等等。
    • 完成更新 Path 變數時,按兩下 [ 確定]。 然後在返回 [環境變數] 對話框時按兩下 [確定]。

  7. 從 GitHub 下載 SDK 範例(選擇性):

使用 Microsoft Entra 識別元註冊用戶端應用程式

在 Microsoft 365 訂閱布建程式中,會建立相關聯的 Microsoft Entra 租使用者。 Microsoft Entra 租使用者提供 Microsoft 365 使用者帳戶和應用程式帳戶的身分識別和存取管理。 需要存取安全 API 的應用程式(例如 MIP API),需要應用程式帳戶。

針對運行時間的驗證和授權,帳戶會以 衍生自帳戶身分識別資訊的安全性主體表示。 代表應用程式帳戶的安全性主體稱為服務主體

若要在 Microsoft Entra ID 中註冊應用程式帳戶,以搭配快速入門和 MIP SDK 範例使用:

重要

若要存取建立帳戶的 Microsoft Entra 租使用者管理,您必須使用訂用帳戶上「擁有者」角色成員的用戶帳戶登入 Azure 入口網站。 視租使用者的組態而定,您可能也需要是「全域 管理員 instrator」目錄角色的成員,才能註冊應用程式。 我們建議使用受限制的帳戶進行測試。 請確定帳戶只具有存取必要 SCC 端點的許可權。 透過命令行傳遞的純文本密碼可能會由記錄系統收集。

  1. 遵循使用 Microsoft Entra ID 註冊應用程式、註冊新應用程式一節中的步驟。 針對測試目的,當您完成指南步驟時,請針對指定的屬性使用下列值:

    • 支援的帳戶類型 - 選取 [僅限此組織目錄中的帳戶]。
    • 重新導向 URI - 將重新導向 URI 類型設定為「公用用戶端」(行動裝置和桌面版)。如果您的應用程式使用 Microsoft 驗證連結庫 (MSAL),請使用 http://localhost。 否則,請使用 格式 <app-name>://authorize為 的專案。
  2. 完成後,您將會回到 新應用程式註冊的 [已註冊的應用程式 ] 頁面。 複製並儲存 [ 應用程式(用戶端) 識別符 ] 字段中的 GUID,因為您將需要快速入門。

  3. 然後按下 [API 許可權] 以新增用戶端需要存取權的 API 和許可權。 按兩下 [新增許可權 ] 以開啟 [要求 API 許可權] 刀鋒視窗。

  4. 現在您將新增 MIP API,應用程式在執行時間需要的權限:

    • 在 [ 選取 API] 頁面上,按兩下 [Azure Rights Management Services]。
    • 在 [ Azure Rights Management Services API] 頁面上,按兩下 [委派的許可權]。
    • 在 [ 選取許可權] 區段上 ,檢查user_impersonation 許可權。 此許可權可讓應用程式代表使用者建立及存取受保護的內容。
    • 按兩下 [ 新增許可權 ] 以儲存。
  5. 重複步驟 #4,但當您進入 [ 選取 API ] 頁面時,您必須搜尋 API。

    • 在 [選取 API] 頁面上,按兩下 [我的組織所使用的 API],然後在搜尋方塊中輸入 “Microsoft 資訊保護 Sync Service”,然後選取它。
    • 在 [Microsoft 資訊保護 Sync Service API] 頁面上,按兩下 [委派的許可權]。
    • 展開 UnifiedPolicy 節點並檢查 UnifiedPolicy.User.Read
    • 按兩下 [ 新增許可權 ] 以儲存。
  6. 當您回到 [API 許可權] 頁面上時,按兩下 [ 授與系統管理員同意][租使用者名稱],然後按兩下 [ ]。 此步驟會使用此註冊預先同意應用程式,以存取指定許可權下的 API。 如果您是以全域管理員身分登入,則會針對執行應用程式的租使用者中的所有用戶記錄同意;否則,它只適用於您的用戶帳戶。

完成時,應用程式註冊和 API 許可權看起來應該類似下列範例:

Microsoft Entra app registrationMicrosoft Entra app API permissions

如需將 API 和許可權新增至註冊的詳細資訊,請參閱 設定用戶端應用程式來存取 Web API。 您可以在這裡找到有關新增用戶端應用程式所需 API 和權限的資訊。

要求 資訊保護 整合協定 (IPIA)

您必須先向 Microsoft 申請並完成正式合約,才能將 MIP 開發的應用程式發行給公眾。

注意

僅供內部使用的應用程式不需要此合約。

  1. 使用下列資訊將電子郵件傳送至 以 IPIA@microsoft.com 取得您的IPIA:

    主旨: 要求公司名稱的 IPIA

    在電子郵件本文中,包括:

    • 應用程式和產品名稱
    • 要求者的名字和姓氏
    • 要求者的電子郵件位址
  2. 收到您的IPIA要求後,我們會傳送表單(Word 檔)。 檢閱IPIA的條款及條件,並使用下列資訊將表單傳回 :IPIA@microsoft.com

    • 公司合法名稱
    • 州/省(美國/加拿大)或公司國家/地區
    • 公司 URL
    • 聯繫人的電子郵件位址
    • 公司的其他地址(選擇性)
    • 公司應用程式的名稱
    • 應用程式的簡短描述
    • Azure 租用戶標識碼
    • 應用程式的應用程式識別碼
    • 公司聯繫人、電子郵件和電話,以取得重大情況通訊
  3. 當我們收到您的表單時,我們會將最終的IPIA連結傳送給您,以數字簽署。 簽署之後,將會由適當的 Microsoft 代表簽署,完成合約。

已經有已簽署的IPIA嗎?

如果您已經有已簽署的IPIA,且想要為發行的應用程式新增應用程式 識別碼 ,請傳送電子郵件給我們 IPIA@microsoft.com ,並提供下列資訊:

  • 公司應用程式的名稱
  • 應用程式的簡短描述
  • Azure 租使用者識別碼(即使與之前相同)
  • 應用程式的應用程式識別碼
  • 公司聯繫人、電子郵件和電話,以取得重大情況通訊

傳送電子郵件時,最多允許72小時確認收據。

確定您的應用程式具有必要的運行時間

注意

只有在將應用程式部署至沒有 Visual Studio 的電腦,或 Visual Studio 安裝缺少 Visual C++ 執行時間元件時,才需要此步驟。

使用 MIP SDK 建置的應用程式,如果尚未安裝,則需要安裝 Visual C++ 2015 或 Visual C++ 2017 運行時間。

只有在應用程式已建置為 Release 時,這些才會運作。 如果應用程式建置為偵錯,則 Visual C++ 執行時間偵錯 DLL 必須隨附於應用程式或安裝在機器上。

後續步驟

  • 如果您是 C++ 開發人員
    • 開始快速入門一節之前,請務必先閱讀 觀察者概念 ,以瞭解 C++ API 的異步本質。
    • 當您準備好取得 SDK 的一些體驗時,請從快速入門:用戶端應用程式初始化 (C++) 開始
  • 如果您是 C# 開發人員,當您準備好取得 SDK 的一些體驗時,請從 快速入門:用戶端應用程式初始化 (C#) 開始。