Установка и настройка пакета SDK для Microsoft Information Protection (MIP)

  • Статья

В статьях в рамках этой серии руководств описано создание приложений, которые используют библиотеки и API пакета SDK MIP. В этой статье показано, как установить и настроить подписку Microsoft 365 и клиентскую рабочую станцию для подготовки к использованию пакета SDK.

Необходимые компоненты

Перед началом работы обязательно просмотрите следующие разделы:

Важно!

Чтобы обеспечить конфиденциальность пользователей, перед включением автоматического ведения журнала необходимо попросить их предоставить согласие. Ниже показано стандартное сообщение, которое корпорация Майкрософт использует для уведомления о ведении журнала:

Включая ведение журнала ошибок и производительности, вы соглашаетесь отправлять данные об ошибках и производительности в корпорацию Майкрософт. Корпорация Майкрософт будет собирать данные об ошибках и производительности через Интернет. Корпорация Майкрософт использует эти данные для предоставления своих служб и продуктов, а также для повышения их качества и обеспечения безопасности и целостности. Мы анализируем производительность и надежность на основе того, например, какие функции вы используете и как быстро они реагируют, а также сведений о производительности устройства, взаимодействии с пользовательским интерфейсом и любых проблемах с продуктом, с которыми вы сталкиваетесь. Данные также будут включать сведения о конфигурации вашего программного обеспечения, например запущенное сейчас программное обеспечение и IP-адрес.

Регистрация для подписки Office 365

Для многих примеров использования пакета SDK требуется доступ к подписке Office 365. Если у вас ее еще нет, зарегистрируйтесь для использования подписки одного из следующих типов:

Имя. Регистрация
Office 365 корпоративный E3 (30-дневная бесплатная пробная версия); https://go.microsoft.com/fwlink/p/?LinkID=403802
Office 365 корпоративный E3 или E5; https://www.microsoft.com/microsoft-365/enterprise/office-365-e3
Enterprise Mobility and Security E3 или E5; https://www.microsoft.com/security
Azure Information Protection Premium P1 или P2; Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям
Microsoft 365 E3, E5 или F1. https://www.microsoft.com/microsoft-365/enterprise/microsoft365-plans-and-pricing

Настройка меток конфиденциальности

Если вы сейчас используете Azure Information Protection, вам нужно перенести метки в Центр безопасности и соответствия требованиям Office 365. Дополнительные сведения о процессе см. в статье о переносе меток Azure Information Protection в Центр безопасности и соответствия требованиям Office 365.

Настройка клиентской рабочей станции

Затем выполните следующие действия, чтобы убедиться, что клиентский компьютер настроен правильно.

  1. Если вы используете рабочую станцию Windows 10:

    С помощью клиентского компонента Центра обновления Windows обновите компьютер до Windows 10 Fall Creators Update версии 1709 или более поздней. Чтобы проверить текущую версию:

    • Щелкните значок Windows внизу слева.
    • Введите "О компьютере" и нажмите клавишу ВВОД.
    • Прокрутите вниз до раздела Характеристики Windows и просмотрите раздел Версия.

  2. Если вы используете рабочую станцию Windows 11 или Windows 10:

    Убедитесь, что на рабочей станции включен режим разработчика:

    • Щелкните значок Windows внизу слева.
    • Введите "Использование функций разработчика" и нажмите клавишу ВВОД, когда увидите элемент Использование функций разработчика.
    • В диалоговом окне Параметры на вкладке Для разработчиков в разделе "Использование функций разработчика" выберите Режим разработчика.
    • Закройте диалоговое окно Параметры.

  3. Установите Visual Studio 2019 с указанными ниже рабочими нагрузками и необязательными компонентами:

    • Рабочая нагрузка Windows Разработка приложений для универсальной платформы Windows, а также следующие необязательные компоненты:

      • Средства универсальной платформы Windows C++
      • Пакет SDK Windows 10 (10.0.16299.0) или более поздней версии, если он не включен по умолчанию

    • Рабочая нагрузка Windows Разработка классических приложений на C++, а также следующие необязательные компоненты:

      • Пакет SDK Windows 10 (10.0.16299.0) или более поздней версии, если он не включен по умолчанию

      Visual Studio setup

  4. Установите модуль ADAL.PS PowerShell:

    • Так как для установки модулей требуются права администратора, сначала необходимо выполнить одно из следующих действий:

      • войти в систему компьютера под учетной записью с правами администратора;
      • запустить сеанс Windows PowerShell с повышенными правами (запуск от имени администратора).

    • Затем выполните командлет install-module -name adal.ps:

      PS C:\WINDOWS\system32> install-module -name adal.ps

Untrusted repository
You are installing the modules from an untrusted repository. If you trust this repository, change its
InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from
'PSGallery'?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): A

PS C:\WINDOWS\system32>

  5. Скачайте файлы:

    Пакет SDK MIP поддерживается на следующих платформах с отдельными скачиваемыми ресурсами для каждой поддерживаемой платформы или языка:

    Операционная система Версии Загрузки Примечания.
    Ubuntu 20.04 C++ tar.gz
    Java (предварительная версия) tar.gz
    .NET Core NuGet (предварительная версия)
    Ubuntu 22.04 C++ tar.gz
    Java (предварительная версия) tar.gz
    .NET Core NuGet (предварительная версия)
    RedHat Enterprise Linux 8 и 9 C++ tar.gz
    Debian 10 и 11 C++ tar.gz
    macOS Все поддерживаемые версии C++ .zip Для разработки Xcode требуется версия 13 или выше.
    Windows Все поддерживаемые версии, 32- и 64-разрядные C++
    C++/.NET NuGet
    Java (предварительная версия) .zip
    Android 9.0 и более поздние версии C++ .zip Только пакеты SDK Protection и Policy.
    iOS Все поддерживаемые версии C++ .zip Только пакеты SDK Protection и Policy.

    Скачиваемые файлы tar.gz и .zip

    Скачиваемые файлы tar.gz и .zip содержат сжатые файлы, по одному для каждого API. Сжатые файлы называются следующим образом, где <API> = file, protection или upe, а <OS> = платформа: mip_sdk_<API>_<OS>_1.0.0.0.zip (or .tar.gz). Например, файл для двоичных файлов и файлов заголовков пакета SDK Protection в Debian будет таким: mip_sdk_protection_debian9_1.0.0.0.tar.gz. Каждый файл tar.gz и .zip включает три каталога:

    • Bins. Скомпилированные двоичные файлы для каждой архитектуры платформы, если применимо.
    • Include. Файлы заголовков (C++).
    • Samples. Исходный код для примеров приложений.

    Пакеты NuGet для Application Insights

    Если вы занимаетесь разработкой в Visual Studio, пакет SDK также можно установить с помощью консоли диспетчера пакетов NuGet:

    Install-Package Microsoft.InformationProtection.File
Install-Package Microsoft.InformationProtection.Policy
Install-Package Microsoft.InformationProtection.Protection

  6. Если вы не используете пакет NuGet, добавьте пути к двоичным файлам пакета SDK в переменную среды PATH. Переменная PATH позволяет найти зависимые двоичные файлы (библиотеки DLL) в среде выполнения с помощью клиентских приложений (НЕОБЯЗАТЕЛЬНО):

    Если вы используете рабочую станцию Windows 11 или Windows 10:

    • Щелкните значок Windows внизу слева.

    • Введите "Путь" и нажмите клавишу ВВОД, когда увидите элемент Изменение системных переменных среды.

    • В диалоговом окне Свойства системы щелкните Переменные среды.

    • В диалоговом окне Переменные среды щелкните строку переменной Path в разделе Пользовательские переменные для <имя пользователя> и выберите Изменить.

    • В диалоговом окне Изменение переменной среды щелкните Создать, чтобы создать новую изменяемую запись. Используя полный путь к каждому из подкаталогов file\bins\debug\amd64, protection\bins\debug\amd64 и upe\bins\debug\amd64, добавьте для каждого из них новую запись. Каталоги пакета SDK хранятся в формате <API>\bins\<target>\<platform>, где:

      • <API> = file, protection и upe
      • <target> = debug и release
      • <platform> = amd64 (x64), x86 и т. д.

    • Завершив обновление переменной Path, щелкните ОК. Затем щелкните ОК, когда вернетесь в диалоговое окно Переменные среды.

  7. Скачайте примеры для пакета SDK из GitHub (НЕОБЯЗАТЕЛЬНО):

Регистрация клиентского приложения с помощью идентификатора Microsoft Entra

В рамках процесса подготовки подписки Microsoft 365 создается связанный клиент Microsoft Entra. Клиент Microsoft Entra предоставляет управление удостоверениями и доступом для учетных записей пользователей Microsoft 365 и учетных записей приложений. Приложениям, которым требуется доступ к защищенным API (например, API MIP), нужна учетная запись приложения.

Для проверки подлинности и авторизации в среде выполнения учетные записи представляются субъектами безопасности, полученными на основе сведений удостоверений учетных записей. Субъекты безопасности, которые представляют учетную запись приложения, называются субъектами-службами.

Чтобы зарегистрировать учетную запись приложения в идентификаторе Microsoft Entra для использования с примерами быстрого запуска и пакета SDK MIP:

Важно!

Чтобы получить доступ к управлению клиентами Microsoft Entra для создания учетной записи, необходимо войти в портал Azure с учетной записью пользователя, являющейся членом роли "Владелец" в подписке. В зависимости от конфигурации арендатора для регистрации приложения может также потребоваться роль каталога "Глобальный администратор". Рекомендуется проводить тестирование с помощью ограниченной учетной записи. Убедитесь, что у учетной записи есть права на доступ только к необходимым конечным точкам SCC. Пароли в виде открытого текста, переданные через командную строку, могут записываться системами ведения журналов.

  1. Выполните действия, описанные в разделе "Регистрация приложения с помощью идентификатора Microsoft Entra ID", регистрация нового раздела приложения . Для тестирования используйте следующие значения для заданных свойств при выполнении инструкций из руководства:

    • Поддерживаемые типы учетных записей — выберите "Учетные записи только в этом каталоге организации".
    • URI перенаправления — выберите для типа URI перенаправления значение "Общедоступный клиент (мобильный и классический)". Если приложение использует библиотеку проверки подлинности Майкрософт (MSAL), используйте http://localhost. В противном случае используйте значение в формате <app-name>://authorize.

  2. Когда все будет готово, вы вернетесь на страницу Зарегистрированное приложение для регистрации нового приложения. Скопируйте и сохраните идентификатор GUID, указанный в поле Идентификатор приложения (клиент), он потребуется для работы с краткими руководствами.

  3. Затем щелкните Разрешения API, чтобы добавить API и разрешения, к которым клиенту понадобится доступ. Щелкните Добавить разрешение, чтобы открыть колонку "Запрос разрешений API".

  4. Теперь вы добавите API MIP и разрешения, необходимые приложению в среде выполнения:

    • На странице Выбор API щелкните Службы Azure Rights Management.
    • На странице API Службы Azure Rights Management щелкните Делегированные разрешения.
    • В разделе Выбор разрешений выберите разрешение user_impersonation. Это право разрешает приложению создавать защищенное содержимое и получать к нему доступ от имени пользователя.
    • Щелкните Добавить разрешения, чтобы сохранить изменения.

  5. Повторите шаг 4, но сейчас на странице Выбор API вам потребуется найти API.

    • На странице Выбор API щелкните API, используемые моей организацией, затем в поле поиска введите и выберите Служба синхронизации Microsoft Information Protection.
    • На странице API Служба синхронизации Microsoft Information Protection щелкните Делегированные разрешения.
    • Разверните узел UnifiedPolicy и проверьте UnifiedPolicy.User.Read.
    • Щелкните Добавить разрешения, чтобы сохранить изменения.

  6. После возврата на страницу Разрешения API выберите Предоставить согласие администратора для (имя арендатора) и щелкните Да. Этот шаг предоставляет предварительное согласие приложению, использующему эту регистрацию, на доступ к API с указанными разрешениями. Если вы вошли в систему как глобальный администратор, согласие будет записано для всех пользователей в арендаторе, которые запускают приложение, в противном случае оно будет применяться только к вашей учетной записи пользователя.

После завершения регистрация приложения и разрешения API должны выглядеть так, как в следующих примерах:

Microsoft Entra app registrationMicrosoft Entra app API permissions

Дополнительные сведения о добавлении API и разрешений в регистрацию см. в руководстве Настройка клиентского приложения для доступа к веб-API. Здесь вы найдете сведения о добавлении API и разрешений, необходимых для клиентского приложения.

Запрос соглашения об интеграции Information Protection (IPIA)

Прежде чем вы сможете сделать приложение с поддержкой MIP общедоступным, нужно подать заявку на заключение официального соглашения с корпорацией Майкрософт.

Примечание.

Это соглашение не требуется для приложений, предназначенных только для внутреннего использования.

  1. Получите соглашение IPIA, отправив на адрес IPIA@microsoft.com сообщение электронной почты со следующими сведениями:

    Тема. Запрос IPIA для название компании

    В сообщении электронной почты нужно указать следующее:

    • название приложения и продукта;
    • имя и фамилию инициатора запроса;
    • адрес электронной почты инициатора запроса.

  2. Получив ваш запрос на IPIA, мы отправим вам форму (в документе Word). Ознакомьтесь с условиями соглашения IPIA и отправьте форму обратно на адрес IPIA@microsoft.com, указав в ней следующие сведения:

    • юридическое название компании;
    • штат, провинция (США или Канада) или страну регистрации;
    • URL-адрес компании;
    • адрес электронной почты контактного лица;
    • дополнительные адреса компании (необязательно);
    • название приложения компании;
    • краткое описание приложения;
    • идентификатор клиента Azure;
    • идентификатор приложения;
    • контакты компании, адрес электронной почты и номер телефона для уведомления в экстренных ситуациях.

  3. Когда мы получим вашу форму, мы отправим вам ссылку с окончательной версией IPIA для цифровой подписи. Когда вы подпишите соглашение, его также подпишет уполномоченный представитель корпорации Майкрософт. После этого соглашение будет заключено.

Уже имеется подписанное соглашение IPIA?

Если вы уже подписали IPIA и хотите добавить новый идентификатор приложения для выпускаемого приложения, отправьте сообщение электронной почты на адрес IPIA@microsoft.com, указав в нем следующие сведения:

  • название приложения компании;
  • краткое описание приложения;
  • идентификатор арендатора Azure (даже если он не отличается от предыдущего);
  • идентификатор приложения;
  • контакты компании, адрес электронной почты и номер телефона для уведомления в экстренных ситуациях.

После отправки сообщения электронной почты уведомление о его получении может прийти в течение 72 часов.

Обеспечение приложения необходимой средой выполнения

Примечание.

Этот шаг необходим только при развертывании приложения на компьютере без Visual Studio или при установке Visual Studio без компонентов среды выполнения Visual C++.

Приложения, созданные с помощью пакета SDK MIP, требуют установки среды выполнения Visual C++ 2015 или Visual C++ 2017, если они еще не установлены.

Эти среды будут работать, только если приложение создано для выпуска. Если приложение создано для отладки, библиотеки DLL отладки среды выполнения Visual C++ должны быть включены в приложение или установлены на компьютере.

Next Steps