Znane problemy — Azure Information Protection

  • Artykuł

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Nowy klient usługi Microsoft Information Protection (bez dodatku) jest obecnie w wersji zapoznawczej i jest zaplanowany na potrzeby ogólnej dostępności.

Skorzystaj z poniższych list i tabel, aby znaleźć szczegółowe informacje o znanych problemach i ograniczeniach związanych z funkcjami usługi Azure Information Protection.

Inne rozwiązania do podpisywania cyfrowego i szyfrowania

Usługa Azure Information Protection nie może chronić ani odszyfrowywać plików\wiadomości e-mail, które są podpisane cyfrowo lub szyfrowane przy użyciu innych rozwiązań, takich jak usuwanie ochrony przed pocztą podpisaną lub zaszyfrowaną za pomocą protokołu S/MIME.

Obsługa klienta dla plików kontenerów, takich jak pliki .zip

Pliki kontenera to pliki zawierające inne pliki, z typowym przykładem .zip plików zawierających skompresowane pliki. Inne przykłady obejmują .rar, .7z, pliki .msg i dokumenty PDF zawierające załączniki.

Można klasyfikować i chronić te pliki kontenerów, ale klasyfikacja i ochrona nie są stosowane do każdego pliku wewnątrz kontenera.

Jeśli masz plik kontenera zawierający pliki sklasyfikowane i chronione, musisz najpierw wyodrębnić pliki, aby zmienić ich klasyfikację lub ustawienia ochrony. Można jednak usunąć ochronę wszystkich plików w obsługiwanych plikach kontenerów przy użyciu polecenia cmdlet Set-AIPFileLabel .

Szyfrowanie plików .msg jest obsługiwane tylko w zestawie MIP SDK .

Przeglądarka usługi Azure Information Protection nie może otwierać załączników w chronionym dokumencie PDF. W tym scenariuszu po otwarciu dokumentu w przeglądarce załączniki nie są widoczne.

Aby uzyskać więcej informacji, zobacz przewodnik Administracja: typy plików obsługiwane przez klienta usługi Azure Information Protection.

Znane problemy dotyczące usługi AIP i ochrony przed programami wykorzystującymi luki w zabezpieczeniach

Klient usługi Azure Information Protection nie jest obsługiwany na maszynach, które mają program .NET 2 lub 3, gdzie włączono ochronę przed programami Wykorzystującymi luki w zabezpieczeniach i spowoduje nieoczekiwane zachowanie aplikacja pakietu Office.

W takich przypadkach zalecamy uaktualnienie wersji platformy .NET. Aby uzyskać więcej informacji, zobacz Wymagania programu Microsoft .NET Framework.

Jeśli musisz zachować wersję 2 lub 3 platformy .NET, przed zainstalowaniem usługi AIP pamiętaj o wyłączeniu ochrony przed programami Wykorzystujący luki w zabezpieczeniach.

Aby wyłączyć ochronę przed programami wykorzystującą luki w zabezpieczeniach za pomocą programu PowerShell, uruchom następujące polecenie:

Set-ProcessMitigation -Name "OUTLOOK.EXE" -Disable EnableExportAddressFilterPlus, EnableExportAddressFilter, EnableImportAddressFilter

Znane problemy dotyczące znaków wodnych

Podczas dodawania znaku wodnego do etykiety należy pamiętać, że jeśli używasz czcionki o jednym rozmiarze, zostanie on automatycznie dostosowany do dopasowania strony. Jeśli jednak używasz innego rozmiaru czcionki, używa on rozmiaru określonego w ustawieniach czcionki.

Obsługa programu PowerShell dla klienta usługi Azure Information Protection

Bieżąca wersja modułu AzureInformationProtection programu PowerShell zainstalowanego z klientem usługi Azure Information Protection ma następujące znane problemy:

  • Foldery osobiste programu Outlook (pliki pst ). Natywna ochrona plików pst nie jest obsługiwana przy użyciu modułu AzureInformationProtection .

  • Chroniona wiadomość e-mail programu Outlook (.msg plików z załącznikiem rpmsg). Wyłączanie ochrony chronionych wiadomości e-mail programu Outlook jest obsługiwane przez moduł AzureInformationProtection dla wiadomości w folderze osobistym programu Outlook (plik pst) lub na dysku w pliku wiadomości programu Outlook (.msg pliku).

  • PowerShell 7. Obecnie program PowerShell 7 nie jest obsługiwany przez klienta usługi AIP. Użycie programu PS7 powoduje błąd: "Odwołanie do obiektu nie jest ustawione na wystąpienie obiektu".

Aby uzyskać więcej informacji, zobacz przewodnik Administracja: Używanie programu PowerShell z klientem usługi Azure Information Protection.

Znane problemy z uwierzytelnianiem skanera usługi AIP w wersji 2.16.73

Jeśli używasz wersji 2.16.73 skanera usługi AIP lub instalowania go po raz pierwszy, może wystąpić błąd podczas próby uwierzytelnienia. Komunikat o błędzie brzmi "Nie można uwierzytelnić i skonfigurować usługi Microsoft Azure Information Protection".

Ten problem jest spowodowany problemem z uwierzytelnianiem biblioteki MSAL. Aby rozwiązać ten problem, możesz dodać klucz rejestru do serwera.

Ścieżka: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP

DWORD: AuthenticateUsingAdal

Wartość: 1

Dodając ten klucz rejestru, skaner uwierzytelnia się przy użyciu biblioteki ADAL.

Znane problemy ze skanerem usługi AIP

  • Skanowanie plików .msg z podpisanymi plikami PDF nie jest obecnie obsługiwane.

  • Klasyfikatory klasyfikatorów i klasyfikatorów EDM (Dokładne dopasowanie danych).

  • Pliki chronione hasłem.

Znane problemy z usługą AIP w aplikacja pakietu Office lications

Funkcja Znane problemy
Wiele wersji pakietu Office

Wiele kont pakietu Office		 Klient ujednoliconego etykietowania usługi Azure Information Protection nie obsługuje następujących funkcji:

— Wiele wersji pakietu Office na tym samym komputerze
— Wiele kont pakietu Office lub przełączanie kont użytkowników w pakiecie Office
- Udostępnione skrzynki pocztowe
Wiele ekranów Jeśli używasz wielu ekranów i masz otwartą aplikacja pakietu Office licację:

— W aplikacja pakietu Office mogą wystąpić problemy z wydajnością.
— Pasek usługi Azure Information Protection może wydawać się zmiennoprzecinkowy na środku ekranu pakietu Office, na jednym lub obu ekranach

Aby zapewnić spójną wydajność i że pasek pozostaje w prawidłowej lokalizacji, otwórz okno dialogowe Opcje dla aplikacja pakietu Office licacji, a następnie w obszarze Ogólne wybierz pozycję Optymalizuj pod kątem zgodności zamiast Optymalizowanie pod kątem najlepszego wyglądu.
Obsługa usługi IRM w pakiecie Office 2016 Ustawienie rejestru DRMEncryptProperty, które kontroluje szyfrowanie metadanych w pakiecie Office 2016, nie jest obsługiwane dla etykiet usługi Azure Information Protection.
Dostęp do modelu obiektów programu Outlook — Ustawienie rejestru PromptOOMAddressBookAccess, które steruje monitami wyświetlanymi w przypadku uzyskiwania dostępu do książek adresowych za pośrednictwem modelu obiektów programu Outlook, nie jest obsługiwane przy użyciu etykiet usługi Azure Information Protection.

— Ustawienie rejestru PromptOOMAddressInformationAccess, które steruje monitami wyświetlanymi, gdy program odczytuje informacje o adresach, nie jest obsługiwane dla etykiet usługi Azure Information Protection.
Pliki dołączone do wiadomości e-mail Ze względu na ograniczenie ostatnich aktualizacji systemu Windows skanowanie wiadomości programu Outlook (.msg plików) może spowodować zablokowanie tych plików. Aby odblokować pliki, zatrzymaj usługę skanera. Ponowne uruchomienie usługi skanera nie powoduje ponownego zablokowania plików do momentu następnego skanowania komunikatów.

Aby wyjaśnić, czy system ma wpływ, możesz chcieć uruchomić skanowanie w określonym folderze z jednym, przykładowym komunikatem i sprawdzić, czy plik jest zablokowany po zakończeniu skanowania.

Uwaga: ten problem nie jest istotny podczas stosowania i usuwania ochrony za pomocą programu PowerShell.
Korespondencja seryjna Funkcja korespondencji seryjnej pakietu Office nie jest obsługiwana w przypadku żadnej funkcji usługi Azure Information Protection.
Wiadomości e-mail S/MIME Otwieranie wiadomości e-mail S/MIME w okienku do czytania programu Outlook może powodować problemy z wydajnością.

Aby zapobiec problemom z wydajnością wiadomości e-mail S/MIME, włącz właściwość zaawansowaną OutlookSkipSmimeOnReadingPaneEnabled .

Uwaga: włączenie tej właściwości uniemożliwia wyświetlanie paska usługi AIP lub klasyfikacji wiadomości e-mail w okienku odczytu programu Outlook.
Oznaczenia zawartości w programie Word Oznaczenia zawartości usługi AIP w nagłówkach lub stopkach programu Microsoft Word mogą być przesunięte lub umieszczone niepoprawnie lub mogą być całkowicie ukryte, gdy ten sam nagłówek lub stopka zawiera również tabelę.

Aby uzyskać więcej informacji, zobacz Kiedy są stosowane oznaczenia wizualne.
Opcja Wyślij do Eksplorator plików Jeśli zdecydujesz się kliknąć prawym przyciskiem myszy dowolny plik w Eksplorator plików i wybrać pozycję Wyślij do > adresata poczty, wiadomość programu Outlook, która zostanie otwarta z dołączonym plikiem, może nie wyświetlać paska narzędzi usługi AIP.

Jeśli tak się stanie i musisz użyć opcji paska narzędzi usługi AIP, uruchom wiadomość e-mail z poziomu programu Outlook, a następnie przejdź do i dołącz plik, który chcesz wysłać.

Znane problemy dotyczące współtworzenia

Znane problemy dotyczące współtworzenia mają zastosowanie tylko wtedy, gdy współtworzenie jest włączone w dzierżawie.

Znane problemy dotyczące współtworzenia w usłudze AIP obejmują:

Ważne

Nie można wdrożyć etykiet współtworzenia i poufności tylko dla niektórych użytkowników, ponieważ żadne nowe etykiety nie będą widoczne dla użytkowników ze starszą wersją klienta pakietu Office.

Aby uzyskać więcej informacji na temat pomocy technicznej dotyczącej współtworzenia, zobacz dokumentację platformy Microsoft 365, szczególnie udokumentowaną ograniczeniami.

Obsługiwane wersje dla etykiet współtworzenia i poufności

Wszystkie aplikacje, usługi i narzędzia operacyjne w dzierżawie muszą obsługiwać współtworzenie.

Przed rozpoczęciem upewnij się, że system spełnia wymagania dotyczące wersji wymienione w wymaganiach wstępnych platformy Microsoft 365 dotyczących współtworzenia.

Zalecamy, aby zawsze używać najnowszej dostępnej wersji pakietu Office. Wcześniejsze wersje mogą powodować nieoczekiwane wyniki, takie jak brak możliwości wyświetlenia etykiet w usłudze Azure Information Protection lub brak wymuszania zasad.

Uwaga

Chociaż etykiety poufności można stosować w plikach w formatach pakietu Office 97-2003, takich jak .doc, .ppt i .xls, współtworzenie dla tych typów plików nie jest obsługiwane. Po zastosowaniu etykiety do nowo utworzonego pliku lub pliku w zaawansowanym formacie pliku, takim jak .docx, .pptx i .xlsx, zapisanie pliku w formacie pakietu Office 97–2003 spowoduje usunięcie etykiety.

Aktualizacje zasad

Jeśli zasady etykietowania zostały zaktualizowane podczas otwierania aplikacja pakietu Office licacji w usłudze Azure Information Protection, zostaną wyświetlone wszystkie nowe etykiety, ale zastosowanie ich powoduje wystąpienie błędu.

W takim przypadku zamknij i otwórz ponownie aplikacja pakietu Office licację, aby móc zastosować etykiety.

Zmiany interfejsu użytkownika podczas stosowania etykiet

Gdy współtworzenie jest włączone w dzierżawie, środowisko użytkownika dla etykiet skonfigurowanych dla uprawnień zdefiniowanych przez użytkownika zmienia środowisko dla wbudowanych etykiet.

Zamiast wyświetlać okno dialogowe usługi Microsoft Azure Information Protection, w którym użytkownicy mogą wybierać poziomy uprawnień, takie jak Osoba przeglądająca, Recenzent i Tylko dla mnie, będą widzieć to samo okno dialogowe, co w przypadku wybrania karty >Informacje o pliku Ochrona>>dostępu z ograniczeniami dostępu.> W tym oknie dialogowym mogą oni określić wybór uprawnień i użytkowników.

Aby uzyskać więcej informacji, zobacz Word, PowerPoint iCould używasz skurczy, aby uczynić go mniej formalnym? Sekcja uprawnień programu Excel z dokumentacji usługi Microsoft Purview.

Uwaga

W przeciwieństwie do okna dialogowego Microsoft Azure Information Protection okno dialogowe Dostęp z ograniczeniami nie obsługuje określania nazwy domeny w celu automatycznego uwzględnienia wszystkich użytkowników w organizacji.

Nieobsługiwane funkcje współtworzenia

Następujące funkcje nie są obsługiwane lub częściowo obsługiwane, gdy współtworzenie jest włączone dla plików zaszyfrowanych przy użyciu etykiet poufności:

  • Szablony DKE i właściwości zdefiniowane przez użytkownika DKE. Aby uzyskać więcej informacji, zobacz Double Key Encryption (DKE).

  • Etykiety z uprawnieniami zdefiniowanymi przez użytkownika. W programach Microsoft Word, Excel i PowerPoint etykiety z uprawnieniami zdefiniowanymi przez użytkownika są nadal dostępne i mogą być stosowane do dokumentów, ale nie są obsługiwane w przypadku funkcji współtworzenia.

  • Oznacza to, że zastosowanie etykiety z uprawnieniami zdefiniowanymi przez użytkownika uniemożliwia jednoczesne pracę nad dokumentem z innymi osobami.

  • Usuwanie oznaczeń zawartości zewnętrznej w aplikacjach. Oznaczanie zawartości zewnętrznej jest usuwane tylko wtedy, gdy etykieta jest stosowana, a nie podczas zapisywania dokumentu. Aby uzyskać więcej informacji, zobacz Stronę klienta usługi Azure Information Protection.

  • Funkcje wymienione w dokumentacji platformy Microsoft 365 jako ograniczenia współtworzenia.

  • Właściwości labelbycustomproperties do mapowania innych rozwiązań etykietowania nie będą działać z włączonym współtworzeniem.

Udostępnianie zewnętrznych typów dokumentów między dzierżawami

Gdy użytkownicy współużytkują zewnętrzne typy dokumentów, takie jak pliki PDF, w dzierżawach, adresaci otrzymują monit o zgodę, który wymaga od nich zaakceptowania udostępniania wymienionych uprawnień. Na przykład:

Monit o wyrażenie zgody między dzierżawami.

W zależności od aplikacji może być wyświetlany ten monit wielokrotnie dla tego samego dokumentu. Po wyświetleniu monitu wybierz pozycję Akceptuj , aby kontynuować korzystanie z udostępnionego dokumentu.

Znane problemy w zasadach

Publikowanie zasad może potrwać do 24 godzin.

Znane problemy dotyczące przeglądarki usługi AIP

Aby uzyskać więcej informacji, zobacz Ujednolicony klient etykietowania: Wyświetlanie chronionych plików za pomocą przeglądarki usługi Azure Information Protection.

Obsługa klienta mobilnego dla chronionych plików PDF i usługi Intune

Przeglądarka usługi Azure Information Protection w systemie Android nie może otwierać chronionych dokumentów PDF na urządzeniach zarządzanych przez usługę Intune.

Aby wyświetlić chronione pliki PDF na urządzeniach przenośnych, skontaktuj się z administratorem, aby wyłączyć zarządzanie aplikacjami mobilnymi usługi Intune.

Obsługa zarządzania aplikacjami mobilnymi usługi Intune zostanie dodana z powrotem do przeglądarki usługi Azure Information Protection w systemie Android po aktualizacjach platformy .NET i zależności.

Widoki poziome w przeglądarce usługi AIP

Przeglądarka AIP wyświetla obrazy w trybie pionowym, a niektóre szerokie obrazy w widoku poziomym mogą być rozciągnięte.

Na przykład oryginalny obraz jest wyświetlany poniżej po lewej stronie z rozciągniętą wersją pionową w przeglądarce usługi AIP po prawej stronie.

Aby rozwiązać ten problem, przeprowadź uaktualnienie do klienta ujednoliconego etykietowania usługi Azure Information Protection w wersji 2.18.26.0.

Obraz rozproszony w przeglądarce klienta

Użytkownicy zewnętrzni i przeglądarka usługi AIP

Jeśli użytkownik zewnętrzny ma już konto gościa w usłudze Microsoft Entra ID, przeglądarka usługi AIP może wyświetlić błąd, gdy użytkownik otworzy chroniony dokument, informując go, że nie może zalogować się przy użyciu konta osobistego.

Jeśli wystąpi taki błąd, użytkownik musi zainstalować program Adobe Acrobat DC z rozszerzeniem MIP, aby otworzyć chroniony dokument.

Gdy użytkownik otworzy chroniony dokument po zainstalowaniu programu Adobe Acrobat DC z rozszerzeniem MIP, ten użytkownik może nadal zobaczyć błąd informujący, że wybrane konto użytkownika nie istnieje w dzierżawie i monitowanie o wybranie konta.

Jest to oczekiwany błąd. W oknie monitu wybierz pozycję Wstecz , aby kontynuować otwieranie chronionego dokumentu.

Uwaga

Przeglądarka AIP obsługuje konta organizacyjne gościa w identyfikatorze Entra Firmy Microsoft, ale nie na kontach osobistych lub Windows Live.

Pliki chronione przez usługę ADRMS na urządzeniach z systemem Android

Na urządzeniach z systemem Android nie można otwierać plików chronionych przez usługę ADRMS przez aplikację AIP Viewer.

Znane problemy dotyczące funkcji śledzenia i odwoływanie

Śledzenie i odwołowanie dostępu do dokumentów przy użyciu klienta ujednoliconego etykietowania ma następujące znane problemy:

Aby uzyskać więcej informacji, zobacz procedury przewodnika Administracja i podręcznika użytkownika.

Dokumenty chronione hasłem

Dokumenty chronione hasłem nie są obsługiwane przez funkcje śledzenia i odwoływanie.

Wiele załączników w chronionej wiadomości e-mail

Jeśli dołączysz wiele dokumentów do wiadomości e-mail, a następnie chroń wiadomość e-mail i wyślesz ją, każda z załączników otrzyma tę samą wartość ContentID.

Ta wartość ContentID zostanie zwrócona tylko przy pierwszym otwartym pliku. Wyszukiwanie innych załączników nie zwróci wartości ContentID wymaganej do pobrania danych śledzenia.

Ponadto odwołanie dostępu do jednego z załączników również odwołuje dostęp do innych załączników w tej samej chronionej wiadomości e-mail.

Dokumenty dostępne za pośrednictwem programu SharePoint lub usługi OneDrive

  • Chronione dokumenty przekazane do programu SharePoint lub OneDrive tracą wartość ContentID i nie można śledzić ani odwołać dostępu.

  • Jeśli użytkownik pobierze plik z programu SharePoint lub usługi OneDrive i uzyskuje do niego dostęp z komputera lokalnego, zostanie zastosowany nowy identyfikator ContentID do dokumentu po otwarciu go lokalnie.

    Użycie oryginalnej wartości ContentID do śledzenia danych nie będzie zawierać żadnego dostępu wykonanego dla pobranego pliku użytkownika. Ponadto odwołanie dostępu na podstawie oryginalnej wartości ContentID nie spowoduje odwołania dostępu dla żadnego z pobranych plików.

    Jeśli administratorzy mają dostęp do pobranych plików, mogą używać programu PowerShell do identyfikowania identyfikatora ContentID dokumentu do śledzenia i odwoływanie akcji.

Znane problemy dotyczące klienta usługi AIP i usługi OneDrive

Jeśli masz dokumenty przechowywane w usłudze OneDrive z zastosowaną etykietą poufności, a administrator zmieni etykietę w zasadach etykietowania w celu dodania ochrony, nowo zastosowana ochrona nie zostanie automatycznie zastosowana do dokumentu z etykietą.

W takich przypadkach należy ręcznie ponownie opracować dokument, aby zastosować ochronę zgodnie z potrzebami.

Zasady dostępu warunkowego opartego na usłudze AIP

Użytkownicy zewnętrzni, którzy otrzymują zawartość chronioną przez zasady dostępu warunkowego, muszą mieć konto użytkownika-gościa współpracy między firmami (B2B) firmy Microsoft w celu wyświetlenia zawartości.

Chociaż można zaprosić użytkowników zewnętrznych do aktywowania konta użytkownika-gościa, umożliwiając im uwierzytelnianie i przekazywanie wymagań dostępu warunkowego, może być trudno upewnić się, że ma to miejsce dla wszystkich użytkowników zewnętrznych wymaganych.

Zalecamy włączenie zasad dostępu warunkowego opartego na usłudze AIP tylko dla użytkowników wewnętrznych.

Włącz zasady dostępu warunkowego dla usługi AIP tylko dla użytkowników wewnętrznych:

  1. W witrynie Azure Portal przejdź do bloku Dostęp warunkowy i wybierz zasady dostępu warunkowego, które chcesz zmodyfikować.
  2. W obszarze Przypisania wybierz pozycję Użytkownicy i grupy, a następnie wybierz pozycję Wszyscy użytkownicy. Upewnij się, że opcja Wszyscy goście i użytkownicy zewnętrzni nie została wybrana.
  3. Zapisz zmiany.

Możesz również całkowicie wyłączyć/wykluczyć urząd certyfikacji w usłudze Azure Information Protection, jeśli funkcjonalność nie jest wymagana dla organizacji, aby uniknąć tego potencjalnego problemu.

Aby uzyskać więcej informacji, zobacz dokumentację dostępu warunkowego.

Nie można publikować ani używać etykiet z etykietami podrzędnymi jako etykietami autonomicznymi

Jeśli etykieta zawiera jakiekolwiek etykiety podrzędne w portal zgodności Microsoft Purview, ta etykieta nie może zostać opublikowana jako autonomiczna etykieta dla wszystkich użytkowników usługi AIP.

Podobnie usługa AIP nie obsługuje etykiet zawierających etykiety podrzędne jako etykiety domyślne i nie można skonfigurować automatycznego etykietowania dla tych etykiet.

Ponadto używanie etykiety z UDP (uprawnienia zdefiniowane przez użytkownika) jako etykiety domyślnej nie jest obsługiwane w kliencie ujednoliconego etykietowania.

Więcej informacji

Poniższe dodatkowe artykuły mogą być przydatne podczas odpowiadania na pytania dotyczące usługi Azure Information Protection: