已知问题 - Azure 信息保护

适用于:Azure信息保护

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一的标签客户端。 在迁移博客 中了解更多信息

使用下面的列表和表查找与 Azure 信息保护功能相关的已知问题和限制的详细信息。

第三方数字签名应用

Azure 信息保护无法保护或解密经过数字签名的文件。

容器文件的客户端支持,例如.zip文件

容器文件是包含其他文件的文件,一个典型的示例是.zip压缩文件的文件。 其他示例包括.rar、.7z、.msg 文件和包含附件的 PDF 文档。

可以对这些容器文件进行分类和保护,但分类和保护不会应用到容器内的每个文件。

如果有包含已分类和受保护文件的容器文件,则必须先提取这些文件以更改其分类或保护设置。 但是,可以使用 Set-AIPFileLabel cmdlet 删除对受支持容器文件中所有文件的保护。

Azure 信息保护查看器无法在受保护的 PDF 文档中打开附件。 在这种情况下,当文档在查看器中打开时,附件不可见。

有关详细信息,请参阅 管理员指南:Azure 信息保护客户端支持的文件类型

AIP 和利用保护的已知问题

在启用了攻击保护的 .NET 2 或 3 计算机上不支持 Azure信息保护客户端,并且会导致Office意外行为。

在这种情况下,我们建议升级 .NET 版本。 有关详细信息,请参阅Microsoft .NET Framework要求

如果必须保留 .NET 版本 2 或 3,请确保在安装 AIP 之前禁用攻击保护。

若要通过 PowerShell 禁用攻击保护,请运行以下代码:

Set-ProcessMitigation -Name "OUTLOOK.EXE" -Disable EnableExportAddressFilterPlus, EnableExportAddressFilter, EnableImportAddressFilter

Azure 信息保护客户端的 PowerShell 支持

与 Azure 信息保护客户端一起安装的 AzureInformationProtection PowerShell 模块的当前版本具有以下已知问题:

  • Outlook .pst (.pst文件) 。 使用AzureInformationProtection模块不支持本机保护.pst文件。

  • Outlook .rpmsg (.rpmsg文件中) 。 只有在 Outlook Outlook 个人文件夹 (.pst文件) 中,AzureInformationProtection模块才支持对受保护的电子邮件取消保护。

    不支持取消保护 .pst 文件外部的电子邮件。

有关详细信息,请参阅 管理员指南:将 PowerShell 与 Azure 信息保护客户端一同使用

应用程序应用程序中的 AIP Office问题

功能 已知问题
多个版本的Office

多个Office帐户
Azure 信息保护客户端(包括经典和统一标签)不支持:

- 同一Office多个版本的应用程序
- 多个Office帐户,或在 Office
- 共享邮箱
多个显示器 如果使用多个显示器并且打开了一个Office应用程序:

- 在应用内可能会遇到性能问题Office问题。
- Azure 信息保护栏可能显示在屏幕中间的Office或两个显示器上

若要确保性能一致,并且栏保持正确位置,请打开 Office应用程序的"选项"对话框,在"常规"下选择"优化兼容性",而不是"优化以获得最佳外观"。
2016 年 1 月 Office IRM 支持 Azure 信息保护标签不支持用于控制 Office 2016 中的元数据加密的DRMEncryptProperty注册表设置。
Outlook对象模型访问 - Azure 信息保护标签不支持PromptOOMAddressBookAccess注册表设置,它控制通过 Outlook 对象模型访问通讯簿时显示的提示。

- Azure 信息保护标签不支持 PromptOOMAddressInformationAccess 注册表设置,它控制程序读取地址信息时显示的提示。
附加到电子邮件的文件 由于最近更新Windows限制,Outlook .msg (扫描) 可能会导致这些文件被锁定。 若要解锁文件,请停止扫描仪服务。 再次启动扫描仪服务不会再次锁定文件,直到下次扫描邮件。

若要阐明系统是否受到影响,可能需要在包含单个示例邮件的特定文件夹上开始扫描,并检查文件在扫描完成后是否锁定。

注意:使用 PowerShell 应用和删除保护时,此问题不相关。
邮件合并 任何Office Azure信息保护功能都不支持邮件合并功能。
S/MIME 电子邮件 在阅读窗格中打开 S/MIME Outlook可能会导致性能问题。

若要防止 S/MIME 电子邮件出现性能问题,请启用 OutlookSkipSmimeOnReadingPaneEnabled 高级属性。

注意:启用此属性可防止 AIP 栏或电子邮件分类显示在Outlook阅读窗格中。
联机模式Outlook 在 Azure 信息保护加载项处于活动状态Outlook联机模式时,可能会发生以下已知问题:

- 在不编辑的情况下创建和关闭的新电子邮件将保存为草稿。
- 显示弹出消息,提示用户保存更改,即使未做出任何更改。 在这种情况下,可以忽略此消息。
Word 中的内容标记 同一页眉或页脚Microsoft Word时,页眉或页脚中的 AIP 内容标记可能会偏移或放置错误,或者可能完全隐藏。

有关详细信息,请参阅 应用视觉标记时
"发送到文件资源管理器"选项 如果选择右键单击文件资源管理器中的任意文件并选择"发送到邮件收件人",则打开并附加了文件的 Outlook 邮件可能不会显示 AIP 工具栏。

如果发生这种情况,并且你需要使用 AIP 工具栏选项,请从 Outlook 内启动电子邮件,然后浏览到并附加要发送的文件。

共同创作的已知问题

仅在租户中启用了共同创作时,共同创作的 已知问题才相关

AIP 中共同创作的已知问题包括:

重要

无法仅将共同创作和敏感度标签部署到某些用户,因为任何新标签对使用旧版 Office不可见。

有关共同创作支持的信息,请参阅 Microsoft 365文档

共同创作和敏感度标签支持的版本

租户中所有应用、服务和操作工具都必须支持共同创作。

在启动之前,请确保系统符合共同创作的Microsoft 365先决条件中列出的版本要求

注意

虽然敏感度标签可以应用于 Office 97-2003 格式的文件,如.doc、.ppt.xls,但不支持这些文件类型共同创作。 将标签应用于新创建的文件或高级文件格式的文件(如.docx、.pptx.xlsx)后,将文件保存为Office 97-2003 格式将导致删除该标签。

策略更新

如果在使用 Azure 信息保护打开 Office时更新了标签策略,则会显示任何新标签,但应用它们将导致错误。

如果发生这种情况,请关闭并重新打开Office应用程序以应用标签。

不支持共同创作的功能

为使用敏感度标签加密的文件启用共同创作时,不支持或部分支持以下功能:

  • DKE 模板和 DKE 用户定义属性。 有关详细信息,请参阅DKE (双密钥) 。

  • 具有用户定义权限的标签。 在 Microsoft Word、Excel 和 PowerPoint 中,具有用户定义权限的标签仍然可用,可以应用于文档,但不支持共同创作功能。

    这意味着,应用具有用户定义权限的标签将阻止你同时与其他用户处理文档。

  • 删除应用中的外部内容标记。 仅在应用标签时(而不是在保存文档时)删除外部内容标记。 有关详细信息,请参阅 Azure 信息保护的客户端

  • 文档中列出的Microsoft 365共同创作限制。

跨租户共享外部文档类型

跨租户共享外部文档类型(如 PDF)时,收件人会收到同意提示,要求他们接受已列出权限的共享。 例如:

跨租户许可提示。

根据应用程序,可能会重复看到同一文档的此提示。 出现提示时,选择 "接受 "以继续共享文档。

策略中的已知问题

发布策略最多可能需要 24 小时。

AIP 查看器的已知问题

有关详细信息,请参阅 统一标签客户端:使用 Azure信息保护查看器查看受保护的文件。

AIP 查看器中的横向视图

AIP 查看器以纵向模式显示图像,一些宽的横向视图图像可能显示为拉伸。

例如,原始图像显示在左侧,右侧是 AIP 查看器中的拉伸纵向版本。

客户端查看器中的外延图像

外部用户和 AIP 查看器

如果外部用户已在 Azure AD 中拥有来宾帐户,则当用户打开受保护的文档时,AIP 查看器可能会显示错误,并告知他们无法使用个人帐户登录。

如果出现此类错误,用户必须安装具有 MIP 扩展的 Adobe Acrobat DC 才能打开受保护的文档。

在使用 MIP 扩展安装 Adobe Acrobat DC 后打开受保护的文档时,用户仍可能看到一个错误,指出所选用户帐户在租户中不存在,并提示他们选择一个帐户。

这是预期错误。 在提示窗口中,选择 "返回 "以继续打开受保护的文档。

注意

AIP 查看器支持来宾组织帐户,Azure AD个人帐户或实时Windows帐户。

跟踪和撤销功能的已知问题

使用统一标签客户端跟踪和撤销文档访问具有以下已知问题:

有关详细信息,请参阅管理员指南和用户指南过程。

受密码保护的文档

跟踪和撤销功能不支持受密码保护的文档。

受保护电子邮件中的多个附件

如果将多个文档附加到电子邮件,然后保护并发送电子邮件,则每个附件将获取相同的 ContentID 值。

只有在打开的第一个文件时,才返回此 ContentID 值。 搜索其他附件不会返回获取跟踪数据所需的 ContentID 值。

此外,撤销其中一个附件的访问权限也会撤销同一受保护电子邮件中其他附件的访问权限。

通过文档或SharePoint访问OneDrive

  • 上传到或删除的受保护SharePoint或OneDrive会丢失其 ContentID值,并且无法跟踪或撤销访问权限。

  • 如果用户从本地或 SharePoint下载OneDrive并且从本地计算机访问该文件,则在本地打开文档时,会向该文档应用新的ContentID。

    使用原始 ContentID 值跟踪数据不包括针对用户下载的文件执行的任何访问。 此外,基于原始 ContentID 值撤销访问权限不会撤销任何已下载文件的访问权限。

    如果管理员有权访问下载的文件,他们可以使用 PowerShell 识别文档的 ContentID 以跟踪和撤销操作。

AIP 客户端和客户端的已知OneDrive

如果文档中存储了OneDrive应用了敏感度标签,并且管理员更改了标签策略中的标签以添加保护,则新应用的保护不会自动应用于带标签的文档。

在这种情况下,请手动重新标记文档以根据需要应用保护。

AIP 和旧版 Windows Office 版本

基于 AIP 的条件访问策略

接收受条件访问策略保护的内容的外部用户必须具有 Azure Active Directory (Azure AD) 企业到企业 (B2B) 协作来宾用户帐户才能查看内容。

尽管可以邀请外部用户激活来宾用户帐户,从而允许他们进行身份验证并通过条件访问要求,但可能很难确保所有外部用户都需要这样做。

建议仅为内部用户启用基于 AIP 的条件访问策略。

仅为内部用户启用 AIP 的条件访问策略

  1. 在 Azure 门户中,导航到" 条件访问" 边栏选项卡,并选择要修改的条件访问策略。
  2. "分配"下,选择"用户和组",然后选择"所有用户"。 确保未选中 "所有来宾和外部 用户 " 选项。
  3. 保存更改。

如果组织不需要该功能,还可以在 Azure 信息保护中完全禁用 CA,以避免此潜在问题。

有关详细信息,请参阅条件 访问文档

详细信息

以下其他文章可能有助于解答有关 Azure 信息保护的问题: