已知问题 - Azure 信息保护

备注

你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?

Azure 信息保护加载项已停用,并已替换为 Microsoft 365 应用和服务中内置的标签。 详细了解其他 Azure 信息保护组件的支持状态

使用下面的列表和表可查找有关与 Azure 信息保护功能相关的已知问题和限制的详细信息。

其他数字签名和加密解决方案

Azure 信息保护无法保护或解密使用其他解决方案进行数字签名或加密的文件\电子邮件,例如对使用 S/MIME 签名或加密的邮件移除保护。

容器文件(如 .zip 文件)的客户端支持

容器文件是包括其他文件的文件,典型示例是包括压缩文件的 .zip 文件。 其他示例包括 .rar、.7z、.msg 文件和包含附件的 PDF 文档。

可对这些容器文件进行分类和保护,但分类和保护不会应用到容器内每个文件。

如果容器文件包括已分类和受保护的文件,必须先提取这些文件,以更改其分类或保护设置。 但是,可以使用 Set-AIPFileLabel cmdlet 删除对受支持容器文件中所有文件的保护。

MIP SDK 支持 .msg 文件的加密。

Azure 信息保护查看器无法打开受保护的 PDF 文档中的附件。 在这种情况下,在查看器中打开文档时,附件不可见。

有关详细信息,请参阅管理员指南:Azure 信息保护客户端支持的文件类型

水印的已知问题

向标签添加水印时,请记住,如果使用字号 1,它将自动调整以适应页面。 但是,如果使用任何其他字号,它将使用在字体设置中指定的字号。

PowerShell 对 Azure 信息保护客户端的支持

与 Azure 信息保护客户端一起安装的 AzureInformationProtection PowerShell 模块的当前版本具有以下已知问题:

  • Outlook 个人文件夹(.pst 文件)。 不支持使用 AzureInformationProtection 模块对 .pst 文件进行本机保护。

  • Outlook 受保护电子邮件(带有 .rpmsg 附件的 .msg 文件)。 对于 Outlook 个人文件夹(.pst 文件)内的邮件或 Outlook 邮件文件(.msg 文件)中磁盘上的邮件,AzureInformationProtection 模块支持对 Outlook 受保护电子邮件取消保护。

  • PowerShell 7。 AIP 客户端目前不支持 PowerShell 7。 使用 PS7 将引发错误:“对象引用未设置为某个对象的实例”。

有关详细信息,请参阅管理员指南:将 PowerShell 与 Azure 信息保护客户端配合使用

2.16.73 版 AIP 扫描程序身份验证的已知问题

如果使用 2.16.73 版 AIP 扫描程序或首次安装该版本,则尝试进行身份验证时可能会遇到错误。 错误消息显示“无法进行身份验证和设置 Azure 信息保护”。

此问题是由 MSAL 身份验证问题引起的。 若要解决此问题,可以将注册表项添加到服务器。

路径:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP

DWORD:AuthenticateUsingAdal

值:1

通过添加此注册表项,扫描程序将改用 ADAL 进行身份验证。

AIP 扫描程序的已知问题

  • 目前不支持扫描包含已签名 PDF 文件的 .msg 文件。

  • 敏感信息类型 (SIT) 是可训练分类器和 EDM(完全数据匹配)分类器。

  • 受密码保护的文件。

共同创作的已知问题

只有在租户中启用了共同创作时,才需要考虑共同创作的已知问题。

AIP 中共同创作的已知问题包括:

重要

共同创作和敏感度标签只是不能部署到某些用户,因为任何新标签都对使用较早版本 Office 客户端的用户不可见。

有关共同创作支持的详细信息,请参阅 Microsoft 365 文档,尤其是记录的限制

共同创作和敏感度标签支持的版本

租户中的所有应用、服务和操作工具都必须支持共同创作。

在开始之前,请确保系统符合 Microsoft 365 共同创作的先决条件中列出的版本要求。

建议始终使用可用的最新 Office 版本。 早期版本可能会导致意外结果,例如无法在 Azure 信息保护中看到标签,或者无法强制执行策略。

注意

尽管可以对 Office 97-2003 格式(例如 .doc、.ppt 和 .xls)的文件应用敏感度标签,但不支持对这些文件类型进行共同创作。 将标签应用于新创建的文件或高级文件格式(如 .docx、.pptx 和 .xlsx)的文件后,以 Office 97-2003 格式保存文件会导致删除标签 。

策略更新

如果在使用 Azure 信息保护打开 Office 应用程序时更新了标记策略,则任何新标签都会进行显示,但应用它们会导致错误。

如果出现这种情况,请关闭并重新打开 Office 应用程序,以便能够应用标签。

应用标签时用户界面发生变化

在租户中启用共同创作后,为用户定义权限配置的标签的用户体验将更改为内置标签的体验。

用户将看到与选择“文件”选项卡 >“信息”>“保护文档”>“限制访问”>“受限访问”时一样的对话框,而不是可从中选择权限级别(例如“查看者”、“审阅者”和“仅限本人”)的“Azure 信息保护”对话框。 在“Azure 信息保护”对话框中,他们可以指定所选权限和用户。

有关详细信息,请参阅 Microsoft Purview 文档中的 Word、PowerPoint 和 Excel 权限部分。

注意

与“Azure 信息保护”对话框不同,“受限访问”对话框不支持通过指定域名自动包含组织中的所有用户。

共同创作不支持的功能

对使用敏感度标签加密的文件启用共同创作时,不支持或部分支持以下功能:

  • DKE 模板和 DKE 用户定义的属性。 有关详细信息,请参阅双重密钥加密 (DKE)

  • 这意味着,应用具有用户定义的权限的标签将会阻止你与其他人同时处理文档。

  • 删除应用中的外部内容标记。 仅当应用标签而不是保存文档时,才会删除外部内容标记。 有关详细信息,请参阅 Azure 信息保护的客户端

  • Microsoft 365 文档中列为共同创作限制的功能。

  • 用于映射其他标记解决方案的 Labelbycustomproperties 不适用于启用共同身份验证。

在租户之间共享外部文档类型

当用户在租户之间共享外部文档类型(如 PDF)时,收件人将收到一条同意提示,请求他们接受所列权限的共享。 例如:

跨租户的同意提示。

你可能会反复看到针对同一文档的提示,具体取决于你的应用程序。 提示出现时,请选择“接受”以继续查看共享文档。

策略中的已知问题

发布策略最长可能需要 24 小时。

AIP 查看器的已知问题

有关详细信息,请参阅统一标记客户端:使用 Azure 信息保护查看器查看受保护的文件

外部用户和 AIP 查看器

如果外部用户在 Microsoft Entra ID 中已经具有来宾帐户,则当用户打开受保护文档时,AIP 查看器可能会显示错误,告知他们无法使用个人帐户登录。

如果出现此类错误,则用户必须安装具有 MIP 扩展的 Adobe Acrobat DC 才能打开受保护文档。

当用户在安装具有 MIP 扩展的 Adobe Acrobat DC 之后打开受保护文档时,该用户可能仍会看到错误,指出租户中不存在所选用户帐户,并提示选择帐户。

这是预期行为。 在提示窗口中,选择“返回”以继续打开受保护文档。

注意

AIP 查看器支持 Microsoft Entra ID 中的来宾组织帐户,但不支持个人或 Windows Live 帐户

Android 设备上受 ADRMS 保护的文件

在 Android 设备上,AIP 查看器应用无法打开受 ADRMS 保护的文件。

跟踪和撤销功能的已知问题

使用统一标记客户端跟踪和撤销文档访问具有以下已知问题:

有关详细信息,请参阅管理员指南用户指南过程。

受密码保护的文档

跟踪和撤销功能不支持受密码保护的文档。

通过 SharePoint 或 OneDrive 访问的文档

  • 上传到 SharePoint 或 OneDrive 的受保护文档会丢失其 ContentID 值,无法跟踪或撤销访问。

  • 如果用户从 SharePoint 或 OneDrive 下载文件,并从本地计算机访问该文件,则在本地打开文档时,新 ContentID 会应用于文档。

    使用原始 ContentID 值跟踪数据不会包括为用户下载的文件执行的任何访问。 此外,基于原始 ContentID 值撤销访问不会撤销对任何已下载文件的访问。

    如果管理员有权访问下载的文件,他们可以使用 PowerShell 来识别文档的 ContentID,以执行跟踪和撤销操作。

AIP 客户端和 OneDrive 的已知问题

如果文档存储在 OneDrive 中且应用了敏感度标签,并且管理员在标记策略中更改标签以添加保护,则新应用的保护不会自动应用于标记的文档。

在这种情况下,请根据需要手动重新标记文档以应用保护。

基于 AIP 的条件访问策略

接收受条件访问策略保护的内容的外部用户必须具有 Microsoft Entra 企业到企业 (B2B) 协作来宾用户帐户才能查看内容。

虽然你可以邀请外部用户激活来宾用户帐户,以便他们可以进行身份验证和满足条件访问要求,但可能难以确保为所需的所有外部用户都进行此操作。

建议仅为内部用户启用基于 AIP 的条件访问策略。

仅为内部用户启用 AIP 的条件访问策略

  1. 在 Azure 门户中,导航到“条件访问”边栏选项卡,然后选择要修改的条件访问策略。
  2. 在“分配”下,选择“用户和组”,然后选择“所有用户” 。 请确保未选择“所有来宾和外部用户”选项。
  3. 保存更改。

如果组织不需要该功能,你还可以在 Azure 信息保护中完全禁用/排除 CA,以避免此潜在问题。

有关详细信息,请参阅条件访问文档

不能将包含子标签的标签作为独立标签发布或使用

如果某个标签包含 Microsoft Purview 合规性门户中的任何子标签,则不得将该标签发布为任何 AIP 用户的独立标签。

同样,AIP 不支持将包含子标签的标签用作默认标签,你无法为这些标签配置自动标记功能。

此外,统一标记客户端不支持使用具有 UDP(用户定义的权限)的标签作为默认标签。

更多信息

以下附加文章可能有助于回答关于 Azure 信息保护的问题: