已知问题 - Azure 信息保护

  • 项目

备注

你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?

适用于 Office 的 Azure 信息保护加载项现在处于维护模式,建议使用内置于 Office 365 应用和服务中的标签。 详细了解其他 Azure 信息保护组件的支持状态

使用下面的列表和表可查找有关与 Azure 信息保护功能相关的已知问题和限制的详细信息。

其他数字签名和加密解决方案

Azure 信息保护无法保护或解密使用其他解决方案进行数字签名或加密的文件\电子邮件,例如对使用 S/MIME 签名或加密的邮件移除保护。

容器文件(如 .zip 文件)的客户端支持

容器文件是包括其他文件的文件,典型示例是包括压缩文件的 .zip 文件。 其他示例包括 .rar、.7z、.msg 文件和包含附件的 PDF 文档。

可对这些容器文件进行分类和保护,但分类和保护不会应用到容器内每个文件。

如果容器文件包括已分类和受保护的文件,必须先提取这些文件,以更改其分类或保护设置。 但是,可以使用 Set-AIPFileLabel cmdlet 删除对受支持容器文件中所有文件的保护。

MIP SDK 支持 .msg 文件的加密。

Azure 信息保护查看器无法打开受保护的 PDF 文档中的附件。 在这种情况下,在查看器中打开文档时,附件不可见。

有关详细信息,请参阅管理员指南:Azure 信息保护客户端支持的文件类型

AIP 和 Exploit Protection 的已知问题

Azure 信息保护客户端在具有 .NET 2 或 3(其中启用了 Exploit Protection)的计算机上不受支持,会导致 Office 应用出现意外行为。

在这种情况下,建议升级 .NET 版本。 有关详细信息,请参阅 Microsoft .NET 要求

如果必须保留 .NET 版本 2 或 3,请确保在安装 AIP 之前禁用 Exploit protection。

若要通过 PowerShell 禁用 Exploit protection,请运行以下内容:

Set-ProcessMitigation -Name "OUTLOOK.EXE" -Disable EnableExportAddressFilterPlus, EnableExportAddressFilter, EnableImportAddressFilter

水印的已知问题

向标签添加水印时,请记住,如果使用字号 1,它将自动调整以适应页面。 但是,如果使用任何其他字号,它将使用在字体设置中指定的字号。

PowerShell 对 Azure 信息保护客户端的支持

与 Azure 信息保护客户端一起安装的 AzureInformationProtection PowerShell 模块的当前版本具有以下已知问题:

  • Outlook 个人文件夹(.pst 文件)。 不支持使用 AzureInformationProtection 模块对 .pst 文件进行本机保护。

  • Outlook 受保护电子邮件(带有 .rpmsg 附件的 .msg 文件)。 对于 Outlook 个人文件夹(.pst 文件)内的邮件或 Outlook 邮件文件(.msg 文件)中磁盘上的邮件,AzureInformationProtection 模块支持对 Outlook 受保护电子邮件取消保护。

  • PowerShell 7。 AIP 客户端目前不支持 PowerShell 7。 使用 PS7 将引发错误:“对象引用未设置为某个对象的实例”。

有关详细信息,请参阅管理员指南:将 PowerShell 与 Azure 信息保护客户端配合使用

2.16.73 版 AIP 扫描程序身份验证的已知问题

如果使用 2.16.73 版 AIP 扫描程序或首次安装该版本,则尝试进行身份验证时可能会遇到错误。 错误消息显示“无法进行身份验证和设置 Azure 信息保护”。

此问题是由 MSAL 身份验证问题引起的。 若要解决此问题,可以将注册表项添加到服务器。

路径:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP

DWORD:AuthenticateUsingAdal

值:1

通过添加此注册表项,扫描程序将改用 ADAL 进行身份验证。

AIP 扫描程序的已知问题

  • 目前不支持扫描包含已签名 PDF 文件的 .msg 文件。

  • 敏感信息类型 (SIT) 是可训练分类器和 EDM(完全数据匹配)分类器。

  • 受密码保护的文件。

Office 应用程序中的 AIP 已知问题

功能 已知问题
Office 的多个版本

多个 Office 帐户		 Azure 信息保护统一标记客户端不支持:

- 同一台计算机上的多个 Office 版本
- 多个 Office 帐户,或在 Office 中切换用户帐户
- 共享邮箱
多个显示器 如果使用多个显示器并打开 Office 应用程序:

- 可能会在 Office 应用中遇到性能问题。
- 在一个或两个显示器上,Azure 信息保护栏可能显示为浮动在 Office 屏幕中间

若要确保性能一致,并使该栏保持在正确位置,请打开 Office 应用程序的“选项”对话框,然后在“常规”下选择“针对兼容性优化”,而不是“优化实现最佳显示” 。
Office 2016 中的 IRM 支持 Azure 信息保护标签不支持 DRMEncryptProperty 注册表设置,该设置在 Office 2016 中控制元数据加密。
Outlook 对象模型访问 - Azure 信息保护标签不支持 PromptOOMAddressBookAccess 注册表设置(控制在通过 Outlook 对象模型访问通讯簿时显示的提示)。

- Azure 信息保护标签不支持 PromptOOMAddressInformationAccess 注册表设置(控制通过在程序读取地址信息时显示的提示)。
附加到电子邮件的文件 由于最近 Windows 更新的限制,扫描 Outlook 邮件(.msg 文件)可能会导致这些文件被锁定。 若要解锁文件,请停止扫描程序服务。 在下次扫描邮件之前,再次启动扫描程序服务不会再次锁定文件。

为了明确系统是否受到影响,可能需要对包含单封示例邮件的特定文件夹启动扫描,并在扫描完成后检查文件是否已锁定。

注意:使用 PowerShell 应用和移除保护时,此问题无关紧要。
邮件合并 Office 邮件合并功能无法与 Azure 信息保护功能配合使用。
S/MIME 电子邮件 在 Outlook 阅读窗格中打开 S/MIME 电子邮件可能会造成性能问题。

若要防止 S/MIME 电子邮件出现性能问题,请启用 OutlookSkipSmimeOnReadingPaneEnabled 高级属性。

注意:启用此属性可防止 AIP 栏或电子邮件分类显示在 Outlook 阅读窗格中。
Word 中的内容标记 当相同页眉或页脚也包含表时,Microsoft Word 页眉或页脚中的 AIP 内容标记可能会偏移或放置不正确,或者可能完全隐藏。

有关详细信息,请参阅何时应用视觉标记
发送到文件资源管理器选项 如果选择在文件资源管理器中右键单击任何文件,然后选择“发送到”>“邮件收件人”,则在附加了文件的情况下打开的 Outlook 邮件可能不会显示 AIP 工具栏

如果发生这种情况,并且需要使用 AIP 工具栏选项,请从 Outlook 中启动电子邮件,然后浏览到并附加要发送的文件。

共同创作的已知问题

只有在租户中启用了共同创作时,才需要考虑共同创作的已知问题。

AIP 中共同创作的已知问题包括:

重要

共同创作和敏感度标签只是不能部署到某些用户,因为任何新标签都对使用较早版本 Office 客户端的用户不可见。

有关共同创作支持的详细信息,请参阅 Microsoft 365 文档,尤其是记录的限制

共同创作和敏感度标签支持的版本

租户中的所有应用、服务和操作工具都必须支持共同创作。

在开始之前,请确保系统符合 Microsoft 365 共同创作的先决条件中列出的版本要求。

建议始终使用可用的最新 Office 版本。 早期版本可能会导致意外结果,例如无法在 Azure 信息保护中看到标签,或者无法强制执行策略。

注意

尽管可以对 Office 97-2003 格式(例如 .doc、.ppt 和 .xls)的文件应用敏感度标签,但不支持对这些文件类型进行共同创作。 将标签应用于新创建的文件或高级文件格式(如 .docx、.pptx 和 .xlsx)的文件后,以 Office 97-2003 格式保存文件会导致删除标签 。

策略更新

如果在使用 Azure 信息保护打开 Office 应用程序时更新了标记策略,则任何新标签都会进行显示,但应用它们会导致错误。

如果出现这种情况,请关闭并重新打开 Office 应用程序,以便能够应用标签。

应用标签时用户界面发生变化

在租户中启用共同创作后,为用户定义权限配置的标签的用户体验将更改为内置标签的体验。

用户将看到与选择“文件”选项卡 >“信息”>“保护文档”>“限制访问”>“受限访问”时一样的对话框,而不是可从中选择权限级别(例如“查看者”、“审阅者”和“仅限本人”)的“Azure 信息保护”对话框。 在“Azure 信息保护”对话框中,他们可以指定所选权限和用户。

有关详细信息,请参阅 Microsoft Purview 文档中的 Word、PowerPoint 和 Excel 权限部分。

注意

与“Azure 信息保护”对话框不同,“受限访问”对话框不支持通过指定域名自动包含组织中的所有用户。

共同创作不支持的功能

对使用敏感度标签加密的文件启用共同创作时,不支持或部分支持以下功能:

  • DKE 模板和 DKE 用户定义的属性。 有关详细信息,请参阅双重密钥加密 (DKE)

  • 具有用户定义的权限的标签。 在 Microsoft Word、Excel 和 PowerPoint 中,具有用户定义的权限的标签仍可用,可以应用于文档,但在共同创作功能方面不受支持。

  • 这意味着,应用具有用户定义的权限的标签将会阻止你与其他人同时处理文档。

  • 删除应用中的外部内容标记。 仅当应用标签而不是保存文档时,才会删除外部内容标记。 有关详细信息,请参阅 Azure 信息保护的客户端

  • Microsoft 365 文档中列为共同创作限制的功能。

  • 用于映射其他标记解决方案的 Labelbycustomproperties 不适用于启用共同身份验证。

在租户之间共享外部文档类型

当用户在租户之间共享外部文档类型(如 PDF)时,收件人将收到一条同意提示,请求他们接受所列权限的共享。 例如:

Cross-tenant consent prompt.

你可能会反复看到针对同一文档的提示,具体取决于你的应用程序。 提示出现时,请选择“接受”以继续查看共享文档。

策略中的已知问题

发布策略最长可能需要 24 小时。

AIP 查看器的已知问题

有关详细信息,请参阅统一标记客户端:使用 Azure 信息保护查看器查看受保护的文件

对受保护 PDF 和 Intune 的移动客户端支持

Android 上的 Azure 信息保护查看器无法在 Intune 管理的设备上打开受保护的 PDF 文档。

若要在移动设备上查看受保护的 PDF,请与管理员联系以禁用 Intune 移动应用程序管理。

在 .NET 平台和依赖项更新之后,Android 上的 Azure 信息保护查看器将恢复对 Intune MAM 的支持。

AIP 查看器中的横向视图

AIP 查看器以纵向模式显示图像,某些横向视图的宽图像可能显示为进行了拉伸。

例如,原始图像显示在左侧下方,在右侧的 AIP 查看器中具有经过拉伸的纵向版本。

Stretched image in client viewer

外部用户和 AIP 查看器

如果外部用户在 Microsoft Entra ID 中已经具有来宾帐户,则当用户打开受保护文档时,AIP 查看器可能会显示错误,告知他们无法使用个人帐户登录。

如果出现此类错误,则用户必须安装具有 MIP 扩展的 Adobe Acrobat DC 才能打开受保护文档。

当用户在安装具有 MIP 扩展的 Adobe Acrobat DC 之后打开受保护文档时,该用户可能仍会看到错误,指出租户中不存在所选用户帐户,并提示选择帐户。

这是预期行为。 在提示窗口中,选择“返回”以继续打开受保护文档。

注意

AIP 查看器支持 Microsoft Entra ID 中的来宾组织帐户,但不支持个人或 Windows Live 帐户

Android 设备上受 ADRMS 保护的文件

在 Android 设备上,AIP 查看器应用无法打开受 ADRMS 保护的文件。

跟踪和撤销功能的已知问题

使用统一标记客户端跟踪和撤销文档访问具有以下已知问题:

有关详细信息,请参阅管理员指南用户指南过程。

受密码保护的文档

跟踪和撤销功能不支持受密码保护的文档。

受保护电子邮件中的多个附件

如果将多个文档附加到电子邮件,然后保护并发送它,则每个附件会获得相同的 ContentID 值。

此 ContentID 值仅随打开的第一个文件返回。 搜索其他附件不会返回获取跟踪数据所需的 ContentID 值。

此外,撤销对其中一个附件的访问也会撤消对同一受保护电子邮件中其他附件的访问。

通过 SharePoint 或 OneDrive 访问的文档

  • 上传到 SharePoint 或 OneDrive 的受保护文档会丢失其 ContentID 值,无法跟踪或撤销访问。

  • 如果用户从 SharePoint 或 OneDrive 下载文件,并从本地计算机访问该文件,则在本地打开文档时,新 ContentID 会应用于文档。

    使用原始 ContentID 值跟踪数据不会包括为用户下载的文件执行的任何访问。 此外,基于原始 ContentID 值撤销访问不会撤销对任何已下载文件的访问。

    如果管理员有权访问下载的文件,他们可以使用 PowerShell 来识别文档的 ContentID,以执行跟踪和撤销操作。

AIP 客户端和 OneDrive 的已知问题

如果文档存储在 OneDrive 中且应用了敏感度标签,并且管理员在标记策略中更改标签以添加保护,则新应用的保护不会自动应用于标记的文档。

在这种情况下,请根据需要手动重新标记文档以应用保护。

基于 AIP 的条件访问策略

接收受条件访问策略保护的内容的外部用户必须具有 Microsoft Entra 企业到企业 (B2B) 协作来宾用户帐户才能查看内容。

虽然你可以邀请外部用户激活来宾用户帐户,以便他们可以进行身份验证和满足条件访问要求,但可能难以确保为所需的所有外部用户都进行此操作。

建议仅为内部用户启用基于 AIP 的条件访问策略。

仅为内部用户启用 AIP 的条件访问策略

  1. 在 Azure 门户中,导航到“条件访问”边栏选项卡,然后选择要修改的条件访问策略。
  2. 在“分配”下,选择“用户和组”,然后选择“所有用户” 。 请确保未选择“所有来宾和外部用户”选项。
  3. 保存更改。

如果组织不需要该功能,你还可以在 Azure 信息保护中完全禁用/排除 CA,以避免此潜在问题。

有关详细信息,请参阅条件访问文档

不能将包含子标签的标签作为独立标签发布或使用

如果某个标签包含 Microsoft Purview 合规性门户中的任何子标签,则不得将该标签发布为任何 AIP 用户的独立标签。

同样,AIP 不支持将包含子标签的标签用作默认标签,你无法为这些标签配置自动标记功能。

此外,统一标记客户端不支持使用具有 UDP(用户定义的权限)的标签作为默认标签。

更多信息

以下附加文章可能有助于回答关于 Azure 信息保护的问题: