Bekannte Probleme: Azure Information Protection

Hinweis

Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?

Der AIP-Client (Azure Information Protection) für einheitliche Bezeichnungen befindet sich nun im Wartungsmodus. Es wird empfohlen, Bezeichnungen zu verwenden, die in Ihre Office 365-Apps und -Dienste integriert sind. Weitere Informationen

Verwenden Sie die nachstehenden Listen und Tabellen, um Details zu bekannten Problemen und Einschränkungen im Zusammenhang mit Azure Information Protection Features zu finden.

Weitere Lösungen für digitale Signatur und Verschlüsselung

Azure Information Protection kann dateien\E-Mails, die digital signiert oder mit anderen Lösungen verschlüsselt sind, nicht schützen oder entschlüsseln, z. B. den Schutz vor E-Mails, die mit S/MIME signiert oder verschlüsselt sind.

Clientunterstützung für Containerdateien, z. B. .zip Dateien

Containerdateien sind Dateien, die andere Dateien enthalten. Ein typisches Beispiel sind ZIP-Dateien, die komprimierte Dateien enthalten. Weitere Beispiele sind RAR-, .7z- und MSG-Dateien sowie PDF-Dokumente, die Anlagen enthalten.

Sie können diese Containerdateien klassifizieren und schützen, die Klassifizierung und der Schutz wird jedoch nicht auf jede Datei innerhalb des Containers angewendet.

Bei einer Containerdatei, die klassifizierte und geschützte Dateien enthält, müssen Sie zuerst die Dateien extrahieren, um die Einstellungen für die Klassifizierung oder den Schutz zu ändern. Sie können jedoch den Schutz für alle Dateien in unterstützten Containerdateien aufheben, indem Sie das Cmdlet Set-AIPFileEtikett verwenden.

Der Azure Information Protection Viewer kann Anlagen in einem geschützten PDF-Dokument nicht öffnen. Wenn das Dokument in diesem Szenario in der Viewer geöffnet wird, sind die Anlagen nicht sichtbar.

Weitere Informationen finden Sie im Admin-Handbuch: Vom Azure Information Protection-Client unterstützte Dateitypen.

Bekannte Probleme für AIP- und Exploit-Schutz

Der Azure-Information Protection-Client wird auf Computern mit .NET 2 oder 3 nicht unterstützt, wobei Exploit-Schutz aktiviert ist, und führt dazu, dass sich Office-Apps unerwartet verhalten.

In solchen Fällen wird empfohlen, ihre .NET-Version zu aktualisieren. Weitere Informationen finden Sie unter Microsoft .NET Framework-Anforderungen.

Wenn Sie Die .NET-Version 2 oder 3 beibehalten müssen, deaktivieren Sie den Exploit-Schutz vor der Installation von AIP.

Führen Sie zum Deaktivieren des Exploit-Schutzes über PowerShell folgendes aus:

Set-ProcessMitigation -Name "OUTLOOK.EXE" -Disable EnableExportAddressFilterPlus, EnableExportAddressFilter, EnableImportAddressFilter

PowerShell-Unterstützung für den Azure Information Protection-Client

Die aktuelle Version des AzureInformationProtection PowerShell-Moduls, das mit dem Azure Information Protection-Client installiert wird, weist die folgenden bekannten Probleme auf:

  • Outlook persönliche Ordner (.pst Dateien). Der systemeigene Schutz von PST-Dateien wird nicht mithilfe des AzureInformationProtection-Moduls unterstützt.

  • Outlook-geschützte E-Mail-Nachrichten (.msg-Dateien mit einem .rpmsg-Anhang). Das Aufheben des Schutzes von geschützten Outlook-E-Mail-Nachrichten wird vom Modul AzureInformationProtection für Nachrichten in einem persönlichen Outlook-Ordner (.pst-Datei) oder auf der Festplatte in einer Outlook-Nachrichtendatei (.msg-Datei) unterstützt.

  • PowerShell 7. Derzeit wird PowerShell 7 vom AIP-Client nicht unterstützt. die Verwendung von PS7 führt zu dem Fehler: "Objektverweis wird nicht auf eine Instanz eines Objekts festgelegt".

Weitere Informationen finden Sie unter Administratorhandbuch: Verwenden von PowerShell mit dem Azure Information Protection-Client.

Bekannte Probleme bei AIP in Office Anwendungen

Feature Bekannte Probleme
Mehrere Versionen von Office

Mehrere Office-Konten
Der Azure Information Protection Client für einheitliche Bezeichnungen unterstützt nicht:

- Mehrere Versionen von Office auf demselben Computer
– Mehrere Office Konten oder das Wechseln von Benutzerkonten in Office
freigegebenen Postfächer
Mehrere Displays Wenn Sie mehrere Displays verwenden und eine Office Anwendung geöffnet haben:

– In Ihren Office Apps können Leistungsprobleme auftreten.
- Die Azure-Information Protection-Leiste kann in der Mitte des Office Bildschirms in einer oder beiden Displays angezeigt werden.

Um eine gleichbleibende Leistung zu gewährleisten und dafür zu sorgen, dass die Leiste an der richtigen Stelle bleibt, öffnen Sie das Dialogfeld Optionen für Ihre Office-Anwendung und wählen Sie unter Allgemein die Option Für Kompatibilität optimieren anstelle von Für bestes Aussehen optimieren.
IRM-Unterstützung in Office 2016 Die REGISTRIERUNGSeinstellung DRMEncryptProperty, die die Metadatenverschlüsselung in Office 2016 steuert, wird für Azure Information Protection Bezeichnungen nicht unterstützt.
Outlook-Objektmodell-Zugriff – Die Registrierungseinstellung "PromptOOMAddressBookAccess", die die Eingabeaufforderungen steuert, die angezeigt werden, wenn adressbücher über das Outlook-Objektmodell aufgerufen werden, werden mit Azure Information Protection Bezeichnungen nicht unterstützt.

– Die Registrierungseinstellung "PromptOOMAddressInformationAccess", die die Eingabeaufforderungen steuert, die angezeigt werden, wenn ein Programm Adressinformationen liest, wird für Azure Information Protection Bezeichnungen nicht unterstützt.
Dateien im Anhang zu E-Mails Aufgrund einer Einschränkung in aktuellen Windows-Updates kann das Scannen von Outlook-Nachrichten (.msg-Dateien) dazu führen, dass diese Dateien gesperrt werden. Um die Dateien zu entsperren, beenden Sie den Scannerdienst. Wenn der Scannerdienst erneut gestartet wird, werden die Dateien erst wieder gesperrt, wenn die Nachrichten das nächste Mal gescannt werden.

Um zu klären, ob Ihr System betroffen ist, möchten Sie möglicherweise eine Überprüfung auf einem bestimmten Ordner mit einer einzelnen, Beispielmeldung starten und überprüfen, ob die Datei gesperrt ist, nachdem der Scan abgeschlossen ist.

Hinweis: Dieses Problem ist beim Anwenden und Entfernen des Schutzes mit PowerShell nicht relevant.
Mail-Zusammenführung Das Office-Seriendruckfeature wird nicht mit einem Azure-Information Protection-Feature unterstützt.
S/MIME-E-Mails Das Öffnen von S/MIME-E-Mails im Lesebereich Outlook kann zu Leistungsproblemen führen.

Um Leistungsprobleme mit S/MIME-E-Mails zu vermeiden, aktivieren Sie die erweiterte Eigenschaft OutlookSkipSmimeOnReadingPaneEnabled.

Hinweis: Die Aktivierung dieser Eigenschaft verhindert, dass die AIP-Leiste oder die E-Mail-Klassifizierung im Lesebereich von Outlook angezeigt wird.
Inhaltsmarkierungen in Word AIP Inhaltsmarkierungen in Kopf- oder Fußzeilen von Microsoft Word können versetzt oder falsch platziert sein oder ganz ausgeblendet werden, wenn dieselbe Kopf- oder Fußzeile auch eine Tabelle enthält.

Weitere Informationen finden Sie unter Wenn visuelle Markierungen angebracht werden.
Option "An Datei-Explorer senden" Wenn Sie mit der rechten Maustaste auf eine beliebige Datei im Datei-Explorer klicken und Senden an > Mail-Empfänger wählen, wird in der Outlook-Nachricht, die mit der angehängten Datei geöffnet wird, möglicherweise nicht die AIP-Symbolleiste angezeigt.

Wenn dies geschieht und Sie die AIP-Symbolleistenoptionen verwenden müssen, starten Sie Ihre E-Mails von Outlook aus, und navigieren Sie dann zu der Datei, die Sie senden möchten.

Bekannte Probleme bei der gemeinsamen Dokumenterstellung

Bekannte Probleme für Co-Authoring sind nur relevant, wenn Co-Authoring in Ihrem Mandanten aktiviert ist.

Bekannte Probleme bei der gemeinsamen Dokumenterstellung in AIP umfassen:

Wichtig

Gemeinsame Dokumenterstellung und Vertraulichkeitsbezeichnungen können nur für einige Benutzer bereitgestellt werden, da keine neuen Bezeichnungen für Benutzer mit einer älteren Version des Office-Clients sichtbar sind.

Weitere Informationen zur Unterstützung von Co-Autoren finden Sie in der Microsoft 365-Dokumentation, insbesondere in den dokumentierten Einschränkungen.

Unterstützte Versionen für gemeinsame Dokumenterstellung und Vertraulichkeitsbezeichnungen

Alle Apps, Dienste und Operationstools in Ihrem Mandanten müssen die gemeinsame Dokumenterstellung unterstützen.

Bevor Sie beginnen, vergewissern Sie sich, dass Ihr System die Versionsanforderungen erfüllt, die in den Microsoft 365-Voraussetzungen für Co-Authoring aufgeführt sind.

Wir empfehlen Ihnen, immer die neueste verfügbare Office-Version zu verwenden. Frühere Versionen können unerwartete Ergebnisse verursachen, z. B. keine Bezeichnungen in Azure Information Protection oder keine Richtlinienerzwingung.

Hinweis

Vertraulichkeitsbezeichnungen können zwar auf Dateien in Office 97-2003-Formaten angewendet werden, z. B. .doc, .pptund .xls, die gemeinsame Dokumenterstellung für diese Dateitypen wird nicht unterstützt. Sobald ein Etikett auf eine neu erstellte Datei oder eine Datei im erweiterten Dateiformat wie .docx, .pptx und .xlsx angewendet wurde, wird das Etikett beim Speichern der Datei in einem Office 97-2003-Format entfernt.

Richtlinienupdates

Wenn Ihre Bezeichnungsrichtlinie aktualisiert wurde, während eine Office Anwendung mit Azure Information Protection geöffnet wurde, werden alle neuen Bezeichnungen angezeigt, die Anwendung führt jedoch zu einem Fehler.

Wenn dies geschieht, schließen Sie Ihre Office Anwendung, um Ihre Bezeichnungen anzuwenden.

Änderungen der Benutzeroberfläche beim Anwenden von Bezeichnungen

Wenn die gemeinsame Dokumenterstellung in Ihrem Mandanten aktiviert ist, wird die Benutzeroberfläche für Bezeichnungen, die für benutzerdefinierte Berechtigungen konfiguriert sind, für die Benutzeroberfläche für integrierte Bezeichnungen geändert.

Anstatt das Dialogfeld Microsoft Azure Informationsschutz zu sehen, in dem Benutzer Berechtigungsstufen wie Betrachter, Überprüfer und Nur für mich auswählen können, sehen sie dasselbe Dialogfeld, als wenn sie die Registerkarte Datei>Info>Dokument schützen>Eingeschränkter Zugriff>Eingeschränkter Zugriff gewählt hätten. In diesem Dialogfeld können sie ihre Auswahl an Berechtigungen und Benutzern angeben.

Weitere Informationen finden Sie im Word-, PowerPoint- undCoulde-Objekt, um es weniger formal zu gestalten? Abschnitt "Excel-Berechtigungen " aus der Microsoft Purview-Dokumentation.

Hinweis

Im Gegensatz zum Dialogfeld Microsoft Azure Informationsschutz unterstützt das Dialogfeld Eingeschränkter Zugriff nicht die Angabe eines Domänennamens, um automatisch alle Benutzer in der Organisation einzuschließen.

Nicht unterstützte Features für die gemeinsame Dokumenterstellung

Die folgenden Features werden nicht unterstützt oder teilweise unterstützt, wenn die gemeinsame Dokumenterstellung für Dateien aktiviert ist , die mit Vertraulichkeitsbezeichnungen verschlüsselt sind:

  • DKE-Vorlagen und benutzerdefinierte DKE-Eigenschaften. Weitere Informationen finden Sie unter Double Key Encryption (DKE).

  • Etiketten mit benutzerdefinierten Rechten. In Microsoft Word, Excel und PowerPoint sind Bezeichnungen mit benutzerdefinierten Berechtigungen weiterhin verfügbar und können auf Dokumente angewendet werden, werden jedoch für gemeinsame Dokumenterstellungsfeatures nicht unterstützt.

    Dies bedeutet, dass das Anwenden einer Bezeichnung mit benutzerdefinierten Berechtigungen verhindert, dass Sie gleichzeitig an dem Dokument arbeiten.

  • Entfernen der Markierung externer Inhalte in Anwendungen. Externe Inhaltsmarkierung wird nur entfernt, wenn eine Bezeichnung angewendet wird und nicht, wenn das Dokument gespeichert wird. Weitere Informationen finden Sie unter Die Clientseite von Azure Information Protection.

  • Funktionen, die in der Microsoft 365-Dokumentation als Einschränkungen bei der Mitautorschaft aufgeführt sind.

Freigeben externer Dokumenttypen über Mandanten hinweg

Wenn Benutzer externe Dokumenttypen, z. B. PDFs, über Mandanten hinweg freigeben, erhalten Empfänger eine Zustimmungsaufforderung, die erfordert, dass sie die Freigabe der aufgelisteten Berechtigungen akzeptieren müssen. Beispiel:

Aufforderung zur Mandanteneinstimmung.

Je nach Anwendung wird diese Aufforderung möglicherweise wiederholt für dasselbe Dokument angezeigt. Wenn die Aufforderung erscheint, wählen Sie Akzeptieren, um mit dem gemeinsamen Dokument fortzufahren.

Bekannte Probleme in Richtlinien

Veröffentlichungsrichtlinien können bis zu 24 Stunden dauern.

Bekannte Probleme für den AIP-Viewer

Für weitere Informationen siehe Unified labeling client: Betrachten Sie geschützte Dateien mit dem Azure Information Protection Viewer.

Queransichten im AIP-Viewer

Der AIP-Viewer zeigt Bilder im Hochformatmodus an, und einige breite, Queransichtsbilder werden möglicherweise gestreckt.

So wird z. B. unten auf der linken Seite ein Originalbild mit einer gestreckten, hochformatierten Version im AIP-Viewer rechts angezeigt.

Gestrecktes Bild in der Clientanzeige

Externe Benutzer und der AIP-Viewer

Wenn ein externer Benutzer bereits über ein Gastkonto in Azure AD verfügt, zeigt der AIP Viewer möglicherweise einen Fehler an, wenn der Benutzer ein geschütztes Dokument öffnet, um sie darüber zu informiert, dass er sich nicht mit einem persönlichen Konto anmelden kann.

Wenn ein solcher Fehler auftritt, muss der Benutzer Adobe Acrobat DC mit der MIP-Erweiterung installieren, um das geschützte Dokument öffnen zu können.

Wenn ein Benutzer das geschützte Dokument nach der Installation von Adobe Acrobat DC mit der MIP-Erweiterung öffnet, wird möglicherweise weiterhin ein Fehler angezeigt, der anzeigt, dass das ausgewählte Benutzerkonto nicht im Mandanten vorhanden ist und sie aufgefordert, ein Konto auszuwählen.

Dies ist ein erwarteter Fehler. Wählen Sie im Eingabeaufforderungsfenster Zurück, um mit dem Öffnen des geschützten Dokuments fortzufahren.

Hinweis

Der AIP Viewer unterstützt Gastkonten organisatorische Konten in Azure AD, aber keine persönlichen oder Windows Live-Konten.

ADRMS-geschützte Dateien auf Android-Geräten

Auf Android-Geräten können ADRMS-geschützte Dateien nicht von der AIP Viewer-App geöffnet werden.

Bekannte Probleme beim Nachverfolgen und Widerrufen von Features

Das Nachverfolgen und Widerrufen des Dokumentzugriffs mithilfe des einheitlichen Bezeichnungsclients weist die folgenden bekannten Probleme auf:

Weitere Informationen finden Sie in den Anleitungen Admin Guide und User Guide.

Kennwortgeschützte Dokumente

Kennwortgeschützte Dokumente werden nicht durch Nachverfolgen und Widerrufen von Features unterstützt.

Mehrere Anlagen in einer geschützten E-Mail

Wenn Sie mehrere Dokumente an eine E-Mail anfügen und dann die E-Mail schützen und senden, erhält jede Anlage denselben ContentID-Wert.

Dieser ContentID-Wert wird nur mit der ersten Datei zurückgegeben, die geöffnet wurde. Bei der Suche nach den anderen Anlagen wird der ContentID-Wert nicht zurückgegeben, der zum Abrufen von Nachverfolgungsdaten erforderlich ist.

Darüber hinaus widerrufen Sie den Zugriff auf eine der Anlagen auch für die anderen Anlagen in derselben geschützten E-Mail.

Über SharePoint oder OneDrive zugegriffene Dokumente

  • Geschützte Dokumente, die in SharePoint hochgeladen werden, oder OneDrive verlieren ihren ContentID-Wert , und der Zugriff kann nicht nachverfolgt oder widerrufen werden.

  • Wenn ein Benutzer die Datei von SharePoint oder OneDrive herunterlädt und von seinem lokalen Rechner aus darauf zugreift, wird eine neue ContentID auf das Dokument angewendet, wenn er es lokal öffnet.

    Die Verwendung des ursprünglichen ContentID-Werts zum Nachverfolgen von Daten umfasst keinen Zugriff, der für die heruntergeladene Datei des Benutzers ausgeführt wurde. Darüber hinaus wird das Widerrufen des Zugriffs basierend auf dem ursprünglichen ContentID-Wert keinen Zugriff für alle heruntergeladenen Dateien widerrufen.

    Wenn Administratoren Zugriff auf die heruntergeladenen Dateien haben, können sie die PowerShell verwenden, um die ContentID eines Dokuments zu identifizieren und Aktionen zu verfolgen und zu widerrufen.

Bekannte Probleme für den AIP-Client und OneDrive

Wenn Dokumente in OneDrive mit angewendeter Vertraulichkeitsbezeichnung gespeichert sind und ein Administrator die Bezeichnung in der Bezeichnungsrichtlinie ändert, um Schutz hinzuzufügen, wird der neu angewendete Schutz nicht automatisch auf das beschriftete Dokument angewendet.

In solchen Fällen beschriften Sie das Dokument manuell, um den Schutz nach Bedarf anzuwenden.

AIP-basierte Richtlinien für bedingten Zugriff

Externe Benutzer, die durch Richtlinien für den bedingten Zugriff geschützte Inhalte erhalten, müssen über ein Azure Active Directory (Azure AD) Business-to-Business (B2B) Collaboration-Gastbenutzerkonto verfügen, um die Inhalte anzeigen zu können.

Während Sie externe Benutzer einladen können, ein Gastbenutzerkonto zu aktivieren, damit sie sich authentifizieren und die Anforderungen für den bedingten Zugriff übergeben können, kann es schwierig sein, sicherzustellen, dass dies für alle externen Benutzer erforderlich ist.

Es wird empfohlen, AIP-basierte Richtlinien für bedingten Zugriff nur für Ihre internen Benutzer zu aktivieren.

Aktivieren Sie bedingte Zugriffsrichtlinien für AIP nur für interne Benutzer:

  1. Navigieren Sie im Azure-Portal zum Blade Conditional Access und wählen Sie die zu ändernde Richtlinie für bedingten Zugriff.
  2. Wählen Sie unter Zuweisungen die Optionen Benutzer und Gruppen und dann Alle Benutzer. Vergewissern Sie sich, dass die Option Alle Gast- und externen Benutzernicht ausgewählt ist.
  3. Speichern Sie die Änderungen.

Sie können die Zertifizierungsstelle auch vollständig in Azure Information Protection deaktivieren/ausschließen, wenn die Funktionalität für Ihre Organisation nicht erforderlich ist, um dieses potenzielle Problem zu vermeiden.

Weitere Informationen finden Sie in der Dokumentation Bedingter Zugriff.

Bezeichnungen mit Unterbezeichnungen können nicht als eigenständige Bezeichnungen veröffentlicht oder verwendet werden.

Wenn eine Bezeichnung Unterbezeichnung in der Microsoft Purview-Complianceportal enthält, darf diese Bezeichnung nicht als eigenständige Bezeichnung für AIP-Benutzer veröffentlicht werden.

Ebenso unterstützt AIP keine Bezeichnungen, die Unterbezeichnungen als Standardbezeichnungen enthalten, und Sie können die automatische Bezeichnung für diese Bezeichnungen nicht konfigurieren.

Darüber hinaus wird die Verwendung einer Bezeichnung mit UDP (Benutzerdefinierte Berechtigungen) als Standardbezeichnung im Unified Labeling Client nicht unterstützt.

Weitere Informationen

Die folgenden zusätzlichen Artikel können hilfreich sein, um Fragen zu Azure Information Protection zu beantworten: