Bekannte Probleme: Azure Information Protection

  • Artikel

Hinweis

Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?

Das Azure Information Protection-Add-In wird eingestellt und durch Bezeichnungen ersetzt, die in Ihre Microsoft 365-Apps und -Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.

Der neue Microsoft Information Protection-Client (ohne das Add-In) befindet sich derzeit in der Vorschau und ist für die allgemeine Verfügbarkeit geplant.

Verwenden Sie die nachstehenden Listen und Tabellen, um Details zu bekannten Problemen und Einschränkungen im Zusammenhang mit Azure Information Protection Features zu finden.

Weitere Lösungen für digitale Signatur und Verschlüsselung

Azure Information Protection kann Dateien\E-Mails, die digital signiert oder mit anderen Lösungen verschlüsselt sind, nicht schützen oder entschlüsseln, z. B. den Schutz vor E-Mails entfernen, die mit S/MIME signiert oder verschlüsselt sind.

Clientunterstützung für Containerdateien, z. B. .zip Dateien

Containerdateien sind Dateien, die andere Dateien enthalten, wobei es sich bei einem typischen Beispiel um ZIP-Dateien handelt, die komprimierte Dateien enthalten. Weitere Beispiele sind .rar, .7z, .msg Dateien und PDF-Dokumente, die Anlagen enthalten.

Sie können diese Containerdateien klassifizieren und schützen, die Klassifizierung und der Schutz wird jedoch nicht auf jede Datei innerhalb des Containers angewendet.

Wenn Sie über eine Containerdatei verfügen, die klassifizierte und geschützte Dateien enthält, müssen Sie die Dateien zuerst extrahieren, um deren Klassifizierungs- oder Schutzeinstellungen zu ändern. Sie können jedoch den Schutz für alle Dateien in unterstützten Containerdateien aufheben, indem Sie das Cmdlet Set-AIPFileEtikett verwenden.

Die Verschlüsselung für .msg Dateien wird nur im MIP SDK unterstützt.

Der Azure Information Protection-Viewer kann Keine Anlagen in einem geschützten PDF-Dokument öffnen. Wenn das Dokument in diesem Szenario im Viewer geöffnet wird, sind die Anlagen nicht sichtbar.

Weitere Informationen finden Sie im Admin-Handbuch: Vom Azure Information Protection-Client unterstützte Dateitypen.

Bekannte Probleme für AIP- und Exploit-Schutz

Der Azure Information Protection-Client wird auf Computern mit .NET 2 oder 3 nicht unterstützt, wobei Exploit-Schutz aktiviert ist, und führt dazu, dass sich Office-App unerwartet verhalten.

In solchen Fällen wird empfohlen, ihre .NET-Version zu aktualisieren. Weitere Informationen finden Sie unter Microsoft .NET Framework-Anforderungen.

Wenn Sie Die .NET-Version 2 oder 3 beibehalten müssen, deaktivieren Sie den Exploit-Schutz vor der Installation von AIP.

Führen Sie zum Deaktivieren des Exploit-Schutzes über PowerShell folgendes aus:

Set-ProcessMitigation -Name "OUTLOOK.EXE" -Disable EnableExportAddressFilterPlus, EnableExportAddressFilter, EnableImportAddressFilter

Bekannte Probleme bei Wasserzeichen

Wenn Sie einem Etikett ein Wasserzeichen hinzufügen, denken Sie daran, dass es bei Verwendung des Schriftgrads 1 automatisch an die Seite angepasst wird. Wenn Sie jedoch einen anderen Schriftgrad verwenden, wird der in den Schriftarteinstellungen angegebene Schriftgrad verwendet.

PowerShell-Unterstützung für den Azure Information Protection-Client

Die aktuelle Version des AzureInformationProtection PowerShell-Moduls, das mit dem Azure Information Protection-Client installiert wird, weist die folgenden bekannten Probleme auf:

  • Outlook persönliche Ordner (.pst Dateien). Der native Schutz von PST-Dateien wird nicht mithilfe des AzureInformationProtection-Moduls unterstützt.

  • Outlook-geschützte E-Mail-Nachrichten (.msg-Dateien mit einem .rpmsg-Anhang). Das Aufheben des Schutzes von geschützten Outlook-E-Mail-Nachrichten wird vom Modul AzureInformationProtection für Nachrichten in einem persönlichen Outlook-Ordner (.pst-Datei) oder auf der Festplatte in einer Outlook-Nachrichtendatei (.msg-Datei) unterstützt.

  • PowerShell 7. Derzeit wird PowerShell 7 vom AIP-Client nicht unterstützt. Die Verwendung von PS7 führt zu dem Fehler: "Objektverweis wird nicht auf eine Instanz eines Objekts festgelegt."

Weitere Informationen finden Sie unter Administratorhandbuch: Verwenden von PowerShell mit dem Azure Information Protection-Client.

Bekannte Probleme bei der AIP Scanner-Authentifizierung in Version 2.16.73

Wenn Sie Version 2.16.73 des AIP-Scanners verwenden oder sie zum ersten Mal installieren, tritt möglicherweise ein Fehler auf, wenn Sie versuchen, sich zu authentifizieren. Die Fehlermeldung lautet "Microsoft Azure Information Protection kann nicht authentifiziert und eingerichtet werden."

Dieses Problem wird durch ein Problem mit der MSAL-Authentifizierung verursacht. Um ihn zu beheben, können Sie dem Server einen Registrierungsschlüssel hinzufügen.

Pfad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP

DWORD: AuthenticateUsingAdal

Wert: 1

Durch Hinzufügen dieses Registrierungsschlüssels authentifiziert sich der Scanner stattdessen mit ADAL.

Bekannte Probleme mit dem AIP-Scanner

  • Das Scannen von .msg Dateien mit signierten PDF-Dateien wird derzeit nicht unterstützt.

  • Typen vertraulicher Informationen (Sensitive Information Types, SIT), die trainierbare Klassifizierer und EDM-Klassifizierer (Exact Data Match) sind.

  • Kennwortgeschützte Dateien.

Bekannte Probleme bei AIP in Office Anwendungen

Funktion Bekannte Probleme
Mehrere Versionen von Office

Mehrere Office-Konten		 Der Azure Information Protection-Client für einheitliche Bezeichnungen unterstützt folgendes nicht:

– Mehrere Versionen von Office auf demselben Computer
– Mehrere Office-Konten oder das Wechseln von Benutzerkonten in Office
freigegebenen Postfächer
Mehrere Displays Wenn Sie mehrere Displays verwenden und eine Office-App Lizenzierung geöffnet haben:

– Es können Leistungsprobleme in Ihren Office-App auftreten.
– Die Azure Information Protection-Leiste wird möglicherweise in der Mitte des Office-Bildschirms auf einer oder beiden Anzeigen angezeigt.

Um eine gleichbleibende Leistung zu gewährleisten und dafür zu sorgen, dass die Leiste an der richtigen Stelle bleibt, öffnen Sie das Dialogfeld Optionen für Ihre Office-Anwendung und wählen Sie unter Allgemein die Option Für Kompatibilität optimieren anstelle von Für bestes Aussehen optimieren.
IRM-Unterstützung in Office 2016 Die Registrierungseinstellung DRMEncryptProperty , die die Metadatenverschlüsselung in Office 2016 steuert, wird für Azure Information Protection-Bezeichnungen nicht unterstützt.
Outlook-Objektmodell-Zugriff – Die Registrierungseinstellung "PromptOOMAddressBookAccess ", die die Eingabeaufforderungen steuert, die angezeigt werden, wenn adressbücher über das Outlook-Objektmodell aufgerufen werden, werden von Azure Information Protection-Bezeichnungen nicht unterstützt.

– Die Registrierungseinstellung "PromptOOMAddressInformationAccess ", die die Eingabeaufforderungen steuert, die angezeigt werden, wenn ein Programm Adressinformationen liest, wird für Azure Information Protection-Bezeichnungen nicht unterstützt.
Dateien im Anhang zu E-Mails Aufgrund einer Einschränkung in den letzten Windows-Updates kann das Scannen von Outlook-Nachrichten (.msg Dateien) dazu führen, dass diese Dateien gesperrt werden. Um die Dateien zu entsperren, beenden Sie den Scannerdienst. Beim erneuten Starten des Scannerdiensts werden die Dateien erst wieder gesperrt, wenn die Nachrichten das nächste Mal gescannt werden.

Um zu klären, ob Ihr System betroffen ist, möchten Sie möglicherweise eine Überprüfung auf einem bestimmten Ordner mit einer einzelnen, Beispielmeldung starten und überprüfen, ob die Datei gesperrt ist, nachdem der Scan abgeschlossen ist.

Hinweis: Dieses Problem ist beim Anwenden und Entfernen des Schutzes mit PowerShell nicht relevant.
Seriendruck Das Feature für den Seriendruck von Office wird mit keinem Azure Information Protection-Feature unterstützt.
S/MIME-E-Mails Das Öffnen von S/MIME-E-Mails im Lesebereich von Outlook kann zu Leistungsproblemen führen.

Um Leistungsprobleme mit S/MIME-E-Mails zu vermeiden, aktivieren Sie die erweiterte Eigenschaft OutlookSkipSmimeOnReadingPaneEnabled.

Hinweis: Die Aktivierung dieser Eigenschaft verhindert, dass die AIP-Leiste oder die E-Mail-Klassifizierung im Lesebereich von Outlook angezeigt wird.
Inhaltsmarkierungen in Word AIP-Inhaltsmarkierungen in Microsoft Word-Kopf- oder Fußzeilen können falsch versetzt oder falsch platziert werden oder vollständig ausgeblendet werden, wenn dieselbe Kopf- oder Fußzeile auch eine Tabelle enthält.

Weitere Informationen finden Sie unter Wenn visuelle Markierungen angebracht werden.
Option "An Datei-Explorer senden" Wenn Sie in der Explorer mit der rechten Maustaste auf eine Datei klicken und "An > E-Mail-Empfänger senden" auswählen, wird die Outlook-Nachricht, die mit der angefügten Datei geöffnet wird, möglicherweise nicht die AIP-Symbolleiste angezeigt.

Wenn dies geschieht und Sie die AIP-Symbolleistenoptionen verwenden müssen, starten Sie Ihre E-Mails von Outlook aus, und navigieren Sie dann zu der Datei, die Sie senden möchten.

Bekannte Probleme bei der gemeinsamen Dokumenterstellung

Bekannte Probleme für Co-Authoring sind nur relevant, wenn Co-Authoring in Ihrem Mandanten aktiviert ist.

Bekannte Probleme bei der gemeinsamen Dokumenterstellung in AIP umfassen:

Wichtig

Die gemeinsame Dokumenterstellung und Vertraulichkeitsbezeichnungen können nicht nur für einige Benutzer bereitgestellt werden, da neue Bezeichnungen für Benutzer mit einer älteren Version des Office-Clients nicht sichtbar sind.

Weitere Informationen zur Unterstützung von Co-Autoren finden Sie in der Microsoft 365-Dokumentation, insbesondere in den dokumentierten Einschränkungen.

Unterstützte Versionen für Co-Authoring und Sensitivitätskennzeichnungen

Alle Apps, Dienste und Operationstools in Ihrem Mandanten müssen die gemeinsame Dokumenterstellung unterstützen.

Bevor Sie beginnen, vergewissern Sie sich, dass Ihr System die Versionsanforderungen erfüllt, die in den Microsoft 365-Voraussetzungen für Co-Authoring aufgeführt sind.

Wir empfehlen Ihnen, immer die neueste verfügbare Office-Version zu verwenden. Frühere Versionen können zu unerwarteten Ergebnissen führen, z. B. keine Bezeichnungen in Azure Information Protection oder keine Richtlinienerzwingung.

Hinweis

Während Vertraulichkeitsbezeichnungen auf Dateien in Office 97-2003-Formaten wie .doc, .ppt und .xls angewendet werden können, wird die gemeinsame Dokumenterstellung für diese Dateitypen nicht unterstützt. Sobald ein Etikett auf eine neu erstellte Datei oder eine Datei im erweiterten Dateiformat wie .docx, .pptx und .xlsx angewendet wurde, wird das Etikett beim Speichern der Datei in einem Office 97-2003-Format entfernt.

Politikaktualisierungen

Wenn Ihre Bezeichnungsrichtlinie aktualisiert wurde, während eine Office-App lizenzierung mit Azure Information Protection geöffnet wurde, werden alle neuen Bezeichnungen angezeigt, aber das Anwenden dieser Bezeichnungen führt zu einem Fehler.

Wenn dies geschieht, schließen Sie Ihre Office Anwendung, um Ihre Bezeichnungen anzuwenden.

Benutzeroberfläche ändert sich beim Anbringen von Etiketten

Wenn die gemeinsame Dokumenterstellung in Ihrem Mandanten aktiviert ist, wird die Benutzeroberfläche für Bezeichnungen, die für benutzerdefinierte Berechtigungen konfiguriert sind, für die Benutzeroberfläche für integrierte Bezeichnungen geändert.

Anstatt das Dialogfeld Microsoft Azure Informationsschutz zu sehen, in dem Benutzer Berechtigungsstufen wie Betrachter, Überprüfer und Nur für mich auswählen können, sehen sie dasselbe Dialogfeld, als wenn sie die Registerkarte Datei>Info>Dokument schützen>Eingeschränkter Zugriff>Eingeschränkter Zugriff gewählt hätten. In diesem Dialogfeld können sie ihre Auswahl an Berechtigungen und Benutzern angeben.

Weitere Informationen finden Sie in word , PowerPoint undCould, um sie weniger formal zu gestalten? Abschnitt "Excel-Berechtigungen " aus der Microsoft Purview-Dokumentation.

Hinweis

Im Gegensatz zum Dialogfeld Microsoft Azure Informationsschutz unterstützt das Dialogfeld Eingeschränkter Zugriff nicht die Angabe eines Domänennamens, um automatisch alle Benutzer in der Organisation einzuschließen.

Unterstützte Funktionen für Co-Authoring

Die folgenden Features werden nicht unterstützt oder teilweise unterstützt, wenn die gemeinsame Dokumenterstellung für Dateien aktiviert ist, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind:

  • DKE-Vorlagen und benutzerdefinierte DKE-Eigenschaften. Weitere Informationen finden Sie unter Double Key Encryption (DKE).

  • Etiketten mit benutzerdefinierten Rechten. In Microsoft Word, Excel und PowerPoint sind Bezeichnungen mit benutzerdefinierten Berechtigungen weiterhin verfügbar und können auf Dokumente angewendet werden, werden jedoch für features für die gemeinsame Dokumenterstellung nicht unterstützt.

  • Dies bedeutet, dass das Anwenden einer Bezeichnung mit benutzerdefinierten Berechtigungen verhindert, dass Sie gleichzeitig an dem Dokument mit anderen Personen arbeiten.

  • Entfernen der Markierung externer Inhalte in Anwendungen. Externe Inhaltsmarkierung wird nur entfernt, wenn eine Bezeichnung angewendet wird und nicht, wenn das Dokument gespeichert wird. Weitere Informationen finden Sie auf der Clientseite von Azure Information Protection.

  • Funktionen, die in der Microsoft 365-Dokumentation als Einschränkungen bei der Mitautorschaft aufgeführt sind.

  • Labelbycustomproperties für die Zuordnung anderer Bezeichnungslösungen funktioniert nicht mit aktivierter co-Authentifizierung.

Freigeben externer Dokumenttypen über Mandanten hinweg

Wenn Benutzer externe Dokumenttypen, z. B. PDF-Dateien, über Mandanten hinweg freigeben, erhalten Empfänger eine Zustimmungsaufforderung, die sie dazu auffordert, die Freigabe der aufgeführten Berechtigungen zu akzeptieren. Zum Beispiel:

Aufforderung zur mandantenübergreifenden Zustimmung.

Je nach Anwendung wird diese Aufforderung möglicherweise wiederholt für dasselbe Dokument angezeigt. Wenn die Aufforderung erscheint, wählen Sie Akzeptieren, um mit dem gemeinsamen Dokument fortzufahren.

Bekannte Probleme in Richtlinien

Veröffentlichungsrichtlinien können bis zu 24 Stunden dauern.

Bekannte Probleme für den AIP-Viewer

Für weitere Informationen siehe Unified labeling client: Betrachten Sie geschützte Dateien mit dem Azure Information Protection Viewer.

Unterstützung mobiler Clients für geschützte PDF-Dateien und Intune

Der Azure Information Protection Viewer unter Android kann geschützte PDF-Dokumente auf Geräten, die von Intune verwaltet werden, nicht öffnen.

Wenn Sie geschützte PDF-Dateien auf mobilen Geräten anzeigen möchten, wenden Sie sich an Ihren Administrator, um die Verwaltung mobiler Anwendungen in Intune zu deaktivieren.

Unterstützung für Intune MAM wird zurück zum Azure Information Protection Viewer unter Android hinzugefügt, nachdem .NET-Plattform- und Abhängigkeitsupdates ausgeführt wurden.

Queransichten im AIP-Viewer

Der AIP-Viewer zeigt Bilder im Hochformat an, und einige breite, querformatige Bilder werden möglicherweise gestreckt.

So wird z. B. unten auf der linken Seite ein Originalbild mit einer gestreckten, hochformatierten Version im AIP-Viewer rechts angezeigt.

Um dieses Problem zu beheben, führen Sie ein Upgrade auf den Azure Information Protection Unified Labeling Client Version 2.18.26.0 durch.

Gestrecktes Bild im Client-Viewer

Externe Benutzer und der AIP-Viewer

Wenn ein externer Benutzer bereits über ein Gastkonto in der Microsoft Entra-ID verfügt, zeigt der AIP-Viewer möglicherweise einen Fehler an, wenn der Benutzer ein geschütztes Dokument öffnet und ihm mitteilt, dass er sich nicht mit einem persönliches Konto anmelden kann.

Wenn ein solcher Fehler auftritt, muss der Benutzer Adobe Acrobat DC mit der MIP-Erweiterung installieren, um das geschützte Dokument öffnen zu können.

Wenn ein Benutzer das geschützte Dokument nach der Installation von Adobe Acrobat DC mit der MIP-Erweiterung öffnet, wird dem Benutzer möglicherweise weiterhin ein Fehler angezeigt, der anzeigt, dass das ausgewählte Benutzerkonto nicht im Mandanten vorhanden ist, und sie auffordert, ein Konto auszuwählen.

Dies ist ein erwarteter Fehler. Wählen Sie im Eingabeaufforderungsfenster Zurück, um mit dem Öffnen des geschützten Dokuments fortzufahren.

Hinweis

Der AIP Viewer unterstützt Gastorganisationskonten in Microsoft Entra ID, aber nicht persönlichen oder Windows Live-Konten.

ADRMS-geschützte Dateien auf Android-Geräten

Auf Android-Geräten können ADRMS-geschützte Dateien nicht von der AIP Viewer-App geöffnet werden.

Bekannte Probleme beim Nachverfolgen und Widerrufen von Features

Das Nachverfolgen und Widerrufen des Dokumentzugriffs mithilfe des einheitlichen Bezeichnungsclients weist die folgenden bekannten Probleme auf:

Weitere Informationen finden Sie in den Anleitungen Admin Guide und User Guide.

Passwortgeschützte Dokumente

Kennwortgeschützte Dokumente werden von Features zum Nachverfolgen und Widerrufen nicht unterstützt.

Mehrere Anhänge in einer geschützten E-Mail

Wenn Sie mehrere Dokumente an eine E-Mail anfügen und dann die E-Mail schützen und senden, erhält jede Anlage den gleichen ContentID-Wert.

Dieser ContentID-Wert wird nur mit der ersten Datei zurückgegeben, die geöffnet wurde. Die Suche nach den anderen Anlagen gibt nicht den ContentID-Wert zurück, der zum Abrufen von Nachverfolgungsdaten erforderlich ist.

Darüber hinaus widerrufen Sie den Zugriff auf eine der Anlagen auch für die anderen Anlagen in derselben geschützten E-Mail.

Dokumente, auf die über SharePoint oder OneDrive zugegriffen wird

  • Geschützte Dokumente, die in SharePoint oder OneDrive hochgeladen werden, verlieren ihren ContentID-Wert , und der Zugriff kann nicht nachverfolgt oder widerrufen werden.

  • Wenn ein Benutzer die Datei von SharePoint oder OneDrive herunterlädt und von seinem lokalen Rechner aus darauf zugreift, wird eine neue ContentID auf das Dokument angewendet, wenn er es lokal öffnet.

    Die Verwendung des ursprünglichen ContentID-Werts zum Nachverfolgen von Daten umfasst keinen Zugriff, der für die heruntergeladene Datei des Benutzers ausgeführt wurde. Darüber hinaus wird das Widerrufen des Zugriffs basierend auf dem ursprünglichen ContentID-Wert den Zugriff für eine der heruntergeladenen Dateien nicht widerrufen.

    Wenn Administratoren Zugriff auf die heruntergeladenen Dateien haben, können sie die PowerShell verwenden, um die ContentID eines Dokuments zu identifizieren und Aktionen zu verfolgen und zu widerrufen.

Bekannte Probleme für den AIP-Client und OneDrive

Wenn Dokumente in OneDrive mit einer angewendeten Vertraulichkeitsbezeichnung gespeichert sind und ein Administrator die Bezeichnung in der Bezeichnungsrichtlinie so ändert, dass der Schutz hinzugefügt wird, wird der neu angewendete Schutz nicht automatisch auf das bezeichnete Dokument angewendet.

In solchen Fällen beschriften Sie das Dokument manuell, um den Schutz nach Bedarf anzuwenden.

AIP-basierte Richtlinien für bedingten Zugriff

Externe Benutzer, die durch Richtlinien für bedingten Zugriff geschützte Inhalte erhalten, müssen über ein Gastbenutzerkonto für die Zusammenarbeit mit Microsoft Entra (Business-to-Business, B2B) verfügen, um den Inhalt anzuzeigen.

Sie können zwar externe Benutzer zum Aktivieren eines Gastbenutzerkontos einladen, die Authentifizierung ermöglichen und die Anforderungen für bedingten Zugriff bestehen, dies kann jedoch schwierig sein, sicherzustellen, dass dies für alle externen Benutzer erforderlich ist.

Es wird empfohlen, AIP-basierte Richtlinien für bedingten Zugriff nur für Ihre internen Benutzer zu aktivieren.

Aktivieren Sie bedingte Zugriffsrichtlinien für AIP nur für interne Benutzer:

  1. Navigieren Sie im Azure-Portal zum Blade Conditional Access und wählen Sie die zu ändernde Richtlinie für bedingten Zugriff.
  2. Wählen Sie unter Zuweisungen die Optionen Benutzer und Gruppen und dann Alle Benutzer. Vergewissern Sie sich, dass die Option Alle Gast- und externen Benutzernicht ausgewählt ist.
  3. Speichern Sie die Änderungen.

Sie können die Zertifizierungsstelle auch vollständig in Azure Information Protection deaktivieren/ausschließen, wenn die Funktionalität für Ihre Organisation nicht erforderlich ist, um dieses potenzielle Problem zu vermeiden.

Weitere Informationen finden Sie in der Dokumentation Bedingter Zugriff.

Bezeichnungen mit Unterbezeichnungen können nicht als eigenständige Bezeichnungen veröffentlicht oder verwendet werden.

Wenn eine Bezeichnung Unterbezeichnungen in der Microsoft Purview-Complianceportal enthält, darf diese Bezeichnung nicht als eigenständige Bezeichnung für AIP-Benutzer veröffentlicht werden.

Ebenso unterstützt AIP keine Bezeichnungen, die Unterbezeichnungen als Standardbezeichnungen enthalten, und Sie können die automatische Bezeichnung für diese Bezeichnungen nicht konfigurieren.

Darüber hinaus wird die Verwendung einer Bezeichnung mit UDP (Benutzerdefinierte Berechtigungen) als Standardbezeichnung im Unified Labeling Client nicht unterstützt.

Weitere Informationen

Die folgenden zusätzlichen Artikel sind möglicherweise hilfreich bei der Beantwortung von Fragen zu Azure Information Protection: