凭据不适用于受 IRM 保护的内容
症状
当您尝试打开信息权限管理 (IRM) 保护的文档、工作簿、电子邮件或其他项目时,您发现即使正确登录到 Microsoft Office,也无权访问该项目。 此外,系统会提示你登录,但当你应该能够访问内容时,你仍然无法访问该内容。
此症状通常是提示你登录,但凭据不起作用。
原因
如果满足以下条件,则会发生此行为:
- 已将环境配置为进行跨域身份验证。
- 创建内容的域配置为具有条件访问要求。
- 身份验证失败。
例如, John@contoso.com 保护内容并将其发送到 Jenny@fabrikam.com。 若要访问受保护的内容, Jenny@fabrikam.com 必须向 contoso.com 进行身份验证,以获取解密内容的密钥。 如果 contoso.com 有条件访问要求,则此身份验证可能会失败。
大多数条件访问挑战要求在资源租户中预配用户 (contoso.com) 。 如果显式邀请来宾用户 (Jenny@fabrikam.com) 并兑换邀请, Jenny@fabrikam.com 则会在资源租户 contoso.com 进行预配。 如果用户是直通用户,则服务 contoso.com 的条件访问验证代码无法满足质询,因此请求失败。 这是预期且安全的行为。 在许多情况下,此行为会导致 Office 客户端代码提示登录,以便用户可以提供凭据以打开文件,因为身份验证失败。
参考
有关条件访问策略的详细信息,请参阅以下博客: