Résolution des problèmes liés aux fichiers protégés par Microsoft Information Protection (MIP)

Voici une liste des problèmes courants liés aux fichiers PDF protégés par MIP et les étapes de résolution des problèmes. 

Résolution des problèmes d’ouverture des fichiers PDF protégés par MIP

  1. Effacez les informations d’identification MIP.

    Remarque :

    Consultez les étapes pour effacer les informations d’identification MIP dans la section Comment télécharger les outils de débogage et de personnalisation d’Acrobat.

  2. Vérifiez le niveau d’intégrité du dossier Microsoft.

    1. Cliquez avec le bouton droit de la souris sur le dossier Microsoft et accédez à l’onglet Sécurité.

    2. Sélectionnez l’option Avancé.

    3. Assurez-vous que le niveau d’intégrité est défini sur « Obligatoire faible », comme indiqué dans la capture d’écran.

      Niveau d’intégrité

    4. Suivez la procédure suivante si l’intégrité n’est pas définie sur « Niveau obligatoire faible ».

      1. Ouvrez l’invite de commandes.

      2. Exécutez la commande icacls <fullpath> /setintegritylevel L (où <fullpath> correspond à « C:\Users\<username>\AppData\LocalLow\Microsoft »).

  3. Exécutez à nouveau le workflow pour vérifier la modification.

AADSTS50020 : le compte utilisateur « user@domain.com » du fournisseur d’identité (IdentityProviderURL) n’existe pas dans le client (ResourceTenantName). Il ne peut pas accéder à l’application « cad2910c-3b55-4610-ba7e-dda581063c91 » (Adobe Acrobat Reader) dans ce client. Le compte doit d’abord être ajouté en tant qu’utilisateur externe dans le client. Déconnectez-vous et reconnectez-vous avec un autre compte utilisateur Azure Active Directory.

  1. Définissez bEnablePolicyAuthentication et bShowDMB sur 0 dans la section « MicrosoftAIP ». Après avoir activé le registre, les utilisateurs ne verront pas le libellé MIP appliqué sur le fichier actuel. bEnablePolicyAuthentication désactive l’authentification dans Azure AD.

Lors de l’ouverture d’un fichier PDF protégé par MIP, le message suivant s’affiche pour demander le consentement de l’utilisateur.

Boîte de dialogue d’erreur

Voir Disponibilité générale de l’intégration Adobe Acrobat Reader avec MIP pour désactiver les invites de consentement pour les utilisateurs.

Essayez les étapes suivantes.

  1. Fermez l’application Acrobat ou Reader.

  2. Définissez la valeur de l’entrée de registre [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\<product>\<track>\FeatureLockDown]
    « bSilentAuth » sur dword:00000000.

    Ce registre active les invites d’authentification provenant du système d’exploitation et, par défaut, sont désactivées dans Acrobat.

  3. Ouvrez l’application Acrobat ou Reader.

Essayez les étapes suivantes.

  1. Fermez Acrobat ou Reader.

  2. Vérifiez si le problème s’est produit lorsque la sandbox était activée ou désactivée.

  3. Effacez les informations d’identification MIP, puis rouvrez le fichier pour procéder à la vérification.

    Remarque :

    Consultez les étapes pour effacer les informations d’identification MIP dans la section Comment télécharger les outils de débogage et de personnalisation d’Acrobat.

  4. Si le problème persiste, contactez Adobe.
    Partagez les informations suivantes avec les développeurs MIP :

    • La version d’Acrobat et de MIP.
    • Rencontrez-vous ce problème lorsque la sandbox est désactivée ou activée ?
    • Activez la connexion MIP.
    • Partagez les journaux de « %APPDATA%\..\LocalLow\Microsoft\RMSLocalStorage » et « %APPDATA%\..\Local\Microsoft\RMSLocalStorage ».
    • Partagez les journaux de Fiddler.
    • Joignez la vidéo du workflow pour plus de clarté.

Questions relatives aux plug-ins

« %APPDATA%\..\LocalLow\Microsoft\RMSLocalStorage » et « %APPDATA%\..\Local\Microsoft\RMSLocalStorage ». Microsoft conserve le cache. Par conséquent, seul Microsoft peut confirmer si la taille du cache est élevée.

  • Adobe Reader : cad2910c-3b55-4610-ba7e-dda581063c91
  • Adobe Acrobat : 97bd680b-f203-4917-a342-308a3de4094a

Ouvrez le fichier joint dans Notepad ou dans un éditeur de texte et recherchez la balise /Filter /MicrosoftIRMServices /MicrosoftIRMVersion 1/PublishingLicense.

Aucune bibliothèque d’authentification n’est utilisée. Le plug-in utilise l’implémentation interne d’Acrobat d’OAuth2.

Oui, l’application Acrobat pour poste de travail fonctionne comme un client public.

Oui, les fichiers peuvent être affichés hors ligne s’ils sont ouverts plus tôt et que l’application actualise le jeton en arrière-plan.

Acrobat utilise le SDK MIP de Microsoft pour ouvrir les fichiers protégés par MIP. La version ne fonctionne pas complètement dans un environnement hors ligne. Si un utilisateur tente d’ouvrir un nouveau fichier protégé par MIP pour la première fois, le fichier ne s’ouvre pas. Si le fichier a été ouvert précédemment, il peut s’ouvrir, car le SDK MIP met en cache les informations de stratégie.

Adobe implémente le framework OAuth2 de manière simple. Iframe est utilisé pour afficher l’URL d’authentification. L’URL est fournie par le SDK MIP chaque fois qu’une ressource est consultée. L’URL s’affiche dans l’Iframe. Les serveurs d’authentification contrôlent les redirections existantes. Une fois le processus terminé, le jeton d’accès et le jeton d’actualisation sont renvoyés et mis en cache si l’utilisateur le permet. Le jeton d’accès est ensuite transmis au SDK MIP chaque fois que cela est demandé. Le jeton d’actualisation est utilisé pour acquérir silencieusement un nouveau jeton d’accès lorsque le jeton précédent expire.

Une boîte de dialogue s’affiche et invite l’utilisateur à stocker les informations d’identification. Si l’utilisateur refuse, aucun jeton n’est stocké sur le disque. Dans ce cas, l’utilisateur doit saisir ses informations d’identification chaque fois qu’il ouvre Acrobat ou Reader.

Boîte de dialogue Informations d’identification

Les jetons sont stockés dans un fichier chiffré sur l’ordinateur de l’utilisateur dans le dossier « C:\Users\<username>\AppData\Roaming\Adobe\Acrobat\<track>\Security ». 

Sous Windows, les jetons sont protégés à l’aide de DPAPI – CryptProtectData, et dans macOS, ces jetons sont stockés dans un trousseau.

Les jetons sont stockés dans un environnement sécurisé. Même si le même fichier est copié sur une autre machine, il ne fonctionnera pas sur cette dernière. Cette infrastructure de stockage sécurisé des jetons est utilisée pour d’autres workflows importants qui nécessitent le stockage sécurisé des informations.

Acrobat/Reader ne peut pas ouvrir les fichiers PDF protégés par SharePoint. Il prend uniquement en charge les documents protégés par MS IRM version 2 (MIP ou AIP). En revanche, le document PDF protégé par IRM de SharePoint utilise MS IRM Version 1, qui n’est pas pris en charge par le plug-in Acrobat ou Reader MIP. Pour plus d’informations, voir Lecteurs de PDF compatibles avec SharePoint prenant en charge les services Information Rights Management de Microsoft.

Comment télécharger les outils de débogage et de personnalisation d’Acrobat ?

  1. Téléchargez et installez l’outil Fiddler à partir de l’emplacement https://www.telerik.com/download/fiddler.

  2. Ouvrez Fiddler.

  3. Accédez à Fichier > Capturer le trafic et activez l’option de capture du trafic. Sinon, appuyez sur la touche F12.

  4. Accédez à Outils > Options > HTTPS > Déchiffrer le trafic HTTPS et activez le déchiffrement HTTP. 

  5. Lancez Acrobat et ouvrez le fichier protégé par MIP.

  6. Partagez les journaux de Fiddler.

  1. Ouvrez Acrobat, puis accédez à Modifier > Préférences. Sinon, appuyez sur Ctrl+K.

  2. Dans les catégories, sélectionnez Protection (renforcée).

  3. Désélectionnez (ou sélectionnez si vous avez précédemment désélectionné) l’option Activer le mode protégé au démarrage (aperçu).

  4. Sélectionnez Oui, puis sélectionnez OK pour confirmer.

  5. Relancez Acrobat pour appliquer les modifications.

  1. Ouvrez Acrobat ou Reader, puis accédez aux préférences.

  2. Accédez à Modifier > Préférences > Sécurité.

  3. Sous Microsoft Azure Information Protection, sélectionnez Effacer les informations de compte mémorisées.

  4. Fermez Acrobat, puis relancez Acrobat et essayez d’ouvrir un fichier protégé par MIP.

Clé : Computer\HKEY_CURRENT_USER\SOFTWARE\Adobe\<product>\<track>\MicrosoftAIP
Valeur : bEnableLogging
Donnée : 1

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?