針對 Microsoft 資訊保護 (MIP) 檔案的問題進行疑難排解

以下是 MIP PDF 檔案的常見問題清單,以及解決這些問題的疑難排解步驟。 

針對開啟由 MIP 保護的 PDF 檔案時所發生的問題進行疑難排解

  1. 清除 MIP 認證。

    註解:

    請參閱如何下載 Acrobat 除錯與自訂工具一節中,關於清除 MIP 認證的步驟。

  2. 檢查 Microsoft 資料夾的完整性等級。

    1. 在 Microsoft 資料夾上按一下滑鼠右鍵,然後瀏覽至「安全性」標籤。

    2. 選取「進階」選項。

    3. 確認完整性等級已設為「低強制性」,如螢幕擷圖所示。

      完整性等級

    4. 如果完整性並非處於「低強制性」等級,請執行下列步驟。

      1. 開啟命令提示字元。

      2. 執行命令「icacls <完整路徑> /setintegritylevel L」(其中「<完整路徑>」是指「C:\使用者\<使用者名稱>\AppData\LocalLow\Microsoft」)。

  3. 再次執行此工作流程以確認變更。

AADSTS50020:租用戶 (ResourceTenantName) 中不存在來自身分識別提供者 (IdentityProviderURL) 的使用者帳戶「user@domain.com」。無法存取該租用戶中的應用程式「cad2910c-3b55-4610-ba7e-dda581063c91」(Adobe Acrobat Reader)。必須先將該帳戶新增為租用戶中的外部使用者。登出並使用不同的 Azure Active Directory 使用者帳戶再次登入。

  1. 在「MicrosoftAIP」區段下,將「bEnablePolicyAuthentication」和「bShowDMB」都設為「0」。啟用登錄後,使用者將不會在目前檔案上看到套用的 MIP 標籤。「bEnablePolicyAuthentication」會停用 Azure AD 中的驗證。

開啟受 MIP 保護的 PDF 時,您會看到下列提示使用者同意的訊息。

錯誤對話框

請嘗試下列步驟。

  1. 關閉 Acrobat 或 Reader 應用程式。

  2. 將登錄項目 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\<產品>\<版號類別>\FeatureLockDown]
    bSilentAuth」的值設為「dword:00000000」。

    此登錄會啟用來自作業系統的驗證提示,且在 Acrobat 中預設為停用。

  3. 開啟 Acrobat 或 Reader 應用程式。

請嘗試下列步驟。

  1. 關閉 Acrobat 或 Reader。

  2. 確認沙箱啟用或停用時是否發生問題。

  3. 清除 MIP 認證,然後重新開啟檔案進行驗證。

    註解:

    請參閱如何下載 Acrobat 除錯與自訂工具一節中,關於清除 MIP 認證的步驟。

  4. 如果問題持續發生,請聯絡 Adobe。
    與 MIP 開發人員分享下列詳細資訊:

    • Acrobat 與 MIP 的版本。
    • 當沙箱已停用或啟用時,您是否面臨此問題?
    • 啟用 MIP 記錄。
    • 分享以下位置的記錄檔「%APPDATA%\..\LocalLow\Microsoft\RMSLocalStorage」和「%APPDATA%\..\Local\Microsoft\RMSLocalStorage」。
    • 分享 fiddler 記錄。
    • 附加工作流程的影片,以利更清楚理解問題。

外掛程式相關問題

%APPDATA%\..\LocalLow\Microsoft\RMSLocalStorage」和「%APPDATA%\..\Local\Microsoft\RMSLocalStorage」。Microsoft 會維護快取。因此,只有 Microsoft 可以確認快取的大小是否很大。

  • Adobe Reader:cad2910c-3b55-4610-ba7e-dda581063c91
  • Adobe Acrobat:97bd680b-f203-4917-a342-308a3de4094a

以記事本或任何文字編輯器開啟附加檔案,並找到「/Filter /MicrosoftIRMServices /MicrosoftIRMVersion 1/PublishingLicense」標籤。

沒有使用驗證程式庫。外掛程式使用 Acrobat 的 OAuth2 內部實作。

是的,Acrobat 桌面應用程式會以公開用戶端的形式運作。

是的,如果檔案先前已開啟,則可離線檢視檔案,而應用程式會以無訊息的方式重新整理權杖。

Acrobat 會使用 Microsoft 的 MIP SDK 開啟受 MIP 保護的檔案。此版本無法在離線環境中完全運作。如果使用者第一次嘗試開啟任何新受 MIP 保護的檔案,則該檔案將無法開啟。如果檔案先前已開啟,則可能會因 MIP SDK 快取原則資訊而開啟。

Adobe 以簡單的方式實作 OAuth2 架構。Iframe 是用來呈現驗證 URL。存取資源時,MIP SDK 會提供 URL。URL 會在 Iframe 中呈現。驗證伺服器會控制任何現有的重新導向動作。程序完成後,會傳回存取權杖與重新整理權杖,並在使用者允許時儲存為快取。存取權杖會在請求時傳送至 MIP SDK。重新整理權杖用於在前一個權杖到期時,以無訊息的方式取得新的存取權杖。

隨即會顯示對話框,提示使用者儲存認證。若使用者拒絕,則不會將任何權杖儲存在磁碟中。在這種情況下,使用者每次開啟 Acrobat 或 Reader 時都必須輸入認證。

認證對話框

權杖會儲存在使用者機器上位於「C:\使用者\<使用者名稱>\AppData\Roaming\Adobe\Acrobat\<版號類別>\Security」資料夾內的某個加密檔案中。

在 Windows 上,會使用 DPAPI – CryptProtectData 來保護權杖,而在 macOS 上,這些權杖則會儲存在 Keychain 中。

權杖會儲存在安全的環境中。即使將同一個檔案複製到另一台機器,該檔案也無法在該機器上運作。此安全儲存權杖的基礎架構是用於其他需要安全地儲存資訊的重要工作流程。

Acrobat/Reader 無法開啟以 SharePoint 保護的 PDF 檔案。它僅支援 MS IRM 第 2 版 (MIP 或 AIP) 的受保護文件。相較於此,來自 SharePoint 受 IRM 保護的 PDF 文件則使用 MS IRM 第 1 版,Acrobat 或 Reader MIP 外掛程式不支援該版本。如需詳細資訊,請參閱 SharePoint-Compatible PDF readers that support Microsoft Information Rights Management services (支援 Microsoft 資訊版權管理服務的 SharePoint 相容 PDF 讀取器)

如何下載 Acrobat 除錯與自訂工具

  1. https://www.telerik.com/download/fiddler 下載並安裝 fiddler 工具。

  2. 開啟 Fiddler。

  3. 前往「檔案 > 擷取流量」,然後啟用擷取流量的選項。或者,按下「F12」鍵。

  4. 瀏覽至「工具 > 選項 > HTTPS > 解密 HTTPS 流量」,並啟用「HTTP 解密」。

  5. 啟動 Acrobat 並開啟受 MIP 保護的檔案。

  6. 分享 Fiddler 記錄。

  1. 開啟 Acrobat,然後前往「編輯 > 偏好設定」。或是按下「Ctrl+K」鍵。

  2. 從類別中,選取「安全性 (增強)」。

  3. 取消選取 (或者若先前已取消選取,則選取)「啟動時啟用受保護模式 (預覽)」

  4. 選取「」,然後選取「確定」以確認。

  5. 重新啟動 Acrobat 以套用變更。

  1. 開啟 Acrobat 或 Reader,然後前往「偏好設定」。

  2. 瀏覽至「編輯 > 偏好設定 > 安全性」。

  3. 在「Microsoft Azure 資訊保護」下,選取「清除記住的帳戶資訊」。

  4. 關閉 Acrobat,然後重新啟動 Acrobat 並嘗試開啟 MIP 檔案。

機碼:Computer\HKEY_CURRENT_USER\SOFTWARE\Adobe\<產品>\<版號類別>\MicrosoftAIP
:bEnableLogging
資料:1

 Adobe

更快、更輕鬆地獲得協助

新的使用者?