Усунення проблем із MIP-файлами (Microsoft Information Protected)

Нижче наведено перелік поширених проблем із PDF-файлами MIP і кроки для їхнього усунення. 

Усунення проблем із відкриттям PDF-файлів, захищених MIP

  1. Очистьте облікові дані MIP.

    Примітка.

    Див. кроки з очищення облікових даних MIP у розділі «Як завантажити інструменти налагодження та налаштування Acrobat».

  2. Перевірте рівень цілісності папки Microsoft.

    1. Натисніть правою кнопкою миші на папці Microsoft і перейдіть на вкладку «Безпека».

    2. Виберіть параметр «Додатково».

    3. Переконайтеся, що для рівня цілісності встановлено значення «Низький обов’язковий», як показано на знімку екрана.

      Рівень цілісності

    4. Виконайте вказані дії, якщо для цілісності не встановлено значення «Низький обов’язковий».

      1. Відкрийте командний рядок.

      2. Виконайте команду icacls <fullpath> /setintegritylevel L (where <fullpath> is “C:\Users\<username>\AppData\LocalLow\Microsoft”).

  3. Повторно запустіть робочий процес, щоб перевірити зміни.

AADSTS50020: обліковий запис користувача user@domain.com від постачальника посвідчень (IdentityProviderURL) не існує в клієнті (ResourceTenantName). Не вдалось отримати доступ до cad2910c-3b55-4610-ba7e-dda581063c91 (Adobe Acrobat Reader) у цьому клієнті. Спочатку обліковий запис потрібно додати в клієнт як зовнішнього користувача. Вийдіть із системи та ввійдіть знову за допомогою іншого облікового запису користувача служби Azure Active Directory.

  1. Установіть для параметрів bEnablePolicyAuthentication і bShowDMB значення 0 у розділі MicrosoftAIP. Після ввімкнення реєстру користувачі не бачитимуть застосовану мітку MIP у поточному файлі. Параметр bEnablePolicyAuthentication вимикає автентифікацію в Azure AD.

Під час відкриття PDF-файлу, захищеного MIP, відображається наведене нижче повідомлення із запитом про згоду користувача.

Діалогове вікно повідомлення про помилку

Інструкції щодо вимкнення запитів на згоду для користувачів див. в розділі «Загальна доступність інтеграції Adobe Acrobat Reader з MIP».

Спробуйте виконати такі дії.

  1. Закрийте програму Acrobat або Reader.

  2. Установіть для запису реєстру [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\<product>\<track>\FeatureLockDown]
    bSilentAuth” значення dword:00000000.

    Цей реєстр вмикає підказки для автентифікації, що надходять з ОС і за замовчуванням вимикаються в Acrobat.

  3. Відкрийте програму Acrobat або Reader.

Спробуйте виконати такі дії.

  1. Закрийте Acrobat або Reader.

  2. З’ясуйте, коли саме виникла проблема: коли пісочницю було ввімкнено чи вимкнено.

  3. Очистьте облікові дані MIP, а потім повторно відкрийте файл для перевірки.

    Примітка.

    Див. кроки з очищення облікових даних MIP у розділі «Як завантажити інструменти налагодження та налаштування Acrobat».

  4. Якщо проблема не зникне, зверніться до представника Adobe.
    Надайте розробниками MIP таку інформацію:

    • Версія Acrobat і MIP.
    • Проблема виникла, коли пісочницю було вимкнено чи ввімкнено?
    • Увімкніть ведення журналу MIP.
    • Поділитися журналами з “%APPDATA%\..\LocalLow\Microsoft\RMSLocalStorage” і “%APPDATA%\..\Local\Microsoft\RMSLocalStorage".
    • Надайте загальний доступ до журналів Fiddler.
    • Додайте відео робочого процесу для більшої наочності.

Запитання, пов’язані з модулем

%APPDATA%\..\LocalLow\Microsoft\RMSLocalStorage” і “%APPDATA%\..\Local\Microsoft\RMSLocalStorage". Microsoft підримує кеш. Тому лише корпорація Майкрософт може підтвердити, що кеш має великий розмір.

  • Adobe Reader: cad2910c-3b55-4610-ba7e-dda581063c91
  • Adobe Acrobat: 97bd680b-f203-4917-a342-308a3de4094a

Відкрийте вкладений файл у програмі «Блокнот» або в будь-якому текстовому редакторі та знайдіть тег /Filter /MicrosoftIRMServices /MicrosoftIRMVersion 1/PublishingLicense.

Бібліотека автентифікації не використовується. Цей модуль використовує внутрішню реалізацію Acrobat OAuth2.

Так, програма Acrobat для настільних ПК працює як загальнодоступний клієнт.

Так, файли можна переглядати в автономному режимі, якщо їх було відкрито раніше. Програма оновляє токен без попередження.

Acrobat використовує пакет SDK MIP від Microsoft для відкриття захищених MIP-файлів. Версія працює в автономному режимі не повністю. Якщо користувач вперше намагається відкрити будь-який новий захищений MIP-файл, він не відкриється. Якщо файл було відкрито раніше, він може відкритися й цього разу, оскільки пакет SDK MIP кешує інформацію про політику.

Adobe реалізує платформу OAuth2 у простий спосіб. Iframe використовується для візуалізації URL-адреси автентифікації. URL-адреса надається пакету SDK MIP щоразу, коли до ресурсу здійснюється доступ. URL-адреса відображається в Iframe. Сервери автентифікації керують будь-якими наявними переадресаціями. Після завершення процесу повертається токен доступу й токен оновлення, які кешуються з дозволу користувача. Потім токен доступу передається до пакету SDK MIP щоразу після запиту. Токен оновлення використовується для отримання нового токена доступу після завершення терміну дії попереднього токена без попередження.

З’явиться діалогове вікно із запитом на збереження облікових даних. Якщо користувач відхилить його, жоден токен не буде збережено на диску. У такому разі користувач має вводити свої облікові дані щоразу, коли відкриває Acrobat або Reader.

Діалогове вікно облікових даних

Токени зберігаються в зашифрованому файлі на комп’ютері користувача в папці C:\Users\<username>\AppData\Roaming\Adobe\Acrobat\<track>\Security.

У Windows токени захищено за допомогою DPAPI – CryptProtectData, а в macOS ці токени зберігаються в ланцюжку ключів.

Токени зберігаються в безпечному середовищі. Навіть якщо той самий файл скопійовано на інший комп’ютер, він не працюватиме там. Ця інфраструктура безпечного зберігання токенів використовується для інших важливих робочих процесів, які потребують безпечного зберігання інформації.

Acrobat/Reader не може відкривати PDF-файли, захищені за допомогою SharePoint. Він підтримує лише захищені документи MS IRM версії 2 (MIP або AIP). Натомість PDF-документ, захищений IRM, із Sharepoint використовує MS IRM версію 1, яка не підтримується модулем MIP для Acrobat або Reader. Докладні відомості див. в розділі «Програми для читання PDF-файлів, сумісні із SharePoint, які підтримують служби Microsoft Information Rights Management».

Як завантажити інструменти налагодження та налаштування Acrobat?

  1. Звантажте й установіть інструмент Fiddler з указаного розташування: https://www.telerik.com/download/fiddler.

  2. Відкрийте Fiddler.

  3. Перейдіть до розділу «Файл» > «Записування трафіку» та включіть опцію записування трафіку. Або натисніть клавішу F12.

  4. Виберіть пункти «Інструменти» > «Параметри» > HTTPS > «Розшифрувати трафік HTTPS» і ввімкніть дешифрування HTTP. 

  5. Запустіть Acrobat і відкрийте захищений MIP-файл.

  6. Надайте загальний доступ до журналів Fiddler.

  1. Відкрийте Acrobat і перейдіть у розділ «Редагування» > «Параметри». Ви також можете натиснути Ctrl + K.

  2. Із категорій виберіть «Захист (розширений)».

  3. Скасуйте вибір (або виберіть, якщо раніше не було вибрано) параметра «Вмикати захищений режим після запуску (попередній перегляд)».

  4. Виберіть «Так» і натисніть OK для підтвердження.

  5. Перезавантажте Acrobat, щоб застосувати зміни.

  1. Відкрийте Acrobat або Reader і перейдіть до налаштувань.

  2. Виберіть пункт «Редагувати» > «Параметри» > «Захист».

  3. У розділі Microsoft Azure Information Protection виберіть опцію «Очистити збережені відомості про обліковий запис».

  4. Закрийте та перезавантажте Acrobat і спробуйте відкрити MIP-файл.

Ключ: Computer\HKEY_CURRENT_USER\SOFTWARE\Adobe\<product>\<track>\MicrosoftAIP
Значення: bEnableLogging
Дані: 1

Отримуйте допомогу швидше й простіше

Новий користувач?