Microsoft Information Protection (MIP), wcześniej znany jako Azure Information Protection, stosuje prawa do szyfrowania i użytkowania dokumentów w oparciu o etykiety poufności skonfigurowane przez administratorów IT organizacji. Plik PDF chroniony przez MIP zostaje zaszyfrowany i podlega zasadom dostępu, które mogą ograniczać przeglądanie, edycję, drukowanie i kopiowanie. Próba otwarcia takiego pliku PDF w standardowej przeglądarce, która nie obsługuje MIP, kończy się błędem lub pustym ekranem.
To nie jest zwykła blokada hasłem.
Odblokowanie pliku PDF chronionego przez Microsoft Information Protection różni się od złamania standardowego pliku PDF chronionego hasłem. Szyfrowanie jest powiązane z Twoją tożsamością organizacyjną w Azure Active Directory, a nie ze statycznym hasłem, które możesz wpisać. Ścieżka odblokowania zależy od tego, czy masz uzasadnione prawa dostępu, czy zasady ochrony wygasły oraz czy plik pochodzi z Twojej własnej organizacji, czy z podmiotu zewnętrznego. Wiedza o tym, który scenariusz ma zastosowanie w Twojej sytuacji, decyduje o właściwym podejściu.

Jak usługa Microsoft Information Protection szyfruje pliki PDF
MIP otacza dokument w chronionym kontenerze, który wymusza zarządzanie prawami za pośrednictwem usług Azure Rights Management Services. Rzeczywiste szyfrowanie wykorzystuje AES-256, a klucz odszyfrowywania jest przechowywany w chmurze Azure, a nie osadzony w pliku. Nawet jeśli posiadasz plik PDF, nie możesz go odszyfrować bez uwierzytelnienia w dzierżawie usługi Azure AD, która wystawiła ochronę. Posiadanie pliku nie jest równoznaczne z dostępem do jego zawartości.
Sam standard PDF nie obsługuje natywnie szyfrowania MIP. Pliki PDF chronione przez MIP to w rzeczywistości pliki .ppdf (chroniony plik PDF), które korzystają z formatu opakowania zrozumiałego dla programów Adobe Acrobat, Adobe Reader i Microsoft Edge, jeśli jest zainstalowane odpowiednie oprogramowanie klienckie MIP. Bez klienta MIP pliki te wydają się uszkodzone lub nieczytelne dla większości przeglądarek plików PDF. Ten mechanizm opakowania zasadniczo różni się od szyfrowania opartego na hasłach wbudowanego w samą specyfikację pliku PDF.
Spróbuj odblokować plik PDF
Nie wymaga instalacji. Działa bezpośrednio w Twojej przeglądarce.
Odblokowywanie pliku PDF za pomocą własnego konta organizacyjnego
Dostęp dla tego samego dzierżawcy jest prostą sprawą. Zainstaluj klienta Azure Information Protection lub klienta Microsoft Purview Information Protection na swoim urządzeniu. Otwórz plik PDF w programie Adobe Acrobat lub Adobe Reader, który integruje się z klientem MIP. Aplikacja poprosi Cię o zalogowanie się na konto organizacyjne. Po uwierzytelnieniu warstwa szyfrowania jest w widoczny sposób usuwana z sesji i można normalnie pracować z plikiem PDF.
Narzędzie Odblokuj PDF WukongPDF obsługuje standardową ochronę plików PDF opartą na haśle. Jednak w przypadku plików zaszyfrowanych MIP proces odblokowywania wymaga uwierzytelnienia organizacyjnego, a nie prostego usunięcia hasła. Zrozumienie, z jakim rodzajem ochrony masz do czynienia, oszczędza czas i pozwala uniknąć daremnych prób użycia niewłaściwego narzędzia. Sprawdź rozszerzenie pliku i wszelkie komunikaty o błędach podczas otwierania pliku, aby ustalić, czy masz do czynienia z zabezpieczeniem MIP, czy standardowym zabezpieczeniem PDF.
Urządzenia nieprzyłączone do domeny również działają. Klient MIP nadal działa, jeśli możesz zalogować się przy użyciu poświadczeń organizacji. Klient nawiązuje bezpieczne połączenie z serwerem Azure RMS i pobiera licencję użytkowania, która zapewnia dostęp do chronionego pliku. W zależności od zasad dostępu warunkowego obowiązujących w organizacji może być wymagane uwierzytelnianie wieloskładnikowe. Proces ten zajmuje kilka sekund, ale działa z dowolnego urządzenia podłączonego do Internetu.
Żądanie dostępu do pliku PDF chronionego MIP od organizacji zewnętrznej
Dostęp między dzierżawcami oznacza, że plik jest szyfrowany w ramach usługi Azure AD innej osoby. Poświadczenia Twojej organizacji nie mogą ich odblokować, ponieważ Twoje konto nie istnieje w ich katalogu. Większość plików chronionych protokołem MIP zawiera kontaktowy adres e-mail lub łącze w wiadomości o odmowie dostępu, która otwiera się, gdy nieautoryzowany użytkownik spróbuje otworzyć plik. Jest to punkt wyjścia do żądania dostępu.
Po przyznaniu dostępu przez właściciela dokumentu otrzymasz powiadomienie e-mailem. Plik staje się dostępny po uwierzytelnieniu przy użyciu tożsamości autoryzowanej przez właściciela. Proces ten może zająć od kilku minut do kilku dni roboczych, w zależności od czasu reakcji organizacji i wewnętrznych procesów zatwierdzania udostępniania zewnętrznego. Odpowiednio zaplanuj, zwłaszcza gdy chroniony dokument jest wrażliwy na czas.
Wymiany cykliczne korzystają ze stałej infrastruktury. Poproś organizację zewnętrzną o skonfigurowanie zaufania między dzierżawcami lub współpracy B2B w usłudze Azure AD. Ustanawia to stałą ścieżkę uwierzytelniania pomiędzy dwoma katalogami i eliminuje żądania dostępu dotyczące poszczególnych dokumentów. Chociaż konfiguracja wymaga koordynacji między działami IT, długoterminowy wzrost wydajności jest znaczny w przypadku organizacji, które regularnie wymieniają chronione dokumenty.
| Scenariusz | Metoda odblokowania | Wymagany czas |
|---|---|---|
| Plik MIP tej samej organizacji, ważne konto | Zaloguj się przy użyciu poświadczeń organizacji w kliencie MIP | Towary drugiej jakości |
| Plik MIP tej samej organizacji, konto wygasło lub zostało wyłączone | Skontaktuj się z wewnętrznym działem IT, aby przywrócić dostęp | Godziny do dni |
| Zewnętrzny plik MIP, brak dostępu | Poproś o dostęp od właściciela dokumentu | Godziny do dni |
| Pliki byłego pracownika chronione MIP | Administrator IT może ponownie przypisać własność lub odszyfrować zbiorczo | Minuty do godzin |
Co zrobić, gdy polisa ochronna wygaśnie lub zostanie unieważniona
Zasady ochrony MIP mogą zawierać daty wygaśnięcia. Po wygaśnięciu szyfrowanie pozostaje niezmienione, ale klucze odszyfrowywania nie są już obsługiwane przez usługę Azure RMS. Uwierzytelnianie powiodło się, ale nie można wydać licencji na użytkowanie, a plik nie chce się otworzyć. To samo dzieje się, gdy właściciel dokumentu odwołuje dostęp za pośrednictwem Azure Portal, podczas gdy nadal przechowujesz kopię lokalną.
Nie ma obejścia po stronie użytkownika. Jedyną możliwością jest skontaktowanie się z właścicielem dokumentu lub działem IT organizacji i poproszenie o ponowne wydanie zabezpieczenia lub udostępnienie niechronionej kopii dokumentu. To jest zgodne z projektem. MIP to system zarządzania prawami stworzony na potrzeby scenariuszy, w których właściciel dokumentu musi zachować kontrolę nad dostępem nawet po opuszczeniu pliku. Z punktu widzenia PDF Security ta ciągła kontrola jest podstawową wartością MIP i najważniejszym punktem spornym użytkownika.
Konwersja odblokowanego pliku MIP PDF na standardowy niezabezpieczony plik PDF
Pomyślnie otworzyłeś plik PDF chroniony przez MIP? Funkcja Zapisz jako programu Adobe Acrobat umożliwia zapisanie standardowej kopii pliku PDF bez warstwy zabezpieczającej. Ta pozbawiona kopii kopia działa normalnie w dowolnej przeglądarce plików PDF i dowolnym przepływie pracy. Zanim to zrobisz, zastanów się, czy usunięcie ochrony nie narusza zasad postępowania z danymi Twojej organizacji lub warunków, na jakich właściciel dokumentu udostępnił plik.
Zasady zgodności mogą kategorycznie zabraniać tworzenia niechronionych kopii. W środowiskach, w których MIP jest wymagana przez wymogi regulacyjne, obejście zabezpieczeń stanowi naruszenie zgodności z poważnymi konsekwencjami. Problemy z uwierzytelnianiem MIP to funkcja zaprojektowana w celu zapobiegania nieautoryzowanej dystrybucji, a nie błąd, który należy obejść. W razie wątpliwości pozostaw ochronę na miejscu i pracuj w uwierzytelnionym środowisku.
Spróbuj odblokować plik PDF
Nie wymaga instalacji. Działa bezpośrednio w Twojej przeglądarce.
