Microsoft 信息保护 (MIP)(以前称为 Azure 信息保护)根据组织 IT 管理员配置的敏感度标签对文档应用加密和使用权限。受 MIP 保护的 PDF 会被加密并受到访问策略的约束,这些策略可以限制查看、编辑、打印和复制。尝试在不支持 MIP 的标准查看器中打开此类 PDF 会导致错误或黑屏。
这不是普通的密码锁。
解锁受 Microsoft 信息保护保护的 PDF 与破解标准密码保护的 PDF 不同。加密与您在 Azure Active Directory 中的组织身份相关联,而不是与您可以输入的静态密码相关联。解锁路径取决于您是否拥有合法访问权限、保护策略是否已过期以及文件是否源自您自己的组织或外部实体。了解哪种情况适用于您的情况决定了正确的方法。

Microsoft 信息保护如何加密 PDF
MIP 将文档包装在受保护的容器中,该容器通过 Azure 权限管理服务强制执行权限管理。实际加密使用 AES-256,解密密钥存储在 Azure 云中而不是嵌入在文件中。即使您拥有 PDF 文件,如果没有针对颁发保护的 Azure AD 租户进行身份验证,也无法解密它。拥有该文件并不等于可以访问其内容。
PDF 标准本身并不原生支持 MIP 加密。受 MIP 保护的 PDF 实际上是 .ppdf 文件(受保护的 PDF),当安装了正确的 MIP 客户端软件时,它使用 Adobe Acrobat、Adobe Reader 和 Microsoft Edge 可以理解的包装格式。如果没有 MIP 客户端,这些文件对于大多数 PDF 查看器来说会显示为损坏或无法读取。这种包装机制与 PDF 规范本身内置的基于密码的加密有着根本的不同。
尝试解锁 PDF
无需安装。直接在您的浏览器中工作。
使用您自己的组织帐户解锁 PDF
同租户访问是最简单的情况。在设备上安装 Azure 信息保护客户端或 Microsoft Purview 信息保护客户端。在与 MIP 客户端集成的 Adobe Acrobat 或 Adobe Reader 中打开 PDF。该应用程序会提示您使用您的组织帐户登录。经过身份验证后,您的会话的加密层将被透明地删除,您可以正常使用 PDF。
WukongPDF 的解锁 PDF 工具可以处理标准的基于密码的 PDF 保护。然而,对于 MIP 加密的文件,解锁过程需要组织身份验证,而不是简单的密码删除。了解您正在处理哪种类型的保护可以节省时间并避免使用错误的工具进行徒劳的尝试。打开文件时检查文件扩展名和任何错误消息,以确定您正在处理 MIP 还是标准 PDF 安全性。
未加入域的设备也可以工作。只要您可以使用组织凭据登录,MIP 客户端仍然可以运行。客户端与 Azure RMS 服务器建立安全连接,并获取授予受保护文件访问权限的使用许可证。根据组织的条件访问策略,可能需要多重身份验证。该过程会增加几秒钟的时间,但可以在任何连接互联网的设备上进行。
请求外部组织访问受 MIP 保护的 PDF
跨租户访问意味着文件在其他人的 Azure AD 下加密。您的组织凭据无法解锁它,因为您的帐户不存在于其目录中。大多数受 MIP 保护的文件在访问被拒绝消息中包含联系电子邮件或链接,当未经授权的用户尝试打开该文件时,该消息会打开。这是请求访问的起点。
一旦文档所有者授予访问权限,您就会收到一封电子邮件通知。当您使用所有者授权的身份进行身份验证时,该文件就可以访问。此过程可能需要几分钟到几个工作日,具体取决于组织的响应时间及其外部共享的内部审批工作流程。相应地进行计划,尤其是当受保护的文档具有时间敏感性时。
定期交换受益于永久性基础设施。要求外部组织在 Azure AD 中设置跨租户信任或 B2B 协作。这会在两个目录之间建立永久身份验证路径,并消除每个文档的访问请求。虽然设置需要 IT 部门之间的协调,但对于定期交换受保护文档的组织来说,长期效率提升是巨大的。
| 场景 | 解锁方法 | 所需时间 |
|---|---|---|
| 同一组织 MIP 文件,有效帐户 | 在 MIP 客户端中使用组织凭据登录 | 秒数 |
| 同一组织 MIP 文件,帐户已过期或已禁用 | 联系内部 IT 部门以恢复访问权限 | 几小时到几天 |
| 外部 MIP 文件,未授予访问权限 | 向文档所有者请求访问权限 | 几小时到几天 |
| 前员工受 MIP 保护的文件 | IT 管理员可以重新分配所有权或批量解密 | 分钟到小时 |
保护政策到期或被撤销时该怎么办
MIP 保护策略可以包括到期日期。过期后,加密仍然存在,但 Azure RMS 不再提供解密密钥。身份验证成功,但无法颁发使用许可证,并且文件拒绝打开。当文档所有者通过 Azure 门户撤消访问权限而你仍保留本地副本时,也会发生同样的情况。
不存在用户侧旁路。唯一的选择是联系文档所有者或组织的 IT 部门,并请求重新颁发保护或提供未受保护的文档副本。这是设计使然。 MIP 是一种权限管理系统,专为文档所有者即使在文件离开其所有权后也必须保留对访问的控制的情况而构建。从PDF安全的角度来看,这种持久的控制是MIP的核心价值主张和最重要的用户摩擦点。
将未锁定的 MIP PDF 转换为标准未受保护的 PDF
已成功打开受 MIP 保护的 PDF? Adobe Acrobat 的“另存为”功能可让您保存没有保护层的标准 PDF 副本。此剥离副本可以在任何 PDF 查看器和任何工作流程中正常工作。执行此操作之前,请考虑删除保护是否违反组织的数据处理策略或文档所有者共享文件的条款。
合规性策略可能会明确禁止创建不受保护的副本。在法规要求强制执行 MIP 的环境中,绕过保护将构成合规性违规,并带来严重后果。 MIP 身份验证的摩擦是一项旨在防止未经授权的分发的功能,而不是需要解决的错误。如有疑问,请保留保护并在经过身份验证的环境中工作。
尝试解锁 PDF
无需安装。直接在您的浏览器中工作。
