Achtung: MPIP / AIP Client für Microsoft Azure zerstört Dateien

[English]Ein Blog-Leser hat mich gerade auf einen Bug hingewiesen, der beim Microsoft MPIP-AIP Client für Purview Information Protection dazu führt, dass Dateien auf dem OneDrive-Online-Speicher kaputt gehen können. Wer keine Sicherung hat, für den sind dann diese Dateien verloren (sozusagen sicher für die Unendlichkeit). Microsoft hat den Bug bestätigt, zwei "Clients bzw. Dienste" arbeiten unabhängig voneinander. Ich fasse mal die relevanten Informationen des Lesers zusammen.

Azure Information Protection (AIP)

Zuerst ein wenig sortiert, worüber wir reden – ich musste jedenfalls schauen, in welchen Stall von Microsoft die Kürzel MPIP / AIP nun passen. Das Kürzel AIP steht für Azure Information Protection. Dazu schreibt Microsoft:

Microsoft Azure Information Protection (AIP) ist Teil von Microsoft Purview Information Protection (MIP) und unterstützt Organisationen dabei, vertrauliche Informationen zu erkennen, zu klassifizieren, zu schützen und zu verwalten, egal wo sie sich befinden oder übertragen.

Unter Was ist Microsoft Purview Information Protection erfährt der geneigte Leser dann, dass das Azure Information Protection-Add-In nicht mehr unterstützt wird und durch  Neues ersetzt wurde. Das AIP P1-Standalone-Angebot ist ab Januar 2024 für Neukunden nicht mehr verfügbar.

Aber es gibt noch die Information, dass Azure Information Protection (AIP) den Verschlüsselungsdienst Azure Rights Management bereitstellt , der von Microsoft Purview Information Protection verwendet wird. Kurzum: Es wird irgendwas in Sachen "Unternehmen, schützt eure Daten mit unserem Zeugs" versucht, wobei das Zeugs, aka Azure Information Protection (AIP), sich (O-Ton Microsoft):

seit mehreren Jahren in einem Modernisierungs- und Integrationsprozess befindet. Ziel ist es, den Kunden mit Microsoft Purview Information Protection und Microsoft 365 einen erweiterten Klassifizierungs-, Bezeichnungs- und Schutzstapel bereitzustellen. Im Rahmen dieses Prozesses habe Microsoft AIP Unified Labeling-Add-In für Office im April 2024 außer Dienst gestellt und man empiehlt Kunden, die es verwenden, auf die integrierten Bezeichnungsfunktionen in Office umzusteigen, um eine bessere Leistung, Zuverlässigkeit und Klassifizierungsmöglichkeiten zu erhalten.

An dieser Stelle bin ich dann etwas verwirrt ausgestiegen und habe mit dem Eindruck aufgegeben, dass die Microsoftler selbst nicht mehr wissen, was Sache ist. Aber nun zur Beobachtung des Lesers.

OneDrive-Dateien plötzlich kaputt

Blog-Leser Martin hat mich gestern per Mail kontaktiert, weil in seinem Unternehmensumfeld ein (noch kleineres Malheur) mit dem oben genannten Zeugs passiert ist. Dort wird, so Martin, der im Unternehmensumfeld den MPIP (ehem. AIP) Client benutzt, um die Informationen zu schützen. Eine Nutzerin speichert ihre Daten mit dem betreffenden Client (geschützt) in OneDrive. Martin schrieb dazu:

Wir hatten eine Userin, welche einen Ordner in ihrem OneDrive mit rechter Maustaste -> Klassifizieren und schützen ein Label mit Verschlüsselung appliziert hat. Dies führte dazu, dass 700 von den 900 Dateien in 35 KB große Files umgewandelt worden sind …

Martin hat mir dann einen Screenshot zugeschickt, der die 35 KB großen Dateien, allesamt mit der Endung .pfile auflistet.

Die IT hat dann versucht, das Label mit der Verschlüsselung wieder aufzuheben. Dazu schrieb Martin: "Wenn wir versucht haben das Label wieder weg zu nehmen, erhalten wir eine korrupte 0 KB Excel Datei. " Tolle Wurst.

Ein Ticket bei Microsoft und die Antwort

Martin hat dann in diesem Zusammenhang ein Ticket bei Microsoft erstellt. Nach 2 (zwei) Monaten gab es sogar eine Antwort die Martin mir dann komplett übermittelt hat:

I apologize for the inconvenience caused.

Please note that we have discussed this issue with highest escalation in Microsoft and as per the update, unfortunately there's not going to be any public documentation for this on the MPIP side because this is not an issue regarding the MPIP but OneDrive, the client is a local client that can deal with local files, and One drive has files that are not synced that do not exist locally, so the client cannot deal with them.

If you attempt to encrypt a file that is not synced locally, the OneDrive client will try to download the file, but the MPIP client does not wait for this process to complete. As a result, you may end up encrypting the placeholder file before the actual file is downloaded by the OneDrive client.

To ensure this works smoothly and as desired, you should make the contents of the folder sync locally. Then you may apply the label with encryption.

I whole heartedly empathize with your situation in this matter but unfortunately as issue is not reproducible, our team is unable to troubleshoot further on the issue.

Mit dürren Worten: Wenn zwei (OneDrive, MPIP-Client) sich streiten, geht das schief und jeder macht sein eigenes Zeugs. Nur wenn eine Synchronisation mit dem OneDrive-Client erzwungen wird, haut es mit dem MPIP-Client und den geschützten Dateien in der Cloud hin. Martin hat darauf geantwortet:

I've tested the described behavior and could reproduce the issue of the related user. In fact I have done the following:

• Copied a folder with Office files in my OneDrive folder
• Released the disk space with right click on it (so the file is not present on the client locally)
• Stopped the OneDrive client
• Applied the encrypted label
• The office files have now the .pfile ending

As this could lead to data corruption, I don't understand why there is no official warning form MS? Can you or someone from the internal team explain to us, why this is not documented? And it doesn't matter if it is form MPIP side or OneDrive -> all are MS products.

Our expected behavior would be the same as when you try open a file which is not synced:

Why is the MPIP Client not able to recognize that the file is not locally available and show such a message? Instead it corrupt the files.

Nochmal ein paar dürre Worte: "Wir haben Anwender, die wollen euer Zeugs einfach nur sicher benutzen. Da muss sichergestellt sein, dass die bereitgestellten Dienste und Clients aufeinander abgestimmt sind und funktionieren. Wenn ihr schon solchen Mist macht und das Zeugs nicht aufeinander abstimmt, stellt wenigstens eine Warnung in dieses Internet."

Martin hat mit seiner Replik die Experten in Redmond so verschreckt, dass es denen die Sprache verschlagen hat – bisher keine Antwort mehr. Er meint dazu: "Somit gibt MS zu, dass alle Dateien die mit einem Label – welches auch verschlüsselt – klassifiziert werden, vorher unbedingt auf den Client geladen werden müssen. Dieser Umstand ist nirgends dokumentiert und kann auch nachgestellt werden."

Ergänzende Informationen des Lesers

Martin hat mir noch einige ergänzende Informationen nach Veröffentlichung des Beitrags geschickt. Hier seine Rückmeldung.

Leider gibt es mit dem Microsoft Purview Information Client Probleme beim Klassifizieren von ganzen Ordnern. Dieser Umstand kann zu Datenverlust führen, achtet somit bitte auf die folgenden Punkte wenn Ihr einen ganzen Ordner klassifiziert:

Stellt sicher, dass der Ordner immer auf dem Gerät synchronisiert ist.

1. Rechtsklick auf den Ordner
2. "Immer auf diesem Gerät beibehalten" anklicken

Ihr seht an dem grünen Kreis und dem weissen Haken, dass der Ordner nun auf dem Gerät heruntergeladen ist.

Zusätzlich solltet Ihr drauf achten, dass der OneDrive Client immer läuft. Ihr seht das, an der blauen Wolke unten rechts bei der Uhr.

 Sobald die Wolke grau ist oder ein Ausrufezeichen resp. rotes X hat stimmt etwas nicht. Bitte prüft den Status, indem Ihr mit der rechten Maustaste draufklickt und schaut wo das Problem liegt.

Nun könnt Ihr das Label auf den Ordner applizieren, sobald dies erledigt ist. Könnt Ihr den Speicherplatz wieder freigeben indem Ihr wieder mit der rechten Maustaste auf den Ordner klickt und "Speicherplatz freigeben" wählt.

 Danach ändert sich das Symbol vom Ordner zu einer leeren Wolke.