Kendte begrænsninger i appkontrolelementet Betinget adgang
I denne artikel beskrives kendte begrænsninger for at arbejde med kontrolelementet Betinget adgang i Microsoft Defender for Cloud Apps.
Kontakt vores supportteam for at få mere at vide om sikkerhedsbegrænsninger.
Maksimal filstørrelse for sessionspolitikker
Du kan anvende sessionspolitikker på filer, der har en maksimumstørrelse på 50 MB. Denne maksimale filstørrelse er f.eks. relevant, når du definerer politikker for at overvåge filoverførsler fra OneDrive, blokere filopdateringer eller blokere downloads eller upload af malwarefiler.
I sådanne tilfælde skal du sørge for at dække filer, der er større end 50 MB, ved hjælp af lejerindstillingerne for at afgøre, om filen er tilladt eller blokeret, uanset om der er matchende politikker.
I Microsoft Defender XDR skal du vælge Indstillinger Appen>Betinget adgangSkontrol>Standardfunktionsmåde for at administrere indstillinger for filer, der er større end 50 MB.
Maksimal filstørrelse for sessionspolitikker baseret på indholdskontrol
Når du anvender en sessionspolitik til at blokere filuploads eller -downloads baseret på indholdskontrol, udføres inspektionen kun på filer, der er mindre end 30 MB, og som har færre end 1 million tegn.
Du kan f.eks. definere en af følgende sessionspolitikker:
- Bloker upload af filer, der indeholder CPR-numre
- Beskyt download af filer, der indeholder beskyttede tilstandsoplysninger
- Bloker download af filer, der har følsomhedsmærkaten "meget følsom"
I sådanne tilfælde scannes filer, der er større end 30 MB, eller som indeholder mere end 1 million tegn, ikke. Disse filer behandles i henhold til politikindstillingen Anvend altid den valgte handling, selvom dataene ikke kan scannes .
I følgende tabel vises flere eksempler på filer, der er og ikke scannes:
| Filbeskrivelse | Scannet |
|---|---|
| En TXT-fil, 1 MB størrelse og 1 million tegn | Ja |
| En TXT-fil, 2 MB størrelse og 2 millioner tegn | Nej |
| En Word fil, der består af billeder og tekst, 4 MB og 400.000 tegn | Ja |
| En Word fil bestående af billeder og tekst, 4 MB størrelse og 2 millioner tegn | Nej |
| En Word fil, der består af billeder og tekst, 40 MB og 400.000 tegn | Nej |
Filer, der er krypteret med følsomhedsmærkater
For lejere, der muliggør samtidig redigering af filer, der er krypteret med følsomhedsmærkater, fungerer en sessionspolitik for at blokere filupload/download, der er baseret på mærkatfiltre eller filindhold, baseret på politikindstillingen Anvend altid den valgte handling, selvom data ikke kan scannes .
Antag f.eks., at en sessionspolitik er konfigureret til at forhindre download af filer, der indeholder kreditkortnumre, og er indstillet til Anvend altid den valgte handling, selvom data ikke kan scannes. Alle filer med en krypteret følsomhedsmærkat er blokeret, så de ikke kan downloades, uanset indhold.
Eksterne B2B-brugere i Teams
Sessionspolitikker beskytter ikke eksterne B2B-samarbejdsbrugere (business-to-business) i Microsoft Teams-programmer.
Begrænsninger for sessioner, som den omvendte proxy serverer
Følgende begrænsninger gælder kun for sessioner, som den omvendte proxy leverer. Brugere af Microsoft Edge kan drage fordel af beskyttelse i browseren i stedet for at bruge den omvendte proxy, så disse begrænsninger påvirker dem ikke.
Indbyggede begrænsninger for app- og browser-plug-in
Kontrolelementet Betinget adgang i Defender for Cloud Apps ændrer underliggende programkode. Den understøtter i øjeblikket ikke indbyggede apps eller browserudvidelser.
Som administrator kan det være en god idé at definere systemets standardfunktionsmåde, når en politik ikke kan gennemtvinges. Du kan vælge enten at tillade adgang eller helt blokere den.
Begrænsninger for konteksttab
I følgende programmer stødte vi på scenarier, hvor browsing til et link kan medføre tab af linkets fulde sti. Brugeren lander typisk på startsiden for appen.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Arbejdsplads fra Meta
- ServiceNow
- Arbejdsdag
- Æske
Begrænsninger for filupload
Hvis du anvender en sessionspolitik til at blokere eller overvåge upload af følsomme filer, blokerer brugerens forsøg på at overføre filer eller mapper ved hjælp af en træk og slip-handling den komplette liste over filer og mapper i følgende scenarier:
- En mappe, der indeholder mindst én fil og mindst én undermappe
- En mappe, der indeholder flere undermapper
- Et udvalg af mindst én fil og mindst én mappe
- Et udvalg af flere mapper
I følgende tabel vises eksempelresultater, når du definerer politikken Bloker upload af filer, der indeholder personlige data til OneDrive :
| Scenarie | Resultat |
|---|---|
| En bruger forsøger at uploade et udvalg af 200 filer, der ikke er følsomme, ved hjælp af en træk og slip-handling. | Filer er blokeret. |
| En bruger forsøger at uploade et udvalg af 200 filer ved hjælp af dialogboksen til filupload. Nogle er følsomme, og nogle er ikke. | Filer, der ikke er følsomme, overføres. Følsomme filer er blokeret. |
| En bruger forsøger at uploade et udvalg af 200 filer ved hjælp af en træk og slip-handling. Nogle er følsomme, og nogle er ikke. | Det fulde sæt filer er blokeret. |
Begrænsninger for sessioner, der betjenes med Edge-beskyttelse i browseren
Følgende begrænsninger gælder kun for sessioner, der betjenes med Edge-beskyttelse i browseren.
Dybt link går tabt, når brugeren skifter til Edge ved at klikke på 'Fortsæt i Edge'
En bruger, der starter en session i en anden browser end Edge, bliver bedt om at skifte til Edge ved at klikke på knappen 'Fortsæt i Edge'.
Hvis URL-adressen peger på en ressource i det sikre program, dirigeres brugeren til programmets startside i Edge.
Dybt link går tabt, når brugeren skifter til Edge-arbejdsprofilen'
En bruger, der starter en session i Edge med en anden profil end sin arbejdsprofil, bliver bedt om at skifte til sin arbejdsprofil ved at klikke på knappen 'Skift til arbejdsprofil'.
Hvis URL-adressen peger på en ressource i det sikre program, dirigeres brugeren til programmets startside i Edge.