Bekannte Einschränkungen bei der App-Steuerung für bedingten Zugriff
In diesem Artikel werden bekannte Einschränkungen für die Verwendung der App-Steuerung für bedingten Zugriff in Microsoft Defender for Cloud Apps beschrieben.
Wenden Sie sich an unser Supportteam, um mehr über Sicherheitsbeschränkungen zu erfahren.
Maximale Dateigröße für Sitzungsrichtlinien
Sie können Sitzungsrichtlinien auf Dateien anwenden, die eine maximale Größe von 50 MB haben. Diese maximale Dateigröße ist beispielsweise relevant, wenn Sie Richtlinien definieren, um Dateidownloads von OneDrive zu überwachen, Dateiupdates zu blockieren oder Downloads oder Uploads von Schadsoftwaredateien zu blockieren.
Stellen Sie in solchen Fällen sicher, dass Sie Dateien abdecken, die größer als 50 MB sind, indem Sie die Mandanteneinstellungen verwenden, um zu bestimmen, ob die Datei zulässig oder blockiert ist, unabhängig von übereinstimmenden Richtlinien.
Wählen Sie Microsoft Defender XDR Einstellungen>Bedingter Zugriff App-Steuerung>Standardverhalten aus, um Einstellungen für Dateien zu verwalten, die größer als 50 MB sind.
Maximale Dateigröße für Sitzungsrichtlinien basierend auf der Inhaltsuntersuchung
Wenn Sie eine Sitzungsrichtlinie anwenden, um Dateiuploads oder -downloads basierend auf der Inhaltsuntersuchung zu blockieren, wird die Überprüfung nur für Dateien durchgeführt, die kleiner als 30 MB sind und weniger als eine Million Zeichen enthalten.
Sie können beispielsweise eine der folgenden Sitzungsrichtlinien definieren:
- Hochladen von Dateien blockieren, die Sozialversicherungsnummern enthalten
- Schützen des Downloads von Dateien, die geschützte Integritätsinformationen enthalten
- Blockieren des Downloads von Dateien mit der Vertraulichkeitsbezeichnung "sehr vertraulich"
In solchen Fällen werden Dateien, die größer als 30 MB sind oder mehr als 1 Million Zeichen enthalten, nicht gescannt. Diese Dateien werden gemäß der Richtlinieneinstellung Ausgewählte Aktion immer anwenden behandelt, auch wenn die Daten nicht überprüft werden können .
Die folgende Tabelle enthält weitere Beispiele für Dateien, die überprüft werden und nicht überprüft werden:
| Dateibeschreibung | Gescannt |
|---|---|
| Eine TXT-Datei mit einer Größe von 1 MB und 1 Million Zeichen | Ja |
| Eine TXT-Datei mit einer Größe von 2 MB und 2 Millionen Zeichen | Nein |
| Eine Word Datei, bestehend aus Bildern und Text, einer Größe von 4 MB und 400.000 Zeichen | Ja |
| Eine Word-Datei, bestehend aus Bildern und Text, einer Größe von 4 MB und 2 Millionen Zeichen | Nein |
| Eine Word Datei, bestehend aus Bildern und Text, einer Größe von 40 MB und 400.000 Zeichen | Nein |
Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind
Für Mandanten, die die gemeinsame Dokumenterstellung für Dateien ermöglichen, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind, funktioniert eine Sitzungsrichtlinie zum Blockieren des Hochladens/Herunterladens von Dateien, die auf Bezeichnungsfiltern oder Dateiinhalten basiert, basierend auf der Richtlinieneinstellung Die ausgewählte Aktion immer anwenden, auch wenn Daten nicht überprüft werden können .
Angenommen, eine Sitzungsrichtlinie ist konfiguriert, um das Herunterladen von Dateien zu verhindern, die Guthaben Karte Zahlen enthalten, und ist auf Die ausgewählte Aktion immer anwenden festgelegt, auch wenn die Daten nicht gescannt werden können. Das Herunterladen von Dateien mit einer verschlüsselten Vertraulichkeitsbezeichnung ist unabhängig von ihrem Inhalt blockiert.
Externe B2B-Benutzer in Teams
Sitzungsrichtlinien schützen keine externen B2B-Benutzer (Business-to-Business) für die Zusammenarbeit in Microsoft Teams-Anwendungen.
Einschränkungen für Sitzungen, die der Reverseproxy bedient
Die folgenden Einschränkungen gelten nur für Sitzungen, die vom Reverseproxy bedient werden. Benutzer von Microsoft Edge können vom In-Browser-Schutz profitieren, anstatt den Reverseproxy zu verwenden, sodass diese Einschränkungen sie nicht beeinträchtigen.
Einschränkungen für integrierte Apps und Browser-Plug-Ins
Die App-Steuerung für bedingten Zugriff in Defender for Cloud Apps ändert den zugrunde liegenden Anwendungscode. Integrierte Apps oder Browsererweiterungen werden derzeit nicht unterstützt.
Als Administrator möchten Sie möglicherweise das Standardsystemverhalten für den Fall definieren, dass eine Richtlinie nicht erzwungen werden kann. Sie können den Zugriff entweder zulassen oder vollständig blockieren.
Einschränkungen bei Kontextverlusten
In den folgenden Anwendungen sind wir auf Szenarien gestoßen, in denen das Navigieren zu einem Link dazu führen kann, dass der vollständige Pfad des Links verloren geht. In der Regel gelangt der Benutzer zur Startseite der App.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft PowerApps
- Workplace from Meta
- ServiceNow
- Workday
- Box
Einschränkungen beim Hochladen von Dateien
Wenn Sie eine Sitzungsrichtlinie anwenden, um den Upload vertraulicher Dateien zu blockieren oder zu überwachen, blockieren die Versuche des Benutzers, Dateien oder Ordner mithilfe eines Drag-and-Drop-Vorgangs hochzuladen, die vollständige Liste der Dateien und Ordner in den folgenden Szenarien:
- Ein Ordner, der mindestens eine Datei und mindestens einen Unterordner enthält.
- Ein Ordner, der mehrere Unterordner enthält
- Eine Auswahl von mindestens einer Datei und mindestens einem Ordner
- Auswahl mehrerer Ordner
Die folgende Tabelle enthält Beispielergebnisse, wenn Sie die Richtlinie Upload von Dateien blockieren definieren, die personenbezogene Daten auf OneDrive enthalten :
| Szenario | Result |
|---|---|
| Ein Benutzer versucht, eine Auswahl von 200 nicht sensiblen Dateien mithilfe eines Drag-and-Drop-Vorgangs hochzuladen. | Dateien werden blockiert. |
| Ein Benutzer versucht, eine Auswahl von 200 Dateien mithilfe des Dialogfelds zum Hochladen von Dateien hochzuladen. Einige sind vertraulich, andere nicht. | Nicht sensible Dateien werden hochgeladen. Vertrauliche Dateien werden blockiert. |
| Ein Benutzer versucht, eine Auswahl von 200 Dateien mithilfe eines Drag-and-Drop-Vorgangs hochzuladen. Einige sind vertraulich, andere nicht. | Der vollständige Satz von Dateien ist blockiert. |
Einschränkungen für Sitzungen, die mit Edge-In-Browser-Schutz bereitgestellt werden
Die folgenden Einschränkungen gelten nur für Sitzungen, die mit Edge-In-Browser-Schutz bereitgestellt werden.
Deep-Link geht verloren, wenn der Benutzer zu Edge wechselt, indem er auf "In Edge fortfahren" klickt.
Ein Benutzer, der eine Sitzung in einem anderen Browser als Edge startet, wird aufgefordert, zu Edge zu wechseln, indem er auf die Schaltfläche "In Edge fortfahren" klickt.
Wenn die URL auf eine Ressource innerhalb der geschützten Anwendung verweist, wird der Benutzer zur Startseite der Anwendung in Edge weitergeleitet.
Deep Link geht verloren, wenn der Benutzer zum Edge-Arbeitsprofil wechselt.
Ein Benutzer, der eine Sitzung in Edge mit einem anderen Profil als seinem Arbeitsprofil startet, wird aufgefordert, zu seinem Arbeitsprofil zu wechseln, indem er auf die Schaltfläche "Zum Arbeitsprofil wechseln" klickt.
Wenn die URL auf eine Ressource innerhalb der geschützten Anwendung verweist, wird der Benutzer zur Startseite der Anwendung in Edge weitergeleitet.