Limitations connues dans le contrôle d’application d’accès conditionnel
Cet article décrit les limitations connues de l’utilisation du contrôle d’application par accès conditionnel dans Microsoft Defender for Cloud Apps.
Pour en savoir plus sur les limitations de sécurité, contactez notre équipe de support technique.
Taille de fichier maximale pour les stratégies de session
Vous pouvez appliquer des stratégies de session sur les fichiers dont la taille maximale est de 50 Mo. Par exemple, cette taille de fichier maximale est pertinente lorsque vous définissez des stratégies pour surveiller les téléchargements de fichiers à partir de OneDrive, bloquer les mises à jour de fichiers ou bloquer les téléchargements ou chargements de fichiers malveillants.
Dans ce cas, veillez à couvrir les fichiers dont la taille dépasse 50 Mo en utilisant les paramètres du locataire pour déterminer si le fichier est autorisé ou bloqué, quelles que soient les stratégies correspondantes.
Dans Microsoft Defender XDR, sélectionnez Paramètres>Accès conditionnel Contrôle d’application>Comportement par défaut pour gérer les paramètres des fichiers de plus de 50 Mo.
Taille de fichier maximale pour les stratégies de session en fonction de l’inspection du contenu
Lorsque vous appliquez une stratégie de session pour bloquer les chargements ou les téléchargements de fichiers en fonction de l’inspection du contenu, l’inspection est effectuée uniquement sur les fichiers dont la taille est inférieure à 30 Mo et qui ont moins de 1 million de caractères.
Par exemple, vous pouvez définir l’une des stratégies de session suivantes :
- Bloquer le chargement des fichiers contenant des numéros de sécurité sociale
- Protéger le téléchargement de fichiers qui contiennent des informations d’intégrité protégées
- Bloquer le téléchargement des fichiers dont l’étiquette de confidentialité est « très sensible »
Dans ce cas, les fichiers dont la taille est supérieure à 30 Mo ou qui ont plus de 1 million de caractères ne sont pas analysés. Ces fichiers sont traités conformément au paramètre de stratégie Toujours appliquer l’action sélectionnée, même si les données ne peuvent pas être analysées .
Le tableau suivant répertorie d’autres exemples de fichiers qui sont et ne sont pas analysés :
| Description du fichier | Analysé |
|---|---|
| Un fichier TXT, une taille de 1 Mo et 1 million de caractères | Oui |
| Un fichier TXT, taille de 2 Mo et 2 millions de caractères | Non |
| Un fichier Word composé d’images et de texte, d’une taille de 4 Mo et de 400 000 caractères | Oui |
| Un fichier Word composé d’images et de texte, d’une taille de 4 Mo et de 2 millions de caractères | Non |
| Un fichier Word composé d’images et de texte, d’une taille de 40 Mo et de 400 000 caractères | Non |
Fichiers chiffrés avec des étiquettes de confidentialité
Pour les locataires qui activent la co-création de fichiers chiffrés avec des étiquettes de confidentialité, une stratégie de session pour bloquer le chargement/téléchargement de fichiers qui s’appuie sur des filtres d’étiquettes ou du contenu de fichier fonctionne en fonction du paramètre de stratégie Toujours appliquer l’action sélectionnée, même si les données ne peuvent pas être analysées .
Par exemple, supposons qu’une stratégie de session est configurée pour empêcher le téléchargement de fichiers qui contiennent des numéros de carte de crédit et qu’elle est définie sur Toujours appliquer l’action sélectionnée même si les données ne peuvent pas être analysées. Le téléchargement de tout fichier avec une étiquette de confidentialité chiffrée est bloqué, quel que soit son contenu.
Utilisateurs B2B externes dans Teams
Les stratégies de session ne protègent pas les utilisateurs de collaboration B2B (Business-to-Business) externes dans les applications Microsoft Teams.
Limitations pour les sessions que le proxy inverse sert
Les limitations suivantes s’appliquent uniquement aux sessions que le proxy inverse sert. Les utilisateurs de Microsoft Edge peuvent bénéficier de la protection dans le navigateur au lieu d’utiliser le proxy inverse, de sorte que ces limitations ne les affectent pas.
Limitations des plug-ins d’application et de navigateur intégrés
Le contrôle d’application d’accès conditionnel dans Defender for Cloud Apps modifie le code d’application sous-jacent. Il ne prend actuellement pas en charge les applications intégrées ou les extensions de navigateur.
En tant qu’administrateur, vous pouvez définir le comportement système par défaut quand une stratégie ne peut pas être appliquée. Vous pouvez choisir d’autoriser l’accès ou de le bloquer totalement.
Limitations de la perte de contexte
Dans les applications suivantes, nous avons rencontré des scénarios où l’accès à un lien peut entraîner la perte du chemin d’accès complet du lien. En règle générale, l’utilisateur accède à la page d’accueil de l’application.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Espace de travail à partir d’une méta
- ServiceNow
- Workday
- Box
Limitations du chargement de fichiers
Si vous appliquez une stratégie de session pour bloquer ou surveiller le chargement de fichiers sensibles, les tentatives de l’utilisateur de charger des fichiers ou des dossiers à l’aide d’une opération glisser-déplacer bloquent la liste complète des fichiers et dossiers dans les scénarios suivants :
- Dossier qui contient au moins un fichier et au moins un sous-dossier
- Dossier qui contient plusieurs sous-dossiers
- Sélection d’au moins un fichier et d’au moins un dossier
- Sélection de plusieurs dossiers
Le tableau suivant répertorie des exemples de résultats lorsque vous définissez la stratégie Bloquer le chargement de fichiers contenant des données personnelles dans OneDrive :
| Scénario | Résultat |
|---|---|
| Un utilisateur tente de charger une sélection de 200 fichiers non sensibles à l’aide d’une opération de glisser-déplacer. | Les fichiers sont bloqués. |
| Un utilisateur tente de charger une sélection de 200 fichiers à l’aide de la boîte de dialogue de chargement de fichiers. Certains sont sensibles, d’autres ne le sont pas. | Les fichiers non sensibles sont chargés. Les fichiers sensibles sont bloqués. |
| Un utilisateur tente de charger une sélection de 200 fichiers à l’aide d’une opération de glisser-déplacer. Certains sont sensibles, d’autres ne le sont pas. | L’ensemble complet des fichiers est bloqué. |
Limitations pour les sessions qui sont servies avec la protection dans le navigateur Edge
Les limitations suivantes s’appliquent uniquement aux sessions qui sont servies avec la protection dans le navigateur Edge.
Le lien profond est perdu lorsque l’utilisateur bascule vers Edge en cliquant sur « Continuer dans Edge »
Un utilisateur qui démarre une session dans un navigateur autre que Edge est invité à basculer vers Edge en cliquant sur le bouton « Continuer dans Edge ».
Si l’URL pointe vers une ressource au sein de l’application sécurisée, l’utilisateur est dirigé vers la page d’accueil de l’application dans Edge.
Le lien profond est perdu lorsque l’utilisateur bascule vers le profil professionnel Edge
Un utilisateur qui démarre une session dans Edge avec un profil autre que son profil professionnel est invité à basculer vers son profil professionnel en cliquant sur le bouton « Basculer vers le profil professionnel ».
Si l’URL pointe vers une ressource au sein de l’application sécurisée, l’utilisateur est dirigé vers la page d’accueil de l’application dans Edge.