条件付きアクセス アプリ制御の既知の制限
この記事では、Microsoft Defender for Cloud Apps での条件付きアクセス アプリ制御の使用に関する既知の制限について説明します。
セキュリティの制限事項の詳細については、サポートチームにお問い合わせください。
セッションポリシーの最大ファイルサイズ
最大サイズが 50 MB のファイルにセッション ポリシーを適用できます。 たとえば、この最大ファイルサイズは、OneDriveからのファイルのダウンロードを監視したり、ファイルの更新をブロックしたり、マルウェアファイルのダウンロードまたはアップロードをブロックしたりするポリシーを定義している場合に関連します。
このような場合は、一致するポリシーに関係なく、テナント設定を使用してファイルを許可するかブロックするかを決定し、50 MB を超えるファイルを必ずカバーするようにしてください。
Microsoft Defender XDR で、 [設定]>[アプリの条件付きアクセス制御]>[既定の動作] を選択して、50 MB を超えるファイルの設定を管理します。
コンテンツ検査に基づくセッション ポリシーの最大ファイル サイズ
コンテンツ検査に基づいてファイルのアップロードまたはダウンロードをブロックするセッション ポリシーを適用すると、検査は 30 MB 未満で文字数が 100 万文字未満のファイルに対してのみ実行されます。
たとえば、次のいずれかのセッションポリシーを定義できます。
- 社会保障番号を含むファイルのアップロードをブロックする
- 保護された健康情報を含むファイルのダウンロードを保護する
- 機密ラベルが「非常に機密」のファイルのダウンロードをブロックします
このような場合、30 MB を超えるファイルや 100 万文字を超えるファイルはスキャンされません。 これらのファイルは、 [データをスキャンできない場合でも、選択したアクションを常に適用する] ポリシー設定に従って処理されます。
次の表に、スキャンされるファイルとスキャンされないファイルの例を示します。
| ファイルの説明 | スキャン済み |
|---|---|
| TXTファイル、サイズは1 MB、100万文字 | はい |
| 2 MB、200万文字のTXTファイル | いいえ |
| 画像とテキストで構成されたWordファイル、サイズ4MB、文字数40万文字 | はい |
| 画像とテキストで構成され、4 MB、200万文字のWordファイル | いいえ |
| 画像とテキストで構成されたWordファイル、サイズ40MB、文字数40万文字 | いいえ |
機密ラベルで暗号化されたファイル
機密ラベルで暗号化されたファイルの共同編集を有効にするテナントの場合、ラベル フィルターまたはファイル コンテンツに依存するファイルのアップロード/ダウンロードをブロックするセッション ポリシーは、 データをスキャンできない場合でも、選択したアクションを常に適用する ポリシー設定に基づいて動作します。
たとえば、セッション ポリシーが、クレジットカード番号を含むファイルのダウンロードを防止するように構成され、 データをスキャンできない場合でも、選択したアクションを常に適用するに設定されているとします。 暗号化された感度ラベルを持つファイルは、その内容にかかわらずダウンロードがブロックされる。
Teams の外部 B2B ユーザー
セッション ポリシーでは、Microsoft Teams アプリケーション内の外部の企業間 (B2B) コラボレーション ユーザーは保護されません。
リバースプロキシが提供するセッションの制限
次の制限は、リバース プロキシが提供するセッションにのみ適用されます。 Microsoft Edge のユーザーは、リバース プロキシを使用する代わりにブラウザー内保護のメリットを享受できるため、これらの制限は影響しません。
組み込みのアプリとブラウザープラグインの制限事項
Defender for Cloud Apps の条件付きアクセス アプリ制御は、基盤となるアプリケーション コードを変更します。 現在、組み込みアプリやブラウザ拡張機能はサポートされていません。
管理者として、ポリシーが実施できない場合のデフォルトのシステム動作を定義したい場合があります。 アクセスを許可するか、完全にブロックするかを選択できます。
コンテキスト損失の制限事項
次のアプリケーションでは、リンクを参照するとリンクの完全なパスが失われる可能性があるシナリオが発生しました。 通常、ユーザーはアプリのホームページにアクセスします。
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Workplace from Meta
- ServiceNow
- Workday
ファイルのアップロード制限
セッション ポリシーを適用して機密ファイルのアップロードをブロックまたは監視する場合、ユーザーがドラッグ アンド ドロップ操作でファイルまたはフォルダをアップロードしようとすると、次のシナリオでファイルとフォルダの完全なリストがブロックされます。
- 少なくとも1つのファイルと少なくとも1つのサブフォルダを含むフォルダ
- 複数のサブフォルダを含むフォルダ
- 少なくとも1つのファイルと少なくとも1つのフォルダの選択
- 複数のフォルダの選択
次の表は、 個人データを含むファイルの OneDrive へのアップロードをブロックする ポリシーを定義した場合の結果の例を示しています。
| シナリオ | 結果 |
|---|---|
| ユーザーは、ドラッグ アンド ドロップ操作を使用して、機密性のないファイル 200 個を選択してアップロードしようとします。 | ファイルがブロックされています。 |
| ユーザーは、ファイルアップロードダイアログを使用して 200 個のファイルを選択してアップロードしようとします。 敏感な人もいれば、そうでない人もいます。 | 機密性のないファイルがアップロードされます。 機密ファイルはブロックされます。 |
| ユーザーは、ドラッグ アンド ドロップ操作を使用して 200 個のファイルを選択してアップロードしようとします。 敏感な人もいれば、そうでない人もいます。 | ファイルの全セットがブロックされています。 |