条件付きアクセス アプリ制御の既知の制限事項
この記事では、Microsoft Defender for Cloud Appsで条件付きアクセス アプリ制御を操作するための既知の制限事項について説明します。
セキュリティの制限事項の詳細については、サポート チームにお問い合わせください。
セッション ポリシーの最大ファイル サイズ
最大サイズが 50 MB のファイルにセッション ポリシーを適用できます。 たとえば、この最大ファイル サイズは、OneDrive からのファイルのダウンロードを監視したり、ファイルの更新をブロックしたり、マルウェア ファイルのダウンロードやアップロードをブロックしたりするポリシーを定義する場合に関連します。
このような場合は、テナント設定を使用して、一致するポリシーに関係なく、ファイルが許可されるかブロックされるかを判断することで、50 MB を超えるファイルをカバーしてください。
Microsoft Defender XDRで、[設定>Conditional Access App Control>Default の動作を選択して、50 MB を超えるファイルの設定を管理します。
コンテンツ検査に基づくセッション ポリシーの最大ファイル サイズ
コンテンツ検査に基づいてファイルのアップロードまたはダウンロードをブロックするセッション ポリシーを適用すると、検査は 30 MB 未満で 100 万文字未満のファイルに対してのみ実行されます。
たとえば、次のいずれかのセッション ポリシーを定義できます。
- 社会保障番号を含むファイルのアップロードをブロックする
- 保護された正常性情報を含むファイルのダウンロードを保護する
- "非常に機密性の高い" という秘密度ラベルを持つファイルのダウンロードをブロックする
このような場合、30 MB を超えるファイルや 100 万文字を超えるファイルはスキャンされません。 これらのファイルは、[ データをスキャンできない場合でも常に選択したアクションを適用 する] ポリシー設定に従って処理されます。
次の表に、スキャンされるファイルとスキャンされないファイルの例を示します。
| ファイルの説明 | Scanned (スキャン中) |
|---|---|
| TXT ファイル、1 MB サイズ、100 万文字 | はい |
| TXT ファイル、2 MB サイズ、200 万文字 | いいえ |
| 画像とテキスト、4 MB サイズ、400,000 文字で構成されたWord ファイル | はい |
| 画像とテキスト、4 MB サイズ、200 万文字で構成されたWord ファイル | いいえ |
| 画像とテキスト、40 MB のサイズと 400K 文字で構成されたWord ファイル | いいえ |
秘密度ラベルで暗号化されたファイル
秘密度ラベルで暗号化されたファイルの共同編集を有効にするテナントの場合、ラベル フィルターまたはファイル コンテンツに依存するファイルのアップロード/ダウンロードをブロックするセッション ポリシーは、[ データをスキャンできない場合でも常に選択したアクションを適用 する] ポリシー設定に基づいて動作します。
たとえば、セッション ポリシーが、クレジット カード番号を含むファイルのダウンロードを禁止するように構成されており、データをスキャンできない場合でも、[常に選択したアクションを適用する] に設定されているとします。 暗号化された秘密度ラベルを持つファイルは、コンテンツに関係なく、ダウンロードがブロックされます。
Teams の外部 B2B ユーザー
セッション ポリシーは、Microsoft Teams アプリケーションの外部ビジネス間 (B2B) コラボレーション ユーザーを保護しません。
リバース プロキシが機能するセッションの制限事項
次の制限は、リバース プロキシが機能するセッションにのみ適用されます。 Microsoft Edge のユーザーは、リバース プロキシを使用する代わりにブラウザー内保護を利用できるため、これらの制限は影響を受けません。
組み込みのアプリとブラウザーのプラグインの制限事項
Defender for Cloud Appsのアプリの条件付きアクセス制御によって、基になるアプリケーション コードが変更されます。 現在、組み込みのアプリやブラウザー拡張機能はサポートされていません。
管理者は、ポリシーを適用できない場合の既定のシステム動作を定義できます。 アクセスを許可するか、完全にブロックするかを選択できます。
コンテキスト損失の制限事項
次のアプリケーションでは、リンクを参照するとリンクの完全なパスが失われる可能性があるシナリオが発生しました。 通常、ユーザーはアプリのホーム ページに移動します。
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Workplace from Meta
- ServiceNow
- Workday
- Box
ファイルのアップロードに関する制限事項
セッション ポリシーを適用して機密ファイルのアップロードをブロックまたは監視する場合、ユーザーがドラッグ アンド ドロップ操作を使用してファイルまたはフォルダーをアップロードしようとすると、次のシナリオでファイルとフォルダーの完全な一覧がブロックされます。
- 少なくとも 1 つのファイルと少なくとも 1 つのサブフォルダーを含むフォルダー
- 複数のサブフォルダーを含むフォルダー
- 少なくとも 1 つのファイルと少なくとも 1 つのフォルダーの選択
- 複数のフォルダーの選択
次の表に、 OneDrive への個人データを含むファイルのアップロードをブロックするポリシーを定義した場合の結果の例を 示します。
| シナリオ | 結果 |
|---|---|
| ユーザーは、ドラッグ アンド ドロップ操作を使用して、200 個の非認識ファイルの選択をアップロードしようとします。 | ファイルはブロックされます。 |
| ユーザーは、ファイルのアップロード ダイアログを使用して、200 個のファイルの選択をアップロードしようとします。 一部は機密性が高く、そうでないものもあります。 | 非センセンティティブ ファイルがアップロードされます。 機密ファイルはブロックされます。 |
| ユーザーは、ドラッグ アンド ドロップ操作を使用して、200 個のファイルの選択をアップロードしようとします。 一部は機密性が高く、そうでないものもあります。 | ファイルの完全なセットがブロックされます。 |
Edge のブラウザー内保護で提供されるセッションの制限事項
次の制限は、Edge のブラウザー内保護で提供されるセッションにのみ適用されます。
ユーザーが [Edge で続行] をクリックして Edge に切り替えると、ディープ リンクが失われます
Edge 以外のブラウザーでセッションを開始するユーザーは、[Edge で続行] ボタンをクリックして Edge に切り替えるよう求められます。
URL がセキュリティで保護されたアプリケーション内のリソースを指している場合、ユーザーは Edge のアプリケーションのホームページに移動します。
ユーザーが Edge 作業プロファイルに切り替えると、ディープ リンクが失われます"
仕事用プロファイル以外のプロファイルを使用して Edge でセッションを開始するユーザーは、[仕事用プロファイルに切り替える] ボタンをクリックして仕事用プロファイルに切り替えるよう求められます。
URL がセキュリティで保護されたアプリケーション内のリソースを指している場合、ユーザーは Edge のアプリケーションのホームページに移動します。