Kjente begrensninger i appkontroll for betinget tilgang
Denne artikkelen beskriver kjente begrensninger for å arbeide med appkontroll for betinget tilgang i Microsoft Defender for Cloud Apps.
Hvis du vil vite mer om sikkerhetsbegrensninger, kan du kontakte kundestøtteteamet vårt.
Maksimal filstørrelse for øktpolicyer
Du kan bruke øktpolicyer på filer som har en maksimal størrelse på 50 MB. Denne maksimale filstørrelsen er for eksempel relevant når du definerer policyer for å overvåke filnedlastinger fra OneDrive, blokkere filoppdateringer eller blokkere nedlastinger eller opplastinger av filer med skadelig programvare.
I slike tilfeller må du passe på å dekke filer som er større enn 50 MB ved hjelp av leierinnstillingene for å avgjøre om filen er tillatt eller blokkert, uavhengig av eventuelle samsvarende policyer.
I Microsoft Defender XDR velger duStandard virkemåte forappkontroll> for innstillinger> for betinget tilgang for å administrere innstillinger for filer som er større enn 50 MB.
Maksimal filstørrelse for øktpolicyer basert på innholdsinspeksjon
Når du bruker en øktpolicy til å blokkere filopplastinger eller nedlastinger basert på innholdsinspeksjon, utføres inspeksjonen bare på filer som er mindre enn 30 MB, og som har færre enn 1 million tegn.
Du kan for eksempel definere én av følgende øktpolicyer:
- Blokkere opplasting av filer som inneholder personnumre
- Beskytt nedlasting av filer som inneholder beskyttet tilstandsinformasjon
- Blokker nedlasting av filer som har en følsomhetsetikett med «svært følsom»
I slike tilfeller skannes ikke filer som er større enn 30 MB eller som har mer enn 1 million tegn. Disse filene behandles i henhold til innstillingen Bruk alltid den valgte handlingen selv om policyinnstillingene ikke kan skannes .
Tabellen nedenfor viser flere eksempler på filer som er og ikke skannes:
| Filbeskrivelse | Skannet |
|---|---|
| En TXT-fil, 1 MB størrelse og 1 million tegn | Ja |
| En TXT-fil, 2 MB størrelse og 2 millioner tegn | Nei |
| En Word fil som består av bilder og tekst, 4 MB og 400 000 tegn | Ja |
| En Word fil som består av bilder og tekst, 4 MB størrelse og 2 millioner tegn | Nei |
| En Word fil som består av bilder og tekst, 40 MB og 400 000 tegn | Nei |
Filer kryptert med følsomhetsetiketter
For leiere som aktiverer samtidig redigering for filer som er kryptert med følsomhetsetiketter, vil en øktpolicy for å blokkere filopplasting/nedlasting som er avhengig av etikettfiltre eller filinnhold, fungere basert på innstillingen Bruk alltid den valgte handlingen selv om data ikke kan skannes .
Anta for eksempel at en øktpolicy er konfigurert for å hindre nedlasting av filer som inneholder kredittkortnumre, og er satt til Bruk alltid den valgte handlingen selv om data ikke kan skannes. Alle filer med en kryptert følsomhetsetikett blokkeres fra nedlasting, uavhengig av innholdet.
Eksterne B2B-brukere i Teams
Øktpolicyer beskytter ikke brukere av eksternt forretnings-til-bedrift (B2B)-samarbeid i Microsoft Teams-programmer.
Begrensninger for økter som den omvendte proxyen tjener
Følgende begrensninger gjelder bare for økter som den omvendte proxyen tjener. Brukere av Microsoft Edge kan dra nytte av beskyttelse i nettleseren i stedet for å bruke den omvendte proxyen, slik at disse begrensningene ikke påvirker dem.
Innebygde begrensninger for program- og nettlesertillegg
Appkontroll for betinget tilgang i Defender for Cloud Apps endrer underliggende programkode. Den støtter for øyeblikket ikke innebygde apper eller nettleserutvidelser.
Som administrator bør du definere standard systemvirkemåte for når en policy ikke kan håndheves. Du kan velge enten å tillate tilgang eller blokkere den fullstendig.
Begrensninger for konteksttap
I følgende programmer oppdaget vi scenarioer der det å bla til en kobling kan føre til tap av koblingens fullstendige bane. Vanligvis lander brukeren på hjemmesiden til appen.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Arbeidsplass fra meta
- ServiceNow
- Arbeidsdag
- Eske
Begrensninger for filopplasting
Hvis du bruker en øktpolicy til å blokkere eller overvåke opplasting av sensitive filer, forsøker brukeren å laste opp filer eller mapper ved hjelp av en dra-og-slipp-operasjon som blokkerer hele listen over filer og mapper i følgende scenarioer:
- En mappe som inneholder minst én fil og minst én undermappe
- En mappe som inneholder flere undermapper
- Et utvalg av minst én fil og minst én mappe
- Et utvalg av flere mapper
Tabellen nedenfor viser eksempelresultater når du definerer Blokkopplasting av filer som inneholder personopplysninger til OneDrive-policyen :
| Scenario | Resultat |
|---|---|
| En bruker prøver å laste opp et utvalg av 200 ikke-sensitive filer ved hjelp av en dra-og-slipp-operasjon. | Filer blokkeres. |
| En bruker prøver å laste opp et utvalg av 200 filer ved hjelp av dialogboksen for filopplasting. Noen er følsomme, og noen er det ikke. | Filer som ikke er sensitive, lastes opp. Sensitive filer blokkeres. |
| En bruker prøver å laste opp et utvalg av 200 filer ved hjelp av en dra-og-slipp-operasjon. Noen er følsomme, og noen er det ikke. | Hele settet med filer er blokkert. |
Begrensninger for økter som leveres med Microsoft Edge-beskyttelse i nettleseren
Følgende begrensninger gjelder bare for økter som leveres med Microsoft Edge-beskyttelse i nettleseren.
Dyp kobling går tapt når brukeren bytter til Edge ved å klikke Fortsett i Microsoft Edge
En bruker som starter en økt i en annen nettleser enn Edge, blir bedt om å bytte til Edge ved å klikke på Fortsett i Edge-knappen.
Hvis nettadressen peker til en ressurs i det sikrede programmet, blir brukeren dirigert til programmets hjemmeside i Edge.
Dyp kobling går tapt når brukeren bytter til Edge-arbeidsprofilen
En bruker som starter en økt i Edge med en annen profil enn jobbprofilen sin, blir bedt om å bytte til jobbprofilen ved å klikke på Knappen Bytt til jobbprofil.
Hvis nettadressen peker til en ressurs i det sikrede programmet, blir brukeren dirigert til programmets hjemmeside i Edge.