Bekende beperkingen in app-beheer voor voorwaardelijke toegang
In dit artikel worden bekende beperkingen beschreven voor het werken met app-beheer voor voorwaardelijke toegang in Microsoft Defender for Cloud Apps.
Neem contact op met ons ondersteuningsteam voor meer informatie over beveiligingsbeperkingen.
Maximale bestandsgrootte voor sessiebeleid
U kunt sessiebeleid toepassen op bestanden met een maximale grootte van 50 MB. Deze maximale bestandsgrootte is bijvoorbeeld relevant wanneer u beleid definieert om bestandsdownloads vanuit OneDrive te bewaken, bestandsupdates te blokkeren of downloads of uploads van malwarebestanden te blokkeren.
In dergelijke gevallen moet u ervoor zorgen dat u bestanden behandelt die groter zijn dan 50 MB door de tenantinstellingen te gebruiken om te bepalen of het bestand is toegestaan of geblokkeerd, ongeacht eventuele overeenkomende beleidsregels.
Selecteer in Microsoft Defender XDR Instellingen>Voorwaardelijke toegang App-beheer>Standaardgedrag om instellingen te beheren voor bestanden die groter zijn dan 50 MB.
Maximale bestandsgrootte voor sessiebeleid op basis van inhoudsinspectie
Wanneer u een sessiebeleid toepast om uploads of downloads van bestanden te blokkeren op basis van inhoudsinspectie, wordt de inspectie alleen uitgevoerd op bestanden die kleiner zijn dan 30 MB en die minder dan 1 miljoen tekens bevatten.
U kunt bijvoorbeeld een van de volgende sessiebeleidsregels definiëren:
- Uploaden van bestanden met burgerservicenummers blokkeren
- Download van bestanden beveiligen die beveiligde statusgegevens bevatten
- Download van bestanden met het vertrouwelijkheidslabel 'zeer gevoelig' blokkeren
In dergelijke gevallen worden bestanden die groter zijn dan 30 MB of die meer dan 1 miljoen tekens bevatten, niet gescand. Deze bestanden worden behandeld volgens de beleidsinstelling Altijd de geselecteerde actie toepassen, zelfs als de gegevens niet kunnen worden gescand .
De volgende tabel bevat meer voorbeelden van bestanden die wel en niet worden gescand:
| Bestandsbeschrijving | Gescande |
|---|---|
| Een TXT-bestand, een grootte van 1 MB en 1 miljoen tekens | Ja |
| Een TXT-bestand, een grootte van 2 MB en 2 miljoen tekens | Nee |
| Een Word bestand dat bestaat uit afbeeldingen en tekst, een grootte van 4 MB en 400.000 tekens | Ja |
| Een Word-bestand dat bestaat uit afbeeldingen en tekst, een grootte van 4 MB en 2 miljoen tekens | Nee |
| Een Word-bestand dat bestaat uit afbeeldingen en tekst, een grootte van 40 MB en 400.000 tekens | Nee |
Bestanden versleuteld met vertrouwelijkheidslabels
Voor tenants die cocreatie mogelijk maken voor bestanden die zijn versleuteld met vertrouwelijkheidslabels, wordt een sessiebeleid voor het blokkeren van het uploaden/downloaden van bestanden dat afhankelijk is van labelfilters of bestandsinhoud, uitgevoerd op basis van de beleidsinstelling Altijd de geselecteerde actie toepassen, zelfs als gegevens niet kunnen worden gescand .
Stel dat een sessiebeleid is geconfigureerd om te voorkomen dat bestanden met creditcardnummers worden gedownload en is ingesteld op Altijd de geselecteerde actie toepassen, zelfs als gegevens niet kunnen worden gescand. Elk bestand met een versleuteld vertrouwelijkheidslabel kan niet worden gedownload, ongeacht de inhoud ervan.
Externe B2B-gebruikers in Teams
Sessiebeleid biedt geen bescherming voor externe B2B-samenwerkingsgebruikers (business-to-business) in Microsoft Teams-toepassingen.
Beperkingen voor sessies die door de omgekeerde proxy worden uitgevoerd
De volgende beperkingen zijn alleen van toepassing op sessies die door de omgekeerde proxy worden uitgevoerd. Gebruikers van Microsoft Edge kunnen profiteren van in-browserbeveiliging in plaats van de omgekeerde proxy te gebruiken, zodat deze beperkingen geen invloed hebben op hen.
Beperkingen voor ingebouwde apps en browserinvoegtoepassingen
App-beheer voor voorwaardelijke toegang in Defender for Cloud Apps wijzigt onderliggende toepassingscode. Het biedt momenteel geen ondersteuning voor ingebouwde apps of browserextensies.
Als beheerder wilt u mogelijk standaardsysteemgedrag definiëren voor wanneer een beleid niet kan worden afgedwongen. U kunt ervoor kiezen om toegang toe te staan of volledig te blokkeren.
Beperkingen voor contextverlies
In de volgende toepassingen zijn we scenario's tegengekomen waarbij het bladeren naar een koppeling kan leiden tot het verlies van het volledige pad van de koppeling. Normaal gesproken komt de gebruiker op de startpagina van de app terecht.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft PowerApps
- Workplace van Meta
- ServiceNow
- Werkdag
- Vak
Beperkingen voor het uploaden van bestanden
Als u een sessiebeleid toepast om het uploaden van gevoelige bestanden te blokkeren of te bewaken, blokkeren de pogingen van de gebruiker om bestanden of mappen te uploaden met behulp van een slepen-en-neerzetten-bewerking de volledige lijst met bestanden en mappen in de volgende scenario's:
- Een map met ten minste één bestand en ten minste één submap
- Een map met meerdere submappen
- Een selectie van ten minste één bestand en ten minste één map
- Een selectie van meerdere mappen
De volgende tabel bevat voorbeeldresultaten wanneer u het beleid Uploaden van bestanden met persoonlijke gegevens naar OneDrive blokkeren definieert:
| Scenario | Resultaat |
|---|---|
| Een gebruiker probeert een selectie van 200 niet-gevoelige bestanden te uploaden met behulp van een slepen-en-neerzetten-bewerking. | Bestanden worden geblokkeerd. |
| Een gebruiker probeert een selectie van 200 bestanden te uploaden via het dialoogvenster Voor het uploaden van bestanden. Sommige zijn gevoelig en andere niet. | Niet-gevoelige bestanden worden geüpload. Gevoelige bestanden worden geblokkeerd. |
| Een gebruiker probeert een selectie van 200 bestanden te uploaden met behulp van een slepen-en-neerzetten-bewerking. Sommige zijn gevoelig en andere niet. | De volledige set bestanden wordt geblokkeerd. |
Beperkingen voor sessies die worden geleverd met edge-beveiliging in browser
De volgende beperkingen zijn alleen van toepassing op sessies die worden geleverd met edge-in-browserbeveiliging.
Dieptekoppeling gaat verloren wanneer de gebruiker overschakelt naar Edge door te klikken op Doorgaan in Edge
Een gebruiker die een sessie start in een andere browser dan Edge, wordt gevraagd om over te schakelen naar Edge door te klikken op de knop Doorgaan in Edge.
Als de URL verwijst naar een resource in de beveiligde toepassing, wordt de gebruiker omgeleid naar de startpagina van de toepassing in Edge.
Dieptekoppeling gaat verloren wanneer de gebruiker overschakelt naar het Edge-werkprofiel'
Een gebruiker die een sessie in Edge start met een ander profiel dan zijn werkprofiel, wordt gevraagd om over te schakelen naar zijn werkprofiel door op de knop Overschakelen naar werkprofiel te klikken.
Als de URL verwijst naar een resource in de beveiligde toepassing, wordt de gebruiker omgeleid naar de startpagina van de toepassing in Edge.