Znane ograniczenia kontroli aplikacji dostępu warunkowego
W tym artykule opisano znane ograniczenia dotyczące pracy z kontrolą aplikacji dostępu warunkowego w Microsoft Defender for Cloud Apps.
Aby dowiedzieć się więcej na temat ograniczeń zabezpieczeń, skontaktuj się z naszym zespołem pomocy technicznej.
Maksymalny rozmiar pliku dla zasad sesji
Zasady sesji można zastosować do plików o maksymalnym rozmiarze 50 MB. Na przykład ten maksymalny rozmiar pliku jest odpowiedni podczas definiowania zasad monitorowania pobierania plików z usługi OneDrive, blokowania aktualizacji plików lub blokowania pobierania lub przekazywania plików złośliwego oprogramowania.
W takich przypadkach należy uwzględnić pliki o rozmiarze większym niż 50 MB przy użyciu ustawień dzierżawy, aby określić, czy plik jest dozwolony, czy zablokowany, niezależnie od dopasowanych zasad.
W Microsoft Defender XDR wybierz pozycję Ustawienia> Kontroladostępu warunkowego Domyślne zachowanie kontroli> aplikacji, aby zarządzać ustawieniami plików o rozmiarze większym niż 50 MB.
Maksymalny rozmiar pliku dla zasad sesji na podstawie inspekcji zawartości
W przypadku zastosowania zasad sesji do blokowania przekazywania lub pobierania plików na podstawie inspekcji zawartości inspekcja jest przeprowadzana tylko w przypadku plików mniejszych niż 30 MB i zawierających mniej niż 1 milion znaków.
Można na przykład zdefiniować jedną z następujących zasad sesji:
- Blokuj przekazywanie plików zawierających numery ubezpieczenia społecznego
- Ochrona pobierania plików zawierających chronione informacje o kondycji
- Blokuj pobieranie plików, które mają etykietę poufności "bardzo wrażliwą"
W takich przypadkach pliki, które są większe niż 30 MB lub mają więcej niż 1 milion znaków, nie są skanowane. Te pliki są traktowane zgodnie z akcją Zawsze stosuj wybraną akcję, nawet jeśli nie można przeskanować danych .
W poniższej tabeli wymieniono więcej przykładów plików, które są i nie są skanowane:
| Opis pliku | Skanowane |
|---|---|
| Plik TXT, rozmiar 1 MB i 1 milion znaków | Tak |
| Plik TXT, rozmiar 2 MB i 2 miliony znaków | Nie |
| Plik Word składający się z obrazów i tekstu, rozmiaru 4 MB i 400 000 znaków | Tak |
| Plik Word składający się z obrazów i tekstu, rozmiaru 4 MB i 2 milionów znaków | Nie |
| Plik Word składający się z obrazów i tekstu, rozmiaru 40 MB i 400 000 znaków | Nie |
Pliki zaszyfrowane przy użyciu etykiet poufności
W przypadku dzierżaw, które umożliwiają współtworzynie plików zaszyfrowanych przy użyciu etykiet poufności, zasady sesji blokujące przekazywanie/pobieranie plików oparte na filtrach etykiet lub zawartości pliku będą działać na podstawie ustawienia zasad Zawsze stosuj wybraną akcję, nawet jeśli nie można skanować danych .
Załóżmy na przykład, że zasady sesji są skonfigurowane tak, aby uniemożliwiały pobieranie plików zawierających numery kart kredytowych i ustawiono opcję Zawsze stosuj wybraną akcję, nawet jeśli nie można skanować danych. Pobieranie dowolnego pliku z zaszyfrowaną etykietą poufności jest blokowane niezależnie od jego zawartości.
Zewnętrzni użytkownicy B2B w usłudze Teams
Zasady sesji nie chronią zewnętrznych użytkowników współpracy między firmami (B2B) w aplikacjach usługi Microsoft Teams.
Ograniczenia dotyczące sesji, które służą odwrotnemu serwerowi proxy
Poniższe ograniczenia dotyczą tylko sesji obsługiwanych przez zwrotny serwer proxy. Użytkownicy przeglądarki Microsoft Edge mogą korzystać z ochrony w przeglądarce, zamiast korzystać z odwrotnego serwera proxy, więc te ograniczenia nie mają na nie wpływu.
Ograniczenia wbudowanej aplikacji i wtyczki przeglądarki
Kontrola aplikacji dostępu warunkowego w Defender for Cloud Apps modyfikuje bazowy kod aplikacji. Obecnie nie obsługuje ona wbudowanych aplikacji ani rozszerzeń przeglądarki.
Jako administrator możesz zdefiniować domyślne zachowanie systemu, gdy nie można wymusić zasad. Możesz zezwolić na dostęp lub całkowicie go zablokować.
Ograniczenia dotyczące utraty kontekstu
W następujących aplikacjach napotkaliśmy scenariusze, w których przejście do linku może spowodować utratę pełnej ścieżki łącza. Zazwyczaj użytkownik ląduje na stronie głównej aplikacji.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Miejsce pracy z meta
- ServiceNow
- Workday
- Pudełko
Ograniczenia przekazywania plików
Jeśli zastosujesz zasady sesji do blokowania lub monitorowania przekazywania poufnych plików, użytkownik próbuje przekazać pliki lub foldery za pomocą operacji przeciągania i upuszczania bloku pełnej listy plików i folderów w następujących scenariuszach:
- Folder zawierający co najmniej jeden plik i co najmniej jeden podfolder
- Folder zawierający wiele podfolderów
- Wybór co najmniej jednego pliku i co najmniej jednego folderu
- Wybór wielu folderów
W poniższej tabeli przedstawiono przykładowe wyniki definiowania zasad Blokuj przekazywanie plików zawierających dane osobowe do usługi OneDrive :
| Scenariusz | Result (Wynik) |
|---|---|
| Użytkownik próbuje przekazać wybór 200 nieczułych plików przy użyciu operacji przeciągania i upuszczania. | Pliki są blokowane. |
| Użytkownik próbuje przekazać wybór 200 plików przy użyciu okna dialogowego przekazywania plików. Niektóre są wrażliwe, a niektóre nie. | Pliki niewrażliwe są przekazywane. Pliki poufne są blokowane. |
| Użytkownik próbuje przekazać wybór 200 plików przy użyciu operacji przeciągania i upuszczania. Niektóre są wrażliwe, a niektóre nie. | Pełny zestaw plików jest zablokowany. |
Ograniczenia dotyczące sesji obsługiwanych z ochroną przeglądarki Edge w przeglądarce
Poniższe ograniczenia dotyczą tylko sesji obsługiwanych z ochroną przeglądarki Edge w przeglądarce.
Link głęboki jest tracony, gdy użytkownik przełącza się do przeglądarki Edge, klikając pozycję "Kontynuuj w przeglądarce Edge"
Użytkownik, który uruchamia sesję w przeglądarce innej niż Przeglądarka Edge, jest monitowany o przełączenie się do przeglądarki Edge, klikając przycisk "Kontynuuj w przeglądarce Edge".
Jeśli adres URL wskazuje zasób w zabezpieczonej aplikacji, użytkownik zostanie przekierowany do strony głównej aplikacji w przeglądarce Edge.
Link głęboki jest tracony, gdy użytkownik przełącza się do profilu służbowego przeglądarki Edge
Użytkownik, który rozpoczyna sesję w przeglądarce Edge z profilem innym niż jego profil służbowy, jest monitowany o przełączenie się do swojego profilu służbowego, klikając przycisk "Przełącz do profilu służbowego".
Jeśli adres URL wskazuje zasób w zabezpieczonej aplikacji, użytkownik zostanie przekierowany do strony głównej aplikacji w przeglądarce Edge.