Известные ограничения в элементе управления условным доступом к приложениям
В этой статье описываются известные ограничения для работы с элементом управления условным доступом к приложениям в Microsoft Defender for Cloud Apps.
Чтобы узнать больше об ограничениях безопасности, обратитесь в нашу службу поддержки.
Максимальный размер файла для политик сеанса
Политики сеансов можно применять к файлам с максимальным размером 50 МБ. Например, этот максимальный размер файла имеет значение, когда вы определяете политики для отслеживания загрузки файлов из OneDrive, блокировки обновлений файлов, блокировки скачивания или отправки вредоносных файлов.
В таких случаях обязательно охватывайте файлы размером более 50 МБ с помощью параметров клиента, чтобы определить, разрешен ли файл или заблокирован, независимо от политик сопоставления.
В Microsoft Defender XDR выберите Параметры Управление>условным доступом к приложениям>Поведение по умолчанию, чтобы управлять параметрами для файлов размером более 50 МБ.
Максимальный размер файла для политик сеанса на основе проверки содержимого
При применении политики сеанса для блокировки отправки или скачивания файлов на основе проверки содержимого проверка выполняется только для файлов размером менее 30 МБ и имеющих менее 1 миллиона символов.
Например, можно определить одну из следующих политик сеанса:
- Блокировка отправки файлов, содержащих номера социального страхования
- Защита скачивания файлов, содержащих защищенные сведения о работоспособности
- Блокировать скачивание файлов с меткой конфиденциальности "очень конфиденциальный"
В таких случаях файлы размером более 30 МБ или более 1 миллиона символов не сканируются. Эти файлы обрабатываются в соответствии с выбранным действием Всегда применять, даже если данные не могут быть проверены .
В следующей таблице перечислены дополнительные примеры файлов, которые не сканируются.
| Описание файла | Отсканировано |
|---|---|
| TXT-файл размером 1 МБ и 1 миллион символов | Да |
| TXT-файл размером 2 МБ и 2 миллиона символов | Нет |
| файл Word, состоящий из изображений и текста размером 4 МБ и 400 ТЫС символов. | Да |
| файл Word, состоящий из изображений и текста размером 4 МБ и 2 миллиона символов. | Нет |
| файл Word, состоящий из изображений и текста размером 40 МБ и 400 тыс. символов. | Нет |
Файлы, зашифрованные с помощью меток конфиденциальности
Для клиентов, которые обеспечивают совместное редактирование файлов, зашифрованных с помощью меток конфиденциальности, политика сеанса для блокировки отправки и скачивания файлов, основанная на фильтрах меток или содержимом файла, будет работать на основе параметра политики Всегда применять выбранное действие, даже если данные не могут быть проверены .
Например, предположим, что политика сеанса настроена таким образом, чтобы запретить скачивание файлов, содержащих числа карта кредитов, и для нее задано значение Всегда применять выбранное действие, даже если данные не могут быть проверены. Любой файл с зашифрованной меткой конфиденциальности блокируется для скачивания независимо от его содержимого.
Внешние пользователи B2B в Teams
Политики сеансов не защищают внешних пользователей совместной работы B2B в приложениях Microsoft Teams.
Ограничения для сеансов, обслуживаемые обратным прокси-сервером
Следующие ограничения применяются только к сеансам, которые обслуживает обратный прокси-сервер. Пользователи Microsoft Edge могут воспользоваться защитой в браузере вместо использования обратного прокси-сервера, поэтому эти ограничения не влияют на них.
Ограничения встроенных приложений и подключаемых модулей браузера
Элемент управления условным доступом к приложениям в Defender for Cloud Apps изменяет базовый код приложения. В настоящее время он не поддерживает встроенные приложения или расширения браузера.
Администратору может потребоваться определить системное поведение по умолчанию для случаев, когда невозможно применить политику. Вы можете разрешить доступ или полностью заблокировать его.
Ограничения потери контекста
В следующих приложениях мы сталкивались с сценариями, когда переход по ссылке может привести к потере полного пути ссылки. Как правило, пользователь попадает на домашнюю страницу приложения.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Рабочая область из meta
- ServiceNow
- Workday
- Box
Ограничения отправки файлов
Если вы применяете политику сеанса для блокировки или отслеживания отправки конфиденциальных файлов, попытки пользователя отправить файлы или папки с помощью операции перетаскивания блокируют полный список файлов и папок в следующих сценариях:
- Папка, содержащая по крайней мере один файл и хотя бы одну вложенную папку.
- Папка, содержащая несколько вложенных папок.
- Выбор по крайней мере одного файла и по крайней мере одной папки
- Выбор нескольких папок
В следующей таблице приведены примеры результатов при определении политики Блокировать отправку файлов, содержащих персональные данные, в OneDrive .
| Сценарий | Result |
|---|---|
| Пользователь пытается передать выборку из 200 нечувствительных файлов с помощью операции перетаскивания. | Файлы блокируются. |
| Пользователь пытается отправить выборку из 200 файлов с помощью диалогового окна отправки файлов. Некоторые из них чувствительны, а некоторые нет. | Нечувствительные файлы отправляются. Конфиденциальные файлы блокируются. |
| Пользователь пытается отправить выборку из 200 файлов с помощью операции перетаскивания. Некоторые из них чувствительны, а некоторые нет. | Полный набор файлов заблокирован. |
Ограничения для сеансов, обслуживаемых с помощью защиты Edge в браузере
Следующие ограничения применяются только к сеансам, которые обслуживаются с защитой Edge в браузере.
Прямая ссылка теряется, когда пользователь переключается на Edge путем нажатия кнопки "Продолжить в Edge"
Пользователю, который запускает сеанс в браузере, отличном от Edge, предлагается переключиться на Edge, нажав кнопку "Продолжить в Edge".
Если URL-адрес указывает на ресурс в защищенном приложении, пользователь будет перенаправлен на домашнюю страницу приложения в Edge.
Прямая ссылка теряется, когда пользователь переключается на рабочий профиль Edge
Пользователю, который запускает сеанс в Edge с профилем, отличным от его рабочего профиля, предлагается переключиться на свой рабочий профиль, нажав кнопку "Переключиться в рабочий профиль".
Если URL-адрес указывает на ресурс в защищенном приложении, пользователь будет перенаправлен на домашнюю страницу приложения в Edge.