Kända begränsningar i appkontrollen för villkorsstyrd åtkomst
I den här artikeln beskrivs kända begränsningar för att arbeta med appkontrollen för villkorsstyrd åtkomst i Microsoft Defender for Cloud Apps.
Om du vill veta mer om säkerhetsbegränsningar kontaktar du vårt supportteam.
Maximal filstorlek för sessionsprinciper
Du kan tillämpa sessionsprinciper på filer som har en maximal storlek på 50 MB. Den här maximala filstorleken är till exempel relevant när du definierar principer för att övervaka filnedladdningar från OneDrive, blockera filuppdateringar eller blockera nedladdningar eller uppladdningar av filer med skadlig kod.
I sådana fall bör du täcka filer som är större än 50 MB genom att använda klientinställningarna för att avgöra om filen tillåts eller blockeras, oavsett matchande principer.
I Microsoft Defender XDR väljer du Inställningar>Standardbeteende för appkontroll > förvillkorsstyrd åtkomstför att hantera inställningar för filer som är större än 50 MB.
Maximal filstorlek för sessionsprinciper baserat på innehållsgranskning
När du tillämpar en sessionsprincip för att blockera filuppladdningar eller nedladdningar baserat på innehållsgranskning utförs inspektionen endast på filer som är mindre än 30 MB och som har färre än 1 miljon tecken.
Du kan till exempel definiera någon av följande sessionsprinciper:
- Blockera uppladdning av filer som innehåller personnummer
- Skydda nedladdning av filer som innehåller skyddad hälsoinformation
- Blockera nedladdning av filer som har känslighetsetiketten "mycket känslig"
I sådana fall genomsöks inte filer som är större än 30 MB eller som har fler än 1 miljon tecken. Dessa filer behandlas enligt principinställningen Tillämpa alltid den valda åtgärden även om data inte kan genomsökas .
I följande tabell visas fler exempel på filer som är och inte genomsöks:
| Filbeskrivning | Skannade |
|---|---|
| En TXT-fil, en storlek på 1 MB och 1 miljon tecken | Ja |
| En TXT-fil, en storlek på 2 MB och 2 miljoner tecken | Nej |
| En Word fil som består av bilder och text, 4 MB och 400 000 tecken | Ja |
| En Word fil som består av bilder och text, 4 MB och 2 miljoner tecken | Nej |
| En Word fil som består av bilder och text, 40 MB och 400 000 tecken | Nej |
Filer krypterade med känslighetsetiketter
För klienter som aktiverar samtidig autentisering för filer som krypterats med känslighetsetiketter kommer en sessionsprincip för att blockera filuppladdning/nedladdning som förlitar sig på etikettfilter eller filinnehåll att fungera baserat på principinställningen Tillämpa alltid den valda åtgärden även om data inte kan genomsökas .
Anta till exempel att en sessionsprincip är konfigurerad för att förhindra nedladdning av filer som innehåller kreditkortsnummer och är inställd på Tillämpa alltid den valda åtgärden även om data inte kan skannas. Alla filer med en krypterad känslighetsetikett blockeras från att laddas ned, oavsett dess innehåll.
Externa B2B-användare i Teams
Sessionsprinciper skyddar inte externa B2B-samarbetsanvändare (business-to-business) i Microsoft Teams-program.
Begränsningar för sessioner som den omvända proxyn hanterar
Följande begränsningar gäller endast för sessioner som den omvända proxyn hanterar. Användare av Microsoft Edge kan dra nytta av webbläsarskydd i stället för att använda omvänd proxy, så dessa begränsningar påverkar dem inte.
Inbyggda begränsningar för app- och webbläsartillägg
Appkontrollen för villkorsstyrd åtkomst i Defender for Cloud Apps ändrar underliggande programkod. Det stöder för närvarande inte inbyggda appar eller webbläsartillägg.
Som administratör kanske du vill definiera standardsystembeteendet för när en princip inte kan tillämpas. Du kan välja att antingen tillåta åtkomst eller helt blockera den.
Begränsningar för kontextförlust
I följande program påträffade vi scenarier där surfning till en länk kan leda till att länkens fullständiga sökväg går förlorad. Vanligtvis hamnar användaren på appens startsida.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Arbetsplats från meta
- ServiceNow
- Arbetsdag
- Ruta
Begränsningar för filuppladdning
Om du tillämpar en sessionsprincip för att blockera eller övervaka uppladdningen av känsliga filer blockerar användarens försök att ladda upp filer eller mappar med hjälp av en dra och släpp-åtgärd den fullständiga listan över filer och mappar i följande scenarier:
- En mapp som innehåller minst en fil och minst en undermapp
- En mapp som innehåller flera undermappar
- Ett val av minst en fil och minst en mapp
- Ett urval av flera mappar
I följande tabell visas exempelresultat när du definierar principen Blockera uppladdning av filer som innehåller personliga data till OneDrive :
| Scenario | Resultat |
|---|---|
| En användare försöker ladda upp ett urval av 200 meningslösa filer med hjälp av en dra och släpp-åtgärd. | Filer blockeras. |
| En användare försöker ladda upp ett urval av 200 filer med hjälp av dialogrutan för filuppladdning. Vissa är känsliga och andra inte. | Meningslösa filer laddas upp. Känsliga filer blockeras. |
| En användare försöker ladda upp ett urval av 200 filer med hjälp av en dra och släpp-åtgärd. Vissa är känsliga och andra inte. | Den fullständiga uppsättningen filer blockeras. |
Begränsningar för sessioner som hanteras med Edge-skydd i webbläsaren
Följande begränsningar gäller endast för sessioner som hanteras med Edge-skydd i webbläsaren.
Djuplänken går förlorad när användaren växlar till Edge genom att klicka på Fortsätt i Edge
En användare som startar en session i en annan webbläsare än Edge uppmanas att växla till Edge genom att klicka på knappen Fortsätt i Edge.
Om URL:en pekar på en resurs i det skyddade programmet dirigeras användaren till programmets startsida i Edge.
Djuplänken går förlorad när användaren växlar till Edge-arbetsprofilen"
En användare som startar en session i Edge med en annan profil än sin arbetsprofil uppmanas att växla till sin arbetsprofil genom att klicka på knappen Växla till arbetsprofil.
Om URL:en pekar på en resurs i det skyddade programmet dirigeras användaren till programmets startsida i Edge.