条件访问应用控件中的已知限制
本文介绍在 Microsoft Defender for Cloud Apps 中使用条件访问应用控件的已知限制。
若要了解有关安全限制的详细信息,请与我们的支持团队联系。
会话策略的最大文件大小
可以对最大大小为 50 MB 的文件应用会话策略。 例如,当你定义策略以监视从 OneDrive 下载的文件、阻止文件更新或阻止下载或上传恶意软件文件时,此最大文件大小是相关的。
在这种情况下,请确保使用租户设置来确定是允许还是阻止文件,而不考虑任何匹配策略,覆盖大于 50 MB 的文件。
在“Microsoft Defender XDR”中,选择“设置>条件访问应用控制>默认行为”以管理大于 50 MB 的文件的设置。
基于内容检查的会话策略的最大文件大小
应用会话策略以基于内容检查阻止文件上传或下载时,仅对小于 30 MB 且字符少于 100 万的文件执行检查。
例如,可以定义以下会话策略之一:
- 阻止上传包含社会保险号码的文件
- 保护包含受保护运行状况信息的文件的下载
- 阻止下载敏感度标签为“非常敏感”的文件
在这种情况下,不会扫描大于 30 MB 或字符数超过 100 万的文件。 即使 无法扫描数据,也会根据“始终应用所选操作 ”策略设置处理这些文件。
下表列出了扫描和未扫描的文件的更多示例:
| 文件说明 | 已扫描 |
|---|---|
| TXT 文件,大小为 1 MB,字符数为 100 万 | 是 |
| TXT 文件,大小为 2 MB,字符数为 200 万 | 否 |
| 由图像和文本、4 MB 大小和 40 万个字符组成的Word文件 | 是 |
| 由图像和文本、4 MB 大小和 200 万个字符组成的Word文件 | 否 |
| 由图像和文本、40 MB 大小和 400K 个字符组成的Word文件 | 否 |
使用敏感度标签加密的文件
对于为使用敏感度标签加密的文件启用共同创作的租户,将基于 始终应用所选操作(即使无法扫描数据 )策略设置,以阻止依赖于标签筛选器或文件内容的文件上传/下载的会话策略。
例如,假设会话策略配置为阻止下载包含信用卡编号的文件,并且设置为始终应用所选操作,即使无法扫描数据也是如此。 任何具有加密敏感度标签的文件都将被阻止下载,无论其内容如何。
Teams 中的外部 B2B 用户
会话策略不会保护外部企业到企业 (B2B) 协作用户Microsoft Teams 应用程序中。
反向代理所服务的会话的限制
以下限制仅适用于反向代理所服务的会话。 Microsoft Edge 的用户可以从浏览器内保护中受益,而不是使用反向代理,因此这些限制不会影响他们。
内置应用和浏览器插件限制
Defender for Cloud Apps 中的条件访问应用控件修改了基础应用程序代码。 它目前不支持内置应用或浏览器扩展。
作为管理员,你可能希望为无法强制执行策略时定义默认系统行为。 可以选择允许访问或完全阻止访问。
上下文丢失限制
在以下应用程序中,我们遇到了浏览到链接可能导致链接完整路径丢失的情况。 通常,用户将登陆应用的主页。
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- 从 Meta 工作区
- ServiceNow
- Workday
- Box
文件上传限制
如果应用会话策略来阻止或监视敏感文件的上传,则用户在以下方案中尝试使用拖放操作上传文件或文件夹会阻止文件和文件夹的完整列表:
- 包含至少一个文件和至少一个子文件夹的文件夹
- 包含多个子文件夹的文件夹
- 至少选择一个文件和至少一个文件夹
- 选择多个文件夹
下表列出了定义 “阻止将包含个人数据的文件上传到 OneDrive” 策略时的示例结果:
| 应用场景 | 结果 |
|---|---|
| 用户尝试使用拖放操作上传所选的 200 个非敏感文件。 | 文件被阻止。 |
| 用户尝试使用文件上传对话框上传所选的 200 个文件。 有些是敏感的,有些则不是。 | 上传非敏感文件。 阻止敏感文件。 |
| 用户尝试使用拖放操作上传所选的 200 个文件。 有些是敏感的,有些则不是。 | 将阻止完整的文件集。 |
使用 Edge 浏览器内保护提供的会话的限制
以下限制仅适用于通过 Edge 浏览器内保护提供的会话。
当用户通过单击“在 Edge 中继续”切换到 Edge 时,深层链接将丢失
通过单击“在 Edge 中继续”按钮,系统会提示在除 Edge 以外的浏览器中启动会话的用户切换到 Edge。
如果 URL 指向受保护的应用程序中的资源,则用户将被定向到 Edge 中的应用程序主页。
当用户切换到 Edge 工作配置文件时,深层链接会丢失
使用工作配置文件以外的配置文件在 Edge 中启动会话的用户将通过单击“切换到工作配置文件”按钮来提示切换到其工作配置文件。
如果 URL 指向受保护的应用程序中的资源,则用户将被定向到 Edge 中的应用程序主页。