إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
توضح هذه المقالة القيود المعروفة للعمل مع التحكم في تطبيق الوصول المشروط في Microsoft Defender for Cloud Apps.
لمعرفة المزيد حول قيود الأمان، اتصل بفريق الدعم لدينا.
الحد الأقصى لحجم الملف لنهج الجلسة
يمكنك تطبيق نهج الجلسة على الملفات التي يبلغ حجمها الأقصى 50 ميغابايت. على سبيل المثال، يكون هذا الحد الأقصى لحجم الملف مناسبا عندما تقوم بتعريف النهج لمراقبة تنزيلات الملفات من OneDrive أو حظر تحديثات الملفات أو حظر التنزيلات أو تحميلات ملفات البرامج الضارة.
في مثل هذه الحالات، تأكد من تغطية الملفات التي يزيد حجمها عن 50 ميغابايت باستخدام إعدادات المستأجر لتحديد ما إذا كان الملف مسموحا به أو محظورا، بغض النظر عن أي نهج مطابقة.
في Microsoft Defender XDR، حدد الإعدادات> التحكمفي تطبيق> الوصول المشروطالسلوك الافتراضي لإدارة إعدادات الملفات التي يزيد حجمها عن 50 ميغابايت.
مع حماية Microsoft Edge في المستعرض، في حالة حماية جلسة عمل المستخدم النهائي وتعيين النهج إلى "تطبيق الإجراء المحدد دائما حتى إذا تعذر مسح البيانات ضوئيا"، يتم حظر أي ملف أكبر من 50 ميغابايت.
الحد الأقصى لحجم الملف لنهج الجلسة استنادا إلى فحص المحتوى
عند تطبيق نهج جلسة عمل لحظر تحميلات الملفات أو التنزيلات استنادا إلى فحص المحتوى، يتم إجراء الفحص فقط على الملفات الأصغر من 30 ميغابايت والتي تحتوي على أقل من مليون حرف.
على سبيل المثال، قد تحدد أحد نهج الجلسة التالية:
- حظر تحميل الملفات التي تحتوي على أرقام الضمان الاجتماعي
- حماية تنزيل الملفات التي تحتوي على معلومات حماية محمية
- حظر تنزيل الملفات التي تحتوي على وصف حساسية "حساس جدا"
في مثل هذه الحالات، لا يتم مسح الملفات التي يزيد حجمها عن 30 ميغابايت أو التي تحتوي على أكثر من مليون حرف ضوئيا. يتم التعامل مع هذه الملفات وفقا للإجراء المحدد تطبيق دائما حتى إذا كان لا يمكن مسح البيانات ضوئيا إعداد النهج.
يسرد الجدول التالي المزيد من الأمثلة على الملفات التي تم مسحها ضوئيا ولم يتم مسحها ضوئيا:
| وصف الملف | الممسوحه ضوئيا |
|---|---|
| ملف TXT وحجم 1 ميغابايت ومليوني حرف | نعم |
| ملف TXT وحجم 2 ميغابايت ومليوني حرف | لا |
| ملف Word يتكون من صور ونص وحجم 4 ميغابايت و400 كيلوبايت من الأحرف | نعم |
| ملف Word يتكون من صور ونص وحجم 4 ميغابايت ومليوني حرف | لا |
| ملف Word يتكون من صور ونص وحجم 40 ميغابايت و400 كيلوبايت | لا |
الملفات المشفرة باستخدام أوصاف الحساسية
بالنسبة للمستأجرين الذين يمكنهم التأليف المشترك للملفات المشفرة بتسميات الحساسية، سيعمل نهج جلسة العمل لحظر تحميل/تنزيل الملفات الذي يعتمد على عوامل تصفية التسميات أو محتوى الملفات استنادا إلى الإجراء المحدد تطبيق دائما حتى إذا تعذر فحص البيانات إعداد النهج.
على سبيل المثال، افترض أنه تم تكوين نهج جلسة عمل لمنع تنزيل الملفات التي تحتوي على أرقام بطاقات الائتمان ويتم تعيينها على تطبيق الإجراء المحدد دائما حتى إذا تعذر مسح البيانات ضوئيا. يتم حظر تنزيل أي ملف بتسمية حساسية مشفرة، بغض النظر عن محتواه.
مستخدمو B2B الخارجيون في Teams
لا تحمي نهج الجلسة مستخدمي التعاون الخارجيين بين الشركات (B2B) في تطبيقات Microsoft Teams.
عناصر تحكم الجلسة باستخدام الرموز المميزة غير التفاعلية
تستخدم بعض التطبيقات رموز الوصول المميزة غير التفاعلية لتسهيل إعادة التوجيه السلس بين التطبيقات داخل نفس المجموعة أو النطاق. عندما يتم إلحاق تطبيق واحد ب Conditional Access App Control والاخر لا يتم فرض عناصر التحكم في الجلسة كما هو متوقع. على سبيل المثال، إذا استرد عميل Teams رمزا مميزا غير تفاعلي ل SharePoint، فيمكنه بدء جلسة نشطة في SPO دون مطالبة المستخدم بإعادة المصادقة. ونتيجة لذلك، لا يمكن لآلية التحكم في جلسة العمل اعتراض النهج أو فرضها على جلسات العمل هذه. لضمان التنفيذ المتسق، نوصي بإعداد جميع التطبيقات ذات الصلة، مثل Teams، جنبا إلى جنب مع SPO.
قيود IPv6
تدعم نهج الوصول والجلسة IPv4 فقط. إذا تم تقديم طلب عبر IPv6، فلن يتم تطبيق قواعد النهج المستندة إلى IP. ينطبق هذا القيد عند استخدام كل من الوكيل العكسي وحماية Microsoft Edge في المستعرض.
قيود جلسات العمل التي يخدمها الوكيل العكسي
تنطبق القيود التالية فقط على الجلسات التي يخدمها الوكيل العكسي. يمكن لمستخدمي Microsoft Edge الاستفادة من الحماية داخل المستعرض بدلا من استخدام الوكيل العكسي، لذلك لا تؤثر هذه القيود عليهم.
قيود المكون الإضافي للتطبيق والمستعرض المضمنة
يعدل التحكم في تطبيق الوصول المشروط في Defender for Cloud Apps التعليمات البرمجية للتطبيق الأساسي. لا يدعم حاليا التطبيقات المضمنة أو ملحقات المستعرض.
كمسؤول، قد تحتاج إلى تعريف سلوك النظام الافتراضي عندما لا يمكن فرض نهج. يمكنك اختيار إما السماح بالوصول أو حظره تماما.
قيود فقدان السياق
في التطبيقات التالية، واجهنا سيناريوهات حيث قد يؤدي الاستعراض إلى ارتباط إلى فقدان المسار الكامل للارتباط. عادة ما يهبط المستخدم على الصفحة الرئيسية للتطبيق.
- ArcGIS
- جيثب
- Microsoft Power Automate
- Microsoft Power Apps
- مكان العمل من Meta
- ServiceNow
- ساعات
- مربع
- ورقة ذكية
قيود تحميل الملفات
إذا قمت بتطبيق نهج جلسة عمل لحظر أو مراقبة تحميل الملفات الحساسة، فإن محاولات المستخدم لتحميل الملفات أو المجلدات باستخدام عملية السحب والإفلات تحظر القائمة الكاملة للملفات والمجلدات في السيناريوهات التالية:
- مجلد يحتوي على ملف واحد على الأقل ومجلد فرعي واحد على الأقل
- مجلد يحتوي على مجلدات فرعية متعددة
- تحديد ملف واحد على الأقل ومجلد واحد على الأقل
- مجموعة مختارة من مجلدات متعددة
يسرد الجدول التالي أمثلة على النتائج عند تحديد حظر تحميل الملفات التي تحتوي على بيانات شخصية إلى نهج OneDrive :
| السيناريو | نتيجه |
|---|---|
| يحاول المستخدم تحميل مجموعة مختارة من 200 ملف غير منطقي باستخدام عملية السحب والإفلات. | تم حظر الملفات. |
| يحاول المستخدم تحميل مجموعة مختارة من 200 ملف باستخدام مربع حوار تحميل الملفات. بعضها حساس، والبعض الآخر غير حساس. | يتم تحميل الملفات غير الفارغة. يتم حظر الملفات الحساسة. |
| يحاول المستخدم تحميل مجموعة مختارة من 200 ملف باستخدام عملية السحب والإفلات. بعضها حساس، والبعض الآخر غير حساس. | تم حظر المجموعة الكاملة من الملفات. |
قيود جلسات العمل التي يتم تقديمها مع حماية Microsoft Edge في المستعرض
تنطبق القيود التالية فقط على الجلسات التي يتم تقديمها مع حماية Microsoft Edge في المستعرض.
لا يمكن استخدام عناصر تحكم جلسة Microsoft Edge الآمنة مع مساحة عمل Google في مستعرضات Enterprise Microsoft Edge
مساحة عمل Google غير مدعومة مع الحماية داخل المستعرض في مستعرض Enterprise Microsoft Edge. ونتيجة لذلك، لا يتم دعم عناصر تحكم جلسة عمل Microsoft Edge الآمنة في مساحات عمل Google. في Google Workspaces، لا يتم دعم عمليات فحص ملفات DLP في الوقت الحقيقي، ويتم استخدام المصادقة الاحتياطية لللاحقات، ولا يتم دعم تحميل الملفات وتنزيلها وقصها ونسخها.
يتم فقدان الارتباط العميق عند تبديل المستخدم إلى Microsoft Edge بالنقر فوق "متابعة في Microsoft Edge"
تتم مطالبة المستخدم الذي يبدأ جلسة عمل في مستعرض آخر غير Microsoft Edge بالتبديل إلى Microsoft Edge بالنقر فوق الزر "متابعة في Microsoft Edge".
إذا كان عنوان URL يشير إلى مورد داخل التطبيق الآمن، يتم توجيه المستخدم إلى الصفحة الرئيسية للتطبيق في Microsoft Edge.
يتم فقدان الارتباط العميق عند تبديل المستخدم إلى ملف تعريف عمل Microsoft Edge'
تتم مطالبة المستخدم الذي يبدأ جلسة عمل في Microsoft Edge بملف تعريف آخر غير ملف تعريف العمل الخاص به بالتبديل إلى ملف تعريف العمل الخاص به بالنقر فوق الزر "التبديل إلى ملف تعريف العمل".
إذا كان عنوان URL يشير إلى مورد داخل التطبيق الآمن، يتم توجيه المستخدم إلى الصفحة الرئيسية للتطبيق في Microsoft Edge.
فرض نهج الجلسة القديم مع Microsoft Edge
عند فرض نهج جلسة عمل باستخدام حماية Microsoft Edge في المستعرض وإزالة المستخدم لاحقا من نهج الوصول المشروط (CA) المقابل، قد يستمر فرض جلسة العمل الأصلية.
مثال على السيناريو:
تم تعيين نهج CA للمستخدم في الأصل ل Salesforce جنبا إلى جنب مع نهج جلسة عمل Defender for Cloud Apps لحظر تنزيلات الملفات. ونتيجة لذلك، تم حظر التنزيلات عندما قام المستخدم بالوصول إلى Salesforce في Microsoft Edge.
على الرغم من أن المسؤول قام لاحقا بإزالة نهج CA، لا يزال المستخدم يواجه كتلة التنزيل في Microsoft Edge بسبب بيانات النهج المخزنة مؤقتا.
خيارات التخفيف من المخاطر:
الخيار 1: التنظيف التلقائي
- أضف المستخدم/التطبيق مرة أخرى إلى نطاق نهج CA.
- قم بإزالة نهج جلسة Defender for Cloud Apps المقابلة.
- انتظر حتى يصل المستخدمون إلى التطبيق باستخدام Microsoft Edge. يؤدي هذا تلقائيا إلى إزالة النهج.
- قم بإزالة المستخدم/التطبيق من نطاق نهج CA.
الخيار 2: حذف ملف النهج المخزن مؤقتا (التنظيف اليدوي)
- انتقل إلى: C:\Users<username>\AppData\Local\Microsoft\Edge\
- حذف الملف: mda_store.1.txt
الخيار 3: إزالة ملف تعريف العمل في Microsoft Edge (التنظيف اليدوي)
- افتح Microsoft Edge.
- انتقل إلى إعدادات ملف التعريف.
- احذف ملف تعريف العمل المقترن بنهج جلسة العمل القديمة.
تفرض هذه الخطوات تحديث النهج وحل مشكلات الإنفاذ المتعلقة بنهج الجلسة القديمة.