Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje známá omezení pro práci s řízením podmíněného přístupu aplikací v Microsoft Defender for Cloud Apps.
Další informace o bezpečnostních omezeních získáte od našeho týmu podpory.
Maximální velikost souboru pro zásady relací
Zásady relací můžete použít u souborů, které mají maximální velikost 50 MB. Tato maximální velikost souboru je například relevantní, když definujete zásady pro monitorování stahování souborů z OneDrivu, blokování aktualizací souborů nebo blokování stahování nebo nahrávání malwarových souborů.
V takových případech nezapomeňte pomocí nastavení tenanta určit, jestli je soubor povolený nebo blokovaný, a to bez ohledu na odpovídající zásady, nezapomeňte zahrnout soubory větší než 50 MB.
V Microsoft Defender XDR vyberte Nastavení> Řízení >podmíněného přístupu k aplikacímVýchozí chování, abyste mohli spravovat nastavení souborů větších než 50 MB.
U ochrany v prohlížeči Microsoft Edge platí, že pokud je relace koncového uživatele chráněná a zásada je nastavená na vždy použít vybranou akci, i když data nejde zkontrolovat, je blokovaný soubor větší než 50 MB.
Maximální velikost souboru pro zásady relací na základě kontroly obsahu
Pokud použijete zásady relace k blokování nahrávání nebo stahování souborů na základě kontroly obsahu, kontrola se provede pouze u souborů, které jsou menší než 30 MB a mají méně než 1 milion znaků.
Můžete například definovat jednu z následujících zásad relace:
- Blokovat nahrávání souborů obsahujících čísla sociálního pojištění
- Ochrana stahování souborů, které obsahují chráněné informace o stavu
- Blokovat stahování souborů, které mají popisek citlivosti "velmi citlivé".
V takových případech se neprohledávají soubory, které jsou větší než 30 MB nebo mají více než 1 milion znaků. S těmito soubory se zachází podle nastavení zásad Vždy použít vybranou akci, i když se data nedají kontrolovat .
V následující tabulce jsou uvedeny další příklady souborů, které jsou a nejsou kontrolovány:
| Popis souboru | Naskenované |
|---|---|
| Soubor TXT, velikost 1 MB a 1 milion znaků | Ano |
| Soubor TXT, velikost 2 MB a 2 miliony znaků | Ne |
| Soubor Word složený z obrázků a textu, velikosti 4 MB a 400 kB znaků | Ano |
| Soubor Word složený z obrázků a textu, velikosti 4 MB a 2 milionů znaků | Ne |
| Soubor Word složený z obrázků a textu, velikosti 40 MB a 400 kB znaků | Ne |
Soubory šifrované pomocí popisků citlivosti
U tenantů, kteří umožňují spoluvytváření souborů šifrovaných popisky citlivosti, budou zásady relace pro blokování nahrávání a stahování souborů, které se spoléhají na filtry popisků nebo obsah souborů, fungovat na základě nastavení zásady Vždy použít vybranou akci i v případě, že data nejde zkontrolovat .
Předpokládejme například, že zásady relace jsou nakonfigurované tak, aby zabránily stahování souborů obsahujících čísla platebních karet, a jsou nastavené na Vždy použít vybranou akci, i když data nelze zkontrolovat. Stahování všech souborů se šifrovaným popiskem citlivosti je blokováno bez ohledu na jeho obsah.
Externí uživatelé B2B v Teams
Zásady relací nechrání uživatele spolupráce mezi externími firmami (B2B) v aplikacích Microsoft Teams.
Řízení relací s neinteraktivními tokeny
Některé aplikace využívají neinteraktivní přístupové tokeny k usnadnění bezproblémového přesměrování mezi aplikacemi v rámci stejné sady nebo sféry. Pokud je jedna aplikace onboardovaná do řízení podmíněného přístupu k aplikacím a druhá ne, nemusí se vynucovat řízení relací podle očekávání. Pokud například klient Teams načte neinteraktivní token pro SharePoint, může zahájit aktivní relaci v SPO bez výzvy k opětovnému ověření uživatele. V důsledku toho nemůže mechanismus řízení relací v těchto relacích zachycovat ani vynucovat zásady. Pro zajištění konzistentního vynucování doporučujeme připojit všechny relevantní aplikace, jako je Teams, společně s SPO.
Omezení protokolu IPv6
Zásady přístupu a relací podporují jenom protokol IPv4. Pokud je žádost podána přes protokol IPv6, pravidla zásad na základě PROTOKOLU IP se nepoužijí. Toto omezení platí při použití reverzního proxy serveru i ochrany prohlížeče Microsoft Edge.
Omezení pro relace, které reverzní proxy server obsluhuje
Následující omezení platí jenom pro relace, které reverzní proxy server obsluhuje. Uživatelé prohlížeče Microsoft Edge můžou místo použití reverzního proxy serveru využívat výhod ochrany v prohlížeči, takže tato omezení na ně nemají vliv.
Omezení modulů plug-in integrovaných aplikací a prohlížečů
Řízení podmíněného přístupu k aplikacím v Defender for Cloud Apps upravuje kód podkladové aplikace. V současné době nepodporuje integrované aplikace ani rozšíření prohlížeče.
Jako správce můžete chtít definovat výchozí chování systému pro dobu, kdy se zásady nedají vynutit. Můžete buď povolit přístup, nebo ho úplně zablokovat.
Omezení ztráty kontextu
V následujících aplikacích jsme narazili na scénáře, kdy procházení odkazu může vést ke ztrátě úplné cesty odkazu. Obvykle se uživatel dostane na domovskou stránku aplikace.
- Arcgis
- Github
- Microsoft Power Automate
- Microsoft Power Apps
- Pracoviště z meta
- ServiceNow
- Workday
- Pole
- Smartsheet
Omezení nahrávání souborů
Pokud použijete zásady relace k blokování nebo monitorování nahrávání citlivých souborů, pokusy uživatele o nahrání souborů nebo složek pomocí operace přetažení zablokují úplný seznam souborů a složek v následujících scénářích:
- Složka, která obsahuje alespoň jeden soubor a alespoň jednu podsložku
- Složka, která obsahuje více podsložek
- Výběr alespoň jednoho souboru a nejméně jedné složky
- Výběr více složek
Následující tabulka uvádí příklady výsledků při definování zásady Blokovat nahrávání souborů, které obsahují osobní údaje na OneDrive :
| Scénář | Result (Výsledek) |
|---|---|
| Uživatel se pokusí nahrát výběr 200 nesmyslných souborů pomocí operace přetažení. | Soubory jsou blokované. |
| Uživatel se pokusí nahrát výběr 200 souborů pomocí dialogového okna pro nahrání souboru. Některé jsou citlivé a jiné ne. | Nahrají se nesmyslné soubory. Citlivé soubory jsou blokované. |
| Uživatel se pokusí nahrát výběr 200 souborů pomocí operace přetažení. Některé jsou citlivé a jiné ne. | Úplná sada souborů je zablokovaná. |
Omezení pro relace, které se obsluhují s ochranou prohlížeče Microsoft Edge
Následující omezení platí jenom pro relace, které jsou obsluhovány s ochranou prohlížeče v prohlížeči Microsoft Edge.
Zabezpečené ovládací prvky relací Microsoft Edge nejde používat s Google Workspace v podnikových prohlížečích Microsoft Edge
Google Workspace se nepodporuje s ochranou v prohlížeči v prohlížeči Enterprise Microsoft Edge. V důsledku toho se ovládací prvky zabezpečené relace Microsoft Edge v Google Workspaces nepodporují. V Google Workspaces se nepodporuje prohledávání souborů ochrany před únikem informací v reálném čase, používá se náhradní ověřování přípon a nepodporuje se nahrávání, stahování, vyjmutí a kopírování souborů.
Když uživatel přepne na Microsoft Edge kliknutím na Pokračovat v Microsoft Edgi, ztratí se přímý odkaz.
Uživateli, který spustí relaci v jiném prohlížeči, než je Microsoft Edge, se zobrazí výzva k přepnutí na Microsoft Edge kliknutím na tlačítko Pokračovat v Microsoft Edgi.
Pokud adresa URL odkazuje na prostředek v rámci zabezpečené aplikace, bude uživatel přesměrován na domovskou stránku aplikace v Microsoft Edgi.
Když uživatel přepne na pracovní profil Microsoft Edge, ztratí se přímý odkaz.
Uživatel, který spustí relaci v Aplikaci Microsoft Edge s jiným profilem, než je jeho pracovní profil, se zobrazí výzva k přepnutí na pracovní profil kliknutím na tlačítko Přepnout na pracovní profil.
Pokud adresa URL odkazuje na prostředek v rámci zabezpečené aplikace, bude uživatel přesměrován na domovskou stránku aplikace v Microsoft Edgi.
Zastaralé vynucování zásad relací v Microsoft Edgi
Pokud se zásady relace vynucují pomocí ochrany prohlížeče Microsoft Edge a uživatel se později odebere z odpovídajících zásad podmíněného přístupu, původní vynucení relace může stále trvat.
Ukázkový scénář:
Uživateli byla původně přiřazena zásada podmíněného přístupu pro Salesforce spolu se zásadami Defender for Cloud Apps relace pro blokování stahování souborů. V důsledku toho se stahování zablokovalo, když uživatel přistupoval k Salesforce v Microsoft Edgi.
I když správce později zásady podmíněného přístupu odebral, uživatel stále dochází k blokování stahování v Microsoft Edgi kvůli datům zásad uloženým v mezipaměti.
Možnosti zmírnění rizik:
Možnost 1: Automatické čištění
- Přidejte uživatele nebo aplikaci zpět do rozsahu zásad podmíněného přístupu.
- Odeberte odpovídající zásady relace Defender for Cloud Apps.
- Počkejte, až uživatelé přistupí k aplikaci pomocí Microsoft Edge. Tím se automaticky aktivuje odebrání zásady.
- Odeberte uživatele nebo aplikaci z rozsahu zásad podmíněného přístupu.
Možnost 2: Odstranění souboru zásad v mezipaměti (ruční vyčištění)
- Přejděte na: C:\Users<username>\AppData\Local\Microsoft\Edge\
- Odstraňte soubor: mda_store.1.txt
Možnost 3: Odebrání pracovního profilu v Aplikaci Microsoft Edge (ruční vyčištění)
- Otevřete Microsoft Edge.
- Přejděte na Nastavení profilu.
- Odstraňte pracovní profil přidružený k zastaralým zásadám relací.
Tyto kroky vynutí aktualizaci zásad a řeší problémy s vynucení související se zastaralými zásadami relací.