Bekannte Einschränkungen für die App-Steuerung für bedingten Zugriff
In diesem Artikel werden bekannte Einschränkungen für die Arbeit mit der App-Steuerung für bedingten Zugriff von Microsoft Defender for Cloud Apps beschrieben.
Um mehr über Sicherheitseinschränkungen zu erfahren, wenden Sie sich an unser Support-Team.
Maximale Dateigröße für Sitzungsrichtlinien
Sie können Sitzungsrichtlinien auf Dateien mit einer maximalen Größe von 50 MB anwenden. Diese maximale Dateigröße ist beispielsweise relevant, wenn Sie Richtlinien zum Überwachen von Dateidownloads von OneDrive definieren, Dateiaktualisierungen blockieren oder Downloads oder Uploads von Schadsoftwaredateien blockieren.
Stellen Sie in Fällen wie diesen sicher, dass Dateien, die größer als 50 MB sind, mithilfe der Mandanteneinstellungen abgedeckt werden, um unabhängig von übereinstimmenden Richtlinien zu bestimmen, ob die Datei zulässig oder blockiert ist.
Wählen Sie in Microsoft Defender XDR Einstellungen>App-Steuerung für bedingten Zugriff>Standardverhalten aus, um Einstellungen für Dateien von über 50 MB zu verwalten.
Maximale Dateigröße für Sitzungsrichtlinien basierend auf der Inhaltsüberprüfung
Wenn eine Sitzungsrichtlinie zum Blockieren von Dateiuploads oder -downloads basierend auf der Inhaltsüberprüfung angewendet wird, wird die Überprüfung nur für Dateien durchgeführt, die kleiner als 30 MB sind und weniger als 1 Million Zeichen enthalten.
Sie können beispielsweise eine der folgenden Sitzungsrichtlinien definieren:
- Hochladen von Dateien blockieren, die Sozialversicherungsnummern enthalten
- Schützen des Downloads von Dateien, die geschützte Gesundheitsinformationen enthalten
- Blockieren des Downloads von Dateien mit einer Vertraulichkeitsbezeichnung von „sehr vertraulich“
In solchen Fällen werden Dateien mit 30 MB oder mehr als 1 Millionen Zeichen nicht gescannt. Diese Dateien werden gemäß der Richtlinieneinstellung Ausgewählte Aktion immer anwenden, auch wenn die Daten nicht gescannt werden können behandelt.
In der folgenden Tabelle sind weitere Beispiele für Dateien aufgeführt, die nicht gescannt werden:
| Dateibeschreibung | Gescannt |
|---|---|
| Eine TXT-Datei, 1 MB groß und 1 Million Zeichen | Ja |
| Eine TXT-Datei, 2 MB groß und 2 Millionen Zeichen | No |
| Eine Word-Datei, die aus Bildern und Text mit einer Größe von 4 MB und 400.000 Zeichen besteht | Ja |
| Eine Word-Datei, die aus Bildern und Text mit einer Größe von 4 MB und 2 Millionen Zeichen besteht | No |
| Eine Word-Datei, die aus Bildern und Text mit einer Größe von 4 MB und 400.000 Zeichen besteht | No |
Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind
Für Mandanten, die die gemeinsame Dokumenterstellung für mit Vertraulichkeitsbezeichnungen verschlüsselte Dateien aktivieren: Im Falle einer mit Vertraulichkeitsbezeichnungen verschlüsselten Datei wird eine auf Bezeichnungsfiltern oder Dateiinhalten basierende Sitzungsrichtlinie zum Blockieren von Dateiuploads\Downloads in Abhängigkeit von den Richtlinieneinstellungen für Immer die ausgewählte Aktion anwenden, auch wenn Daten nicht überprüft werden können, ausgeführt.
Angenommen, eine Sitzungsrichtlinie ist so konfiguriert, dass das Herunterladen von Dateien mit Kreditkartennummern verhindert und auf Ausgewählte Aktion immer anwenden (auch wenn keine Datenüberprüfung möglich ist) festgelegt ist. Jede Datei mit einer verschlüsselten Vertraulichkeitsbezeichnung wird unabhängig von ihrem Inhalt am Herunterladen gehindert.
Externe B2B-Benutzer in Teams
Sitzungsrichtlinien schützen keine externen Business-to-Business-(B2B-)Zusammenarbeitsbenutzer in Microsoft Teams-Anwendungen.
Einschränkungen für Sitzungen, die vom Reverseproxy bereitgestellt werden
Die folgenden Einschränkungen gelten nur für Sitzungen, die vom Reverseproxy bereitgestellt werden. Benutzer von Microsoft Edge können vom browserinternen Schutz profitieren, anstatt den Reverseproxy zu verwenden, und sind daher nicht von diesen Einschränkungen betroffen.
Einschränkungen des integrierten App- und Browser-Plug-Ins
Die Anwendung zur Steuerung des bedingten Zugriffs von Apps in Defender for Cloud Apps modifiziert den zugrunde liegenden Anwendungscode. Derzeit werden keine integrierten Apps oder Browsererweiterungen unterstützt.
Als Administrator können Sie das Standardsystemverhalten für den Fall definieren, dass eine Richtlinie nicht erzwungen werden kann. Sie können entweder den Zugriff zulassen oder ihn vollständig blockieren.
Einschränkungen bei Kontextverlusten
In den folgenden Anwendungen sind Szenarien aufgetreten, in denen das Browsen zu einem Link zu einem Verlust des vollständigen Pfads des Links führen kann. In der Regel landet der Benutzer auf der Startseite der App.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Workplace von Meta
- ServiceNow
- Workday
Einschränkungen beim Hochladen von Dateien
Wenn eine Sitzungsrichtlinie zum Blockieren oder Überwachen des Uploads vertraulicher Dateien angewendet wird, wird in den folgenden Szenarien beim Versuch des Benutzers, Dateien oder Ordner per Drag-und-Drop hochzuladen, die gesamte Liste der Dateien und Ordner blockiert:
- ein Ordner, der mindestens eine Datei und mindestens einen Unterordner enthält
- ein Ordner, der mehrere Unterordner enthält
- eine Auswahl von mindestens einer Datei und mindestens einem Ordner
- eine Auswahl mehrerer Ordner
Die folgende Tabelle enthält Beispielergebnisse, wenn die Richtlinie Upload von Dateien mit personenbezogenen Daten in OneDrive blockieren definiert ist:
| Szenario | Ergebnis |
|---|---|
| Ein Benutzer versucht, eine Auswahl von 200 nicht vertraulichen Dateien per Drag-and-Drop hochzuladen. | Dateien werden blockiert. |
| Ein Benutzer versucht, eine Auswahl von 200 nicht vertraulichen Dateien mithilfe des Dialogfelds „Dateiupload“ hochzuladen. Einige sind vertraulich, und einige andere sind es nicht. | Nicht vertrauliche Dateien werden hochgeladen. Vertrauliche Dateien werden blockiert. |
| Ein Benutzer versucht, eine Auswahl von 200 nicht vertraulichen Dateien per Drag-and-Drop hochzuladen. Einige sind vertraulich, und einige andere sind es nicht. | Der vollständige Satz von Dateien wird blockiert. |