Bekannte Einschränkungen für die App-Steuerung für bedingten Zugriff
In diesem Artikel werden bekannte Einschränkungen für die Arbeit mit der App-Steuerung für bedingten Zugriff von Microsoft Defender for Cloud Apps beschrieben.
Um mehr über Sicherheitseinschränkungen zu erfahren, wenden Sie sich an unser Support-Team.
Maximale Dateigröße für Sitzungsrichtlinien
Sitzungsrichtlinien können auf Dateien mit einer maximalen Größe von 50 MB angewendet werden. Diese maximale Dateigröße ist beispielsweise relevant, wenn Sie Richtlinien zum Überwachen von Dateidownloads von OneDrive definieren, Dateiaktualisierungen blockieren oder Downloads oder Uploads von Schadsoftwaredateien blockieren.
Stellen Sie in Fällen wie diesen sicher, dass Dateien, die größer als 50 MB sind, mithilfe der Mandanteneinstellungen abgedeckt werden, um unabhängig von übereinstimmenden Richtlinien zu bestimmen, ob die Datei zulässig oder blockiert ist.
Wählen Sie in Microsoft Defender XDR Einstellungen > App-Steuerung für bedingten Zugriff > Standardverhalten aus, um Einstellungen für Dateien von über 50 MB zu verwalten.
Maximale Dateigröße für Sitzungsrichtlinien basierend auf der Inhaltsüberprüfung im Informationsschutz
Wenn eine Sitzungsrichtlinie zum Blockieren von Dateiuploads oder -downloads basierend auf der Inhaltsüberprüfung des Informationsschutzes angewendet wird, wird die Überprüfung nur für Dateien durchgeführt, die kleiner als 30 MB sind und weniger als 1 Million Zeichen enthalten.
Sie können beispielsweise eine der folgenden Sitzungsrichtlinien definieren:
- Dateiupload für Dateien blockieren, die SSN (Social Security Number) enthalten
- Schützen des Dateidownloads für Dateien mit PHI (Geschützte Integritätsinformationen)
- Blockieren des Dateidownloads mit Sensitivitätskennzeichnung „sehr vertraulich“
In solchen Fällen werden Dateien mit mehr als 30 MB oder mehr als 1 Millionen Zeichen nicht gescannt. Diese Dateien werden gemäß der Richtlinieneinstellung Ausgewählte Aktion immer anwenden, auch wenn die Daten nicht gescannt werden können behandelt.
In der folgenden Tabelle sind weitere Beispiele für Dateien aufgeführt, die nicht gescannt werden:
| Dateibeschreibung | Gescannt/Nicht gescannt |
|---|---|
| Eine TXT-Datei, 1 MB groß und 1 Million Zeichen | Gescannt |
| Eine TXT-Datei, 2 MB groß und 2 Millionen Zeichen | Nicht gescannt |
| Eine Word-Datei, die aus Bildern und Text mit einer Größe von 4 MB und 400.000 Zeichen besteht | Gescannt |
| Eine Word-Datei, die aus Bildern und Text mit einer Größe von 4 MB und 2 Millionen Zeichen besteht | Nicht gescannt |
| Eine Word-Datei, die aus Bildern und Text mit einer Größe von 40 MB und 400.000 Zeichen besteht | Nicht gescannt |
Einschränkungen für Sitzungen, die vom Reverseproxy bereitgestellt werden
In diesem Abschnitt werden Einschränkungen aufgeführt, die nur für Sitzungen gelten, die vom Reverseproxy bereitgestellt werden. Benutzer von Microsoft Edge können vom browserinternen Schutz profitieren, anstatt den Reverseproxy zu verwenden, und sind daher nicht von diesen Einschränkungen betroffen.
Einschränkungen des integrierten App- und Browser-Plug-Ins
Die App-Steuerung für bedingten Zugriff von Defender for Cloud Apps ändert den zugrunde liegenden Anwendungscode und unterstützt daher derzeit keine integrierten Apps oder Browsererweiterungen.
Als Administrator können Sie das Standardsystemverhalten für den Fall definieren, dass eine Richtlinie nicht erzwungen werden kann, indem Sie den Zugriff entweder zulassen oder vollständig blockieren.
Einschränkungen bei Kontextverlusten
In den folgenden Anwendungen sind wir auf Szenarien gestoßen, in denen das Navigieren zu einem Link dazu führen kann, dass der vollständige Pfad des Links verloren geht und der Benutzer in der Regel auf der Startseite der App landet:
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Workplace von Meta
- ServiceNow
Einschränkungen beim Hochladen von Dateien
Wenn eine Sitzungsrichtlinie zum Blockieren oder Überwachen des Uploads vertraulicher Dateien angewendet wird, wird in den folgenden Szenarien beim Versuch des Benutzers, Dateien oder Ordner per Drag & Drop hochzuladen, die gesamte Liste der Dateien und Ordner blockiert:
- ein Ordner, der mindestens eine Datei und mindestens einen Unterordner enthält
- ein Ordner, der mehrere Unterordner enthält
- eine Auswahl von mindestens einer Datei und mindestens einem Ordner
- eine Auswahl mehrerer Ordner
Die folgende Tabelle enthält Beispielergebnisse, wenn die Richtlinie Upload von Dateien mit PII in OneDrive blockieren definiert ist:
| Szenario | Ergebnis |
|---|---|
| Ein Benutzer versucht, eine Auswahl von 200 nicht vertraulichen Dateien per Drag & Drop hochzuladen. | Dateien werden blockiert |
| Ein Benutzer versucht, eine Auswahl von 200 Dateien hochzuladen, von denen einige vertraulich sind und andere nicht, indem er das Dialogfeld zum Hochladen von Dateien verwendet. | Nicht vertrauliche Dateien werden hochgeladen Vertrauliche Dateien werden blockiert |
| Ein Benutzer versucht, eine Auswahl von 200 Dateien per Drag & Drop hochzuladen, von denen einige vertraulich sind und andere nicht. | Der vollständige Satz von Dateien wird blockiert. |