Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden bekannte Einschränkungen für die Verwendung der App-Steuerung für bedingten Zugriff in Microsoft Defender for Cloud Apps beschrieben.
Wenden Sie sich an unser Supportteam, um mehr über Sicherheitsbeschränkungen zu erfahren.
Maximale Dateigröße für Sitzungsrichtlinien
Sie können Sitzungsrichtlinien auf Dateien anwenden, die eine maximale Größe von 50 MB haben. Diese maximale Dateigröße ist beispielsweise relevant, wenn Sie Richtlinien definieren, um Dateidownloads von OneDrive zu überwachen, Dateiupdates zu blockieren oder Downloads oder Uploads von Schadsoftwaredateien zu blockieren.
Stellen Sie in solchen Fällen sicher, dass Sie Dateien abdecken, die größer als 50 MB sind, indem Sie die Mandanteneinstellungen verwenden, um zu bestimmen, ob die Datei zulässig oder blockiert ist, unabhängig von übereinstimmenden Richtlinien.
Wählen Sie Microsoft Defender XDR Einstellungen>Bedingter Zugriff App-Steuerung>Standardverhalten aus, um Einstellungen für Dateien zu verwalten, die größer als 50 MB sind.
Wenn die Endbenutzersitzung geschützt ist UND die Richtlinie auf "Immer die ausgewählte Aktion anwenden, auch wenn die Daten nicht gescannt werden können" festgelegt ist, wird mit dem Microsoft Edge-Browserschutz jede Datei blockiert, die größer als 50 MB ist.
Maximale Dateigröße für Sitzungsrichtlinien basierend auf der Inhaltsuntersuchung
Wenn Sie eine Sitzungsrichtlinie anwenden, um Dateiuploads oder -downloads basierend auf der Inhaltsuntersuchung zu blockieren, wird die Überprüfung nur für Dateien durchgeführt, die kleiner als 30 MB sind und weniger als eine Million Zeichen enthalten.
Sie können beispielsweise eine der folgenden Sitzungsrichtlinien definieren:
- Hochladen von Dateien blockieren, die Sozialversicherungsnummern enthalten
- Schützen des Downloads von Dateien, die geschützte Integritätsinformationen enthalten
- Blockieren des Downloads von Dateien mit der Vertraulichkeitsbezeichnung "sehr vertraulich"
In solchen Fällen werden Dateien, die größer als 30 MB sind oder mehr als 1 Million Zeichen enthalten, nicht gescannt. Diese Dateien werden gemäß der Richtlinieneinstellung Ausgewählte Aktion immer anwenden behandelt, auch wenn die Daten nicht überprüft werden können .
Die folgende Tabelle enthält weitere Beispiele für Dateien, die überprüft werden und nicht überprüft werden:
| Dateibeschreibung | Gescannt |
|---|---|
| Eine TXT-Datei mit einer Größe von 1 MB und 1 Million Zeichen | Ja |
| Eine TXT-Datei mit einer Größe von 2 MB und 2 Millionen Zeichen | Nein |
| Eine Word Datei, die aus Bildern und Text, einer Größe von 4 MB und 400.000 Zeichen besteht | Ja |
| Eine Word Datei, die aus Bildern und Text, einer Größe von 4 MB und 2 Millionen Zeichen besteht | Nein |
| Eine Word Datei, die aus Bildern und Text, einer Größe von 40 MB und 400.000 Zeichen besteht | Nein |
Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind
Für Mandanten, die die gemeinsame Dokumenterstellung für Dateien ermöglichen, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind, funktioniert eine Sitzungsrichtlinie zum Blockieren des Hochladens/Herunterladens von Dateien, die auf Bezeichnungsfiltern oder Dateiinhalten basiert, basierend auf der Richtlinieneinstellung Die ausgewählte Aktion immer anwenden, auch wenn Daten nicht überprüft werden können .
Angenommen, eine Sitzungsrichtlinie ist konfiguriert, um das Herunterladen von Dateien zu verhindern, die Guthaben Karte Zahlen enthalten, und ist auf Die ausgewählte Aktion immer anwenden festgelegt, auch wenn die Daten nicht gescannt werden können. Das Herunterladen von Dateien mit einer verschlüsselten Vertraulichkeitsbezeichnung ist unabhängig von ihrem Inhalt blockiert.
Externe B2B-Benutzer in Teams
Sitzungsrichtlinien schützen keine externen B2B-Benutzer (Business-to-Business) für die Zusammenarbeit in Microsoft Teams-Anwendungen.
Sitzungssteuerelemente mit nicht interaktiven Token
Einige Anwendungen verwenden nicht interaktive Zugriffstoken, um die nahtlose Umleitung zwischen Apps innerhalb derselben Suite oder desselben Bereichs zu ermöglichen. Wenn eine Anwendung in die App-Steuerung für bedingten Zugriff integriert ist und die andere nicht, werden Sitzungssteuerelemente möglicherweise nicht wie erwartet erzwungen. Wenn der Teams-Client beispielsweise ein nicht interaktives Token für SharePoint abruft, kann er eine aktive Sitzung in SPO initiieren, ohne den Benutzer zur erneuten Authentifizierung aufzufordern. Daher kann der Sitzungssteuerungsmechanismus keine Richtlinien für diese Sitzungen abfangen oder erzwingen. Um eine konsistente Durchsetzung sicherzustellen, empfehlen wir, alle relevanten Anwendungen, z. B. Teams, zusammen mit SPO zu integrieren.
IPv6-Einschränkungen
Zugriffs- und Sitzungsrichtlinien unterstützen nur IPv4. Wenn eine Anforderung über IPv6 erfolgt, werden IP-basierte Richtlinienregeln nicht angewendet. Diese Einschränkung gilt, wenn sowohl Reverseproxy als auch Microsoft Edge-In-Browser-Schutz verwendet werden.
Einschränkungen für Sitzungen, die der Reverseproxy bedient
Die folgenden Einschränkungen gelten nur für Sitzungen, die vom Reverseproxy bedient werden. Benutzer von Microsoft Edge können vom In-Browser-Schutz profitieren, anstatt den Reverseproxy zu verwenden, sodass diese Einschränkungen sie nicht beeinträchtigen.
Einschränkungen für integrierte Apps und Browser-Plug-Ins
Die App-Steuerung für bedingten Zugriff in Defender for Cloud Apps ändert den zugrunde liegenden Anwendungscode. Integrierte Apps oder Browsererweiterungen werden derzeit nicht unterstützt.
Als Administrator möchten Sie möglicherweise das Standardsystemverhalten für den Fall definieren, dass eine Richtlinie nicht erzwungen werden kann. Sie können den Zugriff entweder zulassen oder vollständig blockieren.
Einschränkungen bei Kontextverlusten
In den folgenden Anwendungen sind wir auf Szenarien gestoßen, in denen das Navigieren zu einem Link dazu führen kann, dass der vollständige Pfad des Links verloren geht. In der Regel gelangt der Benutzer zur Startseite der App.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft PowerApps
- Workplace from Meta
- ServiceNow
- Workday
- Box
- Smartsheet
Einschränkungen beim Hochladen von Dateien
Wenn Sie eine Sitzungsrichtlinie anwenden, um den Upload vertraulicher Dateien zu blockieren oder zu überwachen, blockieren die Versuche des Benutzers, Dateien oder Ordner mithilfe eines Drag-and-Drop-Vorgangs hochzuladen, die vollständige Liste der Dateien und Ordner in den folgenden Szenarien:
- Ein Ordner, der mindestens eine Datei und mindestens einen Unterordner enthält.
- Ein Ordner, der mehrere Unterordner enthält
- Eine Auswahl von mindestens einer Datei und mindestens einem Ordner
- Auswahl mehrerer Ordner
Die folgende Tabelle enthält Beispielergebnisse, wenn Sie die Richtlinie Upload von Dateien blockieren definieren, die personenbezogene Daten auf OneDrive enthalten :
| Szenario | Result |
|---|---|
| Ein Benutzer versucht, eine Auswahl von 200 nicht sensiblen Dateien mithilfe eines Drag-and-Drop-Vorgangs hochzuladen. | Dateien werden blockiert. |
| Ein Benutzer versucht, eine Auswahl von 200 Dateien mithilfe des Dialogfelds zum Hochladen von Dateien hochzuladen. Einige sind vertraulich, andere nicht. | Nicht sensible Dateien werden hochgeladen. Vertrauliche Dateien werden blockiert. |
| Ein Benutzer versucht, eine Auswahl von 200 Dateien mithilfe eines Drag-and-Drop-Vorgangs hochzuladen. Einige sind vertraulich, andere nicht. | Der vollständige Satz von Dateien ist blockiert. |
Einschränkungen für Sitzungen, die mit Microsoft Edge-In-Browser-Schutz bereitgestellt werden
Die folgenden Einschränkungen gelten nur für Sitzungen, die mit Microsoft Edge-In-Browser-Schutz bereitgestellt werden.
Sichere Microsoft Edge-Sitzungssteuerelemente können nicht mit Google Workspace in Microsoft Edge-Enterprise-Browsern verwendet werden
Google Workspace wird nicht mit browserinternem Schutz im Enterprise Microsoft Edge-Browser unterstützt. Daher werden Steuerelemente für sichere Microsoft Edge-Sitzungen in Google Workspaces nicht unterstützt. In Google Workspaces werden DLP-Dateiscans in Echtzeit nicht unterstützt, die Fallbackauthentifizierung von Suffixen wird verwendet, und Das Hochladen, Herunterladen, Ausschneiden und Kopieren von Dateien wird nicht unterstützt.
Deep Link geht verloren, wenn der Benutzer zu Microsoft Edge wechselt, indem er auf "Weiter in Microsoft Edge" klickt.
Ein Benutzer, der eine Sitzung in einem anderen Browser als Microsoft Edge startet, wird aufgefordert, zu Microsoft Edge zu wechseln, indem er auf die Schaltfläche "In Microsoft Edge fortfahren" klickt.
Wenn die URL auf eine Ressource innerhalb der geschützten Anwendung verweist, wird der Benutzer zur Startseite der Anwendung in Microsoft Edge weitergeleitet.
Deep Link geht verloren, wenn der Benutzer zum Microsoft Edge-Arbeitsprofil wechselt.
Ein Benutzer, der eine Sitzung in Microsoft Edge mit einem anderen Profil als dem Arbeitsprofil startet, wird aufgefordert, zu ihrem Arbeitsprofil zu wechseln, indem er auf die Schaltfläche "Zum Arbeitsprofil wechseln" klickt.
Wenn die URL auf eine Ressource innerhalb der geschützten Anwendung verweist, wird der Benutzer zur Startseite der Anwendung in Microsoft Edge weitergeleitet.
Erzwingung veralteter Sitzungsrichtlinien mit Microsoft Edge
Wenn eine Sitzungsrichtlinie mithilfe des In-Browser-Schutzes von Microsoft Edge erzwungen wird und der Benutzer später aus der entsprechenden Richtlinie für bedingten Zugriff (Ca) entfernt wird, kann die ursprüngliche Sitzungserzwingung weiterhin bestehen bleiben.
Beispielszenario:
Einem Benutzer wurde ursprünglich eine Zertifizierungsstellenrichtlinie für Salesforce zusammen mit einer Defender for Cloud Apps Sitzungsrichtlinie zum Blockieren von Dateidownloads zugewiesen. Daher wurden Downloads blockiert, wenn der Benutzer auf Salesforce in Microsoft Edge zugegriffen hat.
Obwohl der Administrator die Zertifizierungsstellenrichtlinie später entfernt hat, tritt der Downloadblock in Microsoft Edge aufgrund zwischengespeicherter Richtliniendaten weiterhin auf.
Entschärfungsoptionen:
Option 1: Automatische Bereinigung
- Fügen Sie den Benutzer/die App wieder dem Bereich der Zertifizierungsstellenrichtlinie hinzu.
- Entfernen Sie die entsprechende Defender for Cloud Apps Sitzungsrichtlinie.
- Warten Sie, bis Benutzer mithilfe von Microsoft Edge auf die Anwendung zugreifen. Dadurch wird die Richtlinienentfernung automatisch ausgelöst.
- Entfernen Sie den Benutzer/die App aus dem Bereich der Zertifizierungsstellenrichtlinie.
Option 2: Löschen der zwischengespeicherten Richtliniendatei (manuelle Bereinigung)
- Wechseln Sie zu: C:\Users<username>\AppData\Local\Microsoft\Edge\
- Datei löschen: mda_store.1.txt
Option 3: Entfernen des Arbeitsprofils in Microsoft Edge (manuelle Bereinigung)
- Öffnen Sie Microsoft Edge.
- Navigieren Sie zu Profileinstellungen.
- Löschen Sie das Arbeitsprofil, das der veralteten Sitzungsrichtlinie zugeordnet ist.
Diese Schritte erzwingen eine Richtlinienaktualisierung und beheben Erzwingungsprobleme im Zusammenhang mit veralteten Sitzungsrichtlinien.