הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
מאמר זה מתאר מגבלות ידועות לעבודה עם בקרת יישום גישה מותנית יישומי ענן של Microsoft Defender.
לקבלת מידע נוסף על מגבלות אבטחה, פנה לצוות התמיכה שלנו.
גודל הקובץ המרבי עבור פריטי מדיניות הפעלה
באפשרותך להחיל מדיניות הפעלה על קבצים שגודלם המרבי הוא 50 MB. לדוגמה, גודל קובץ מרבי זה רלוונטי כאשר אתה הגדרת מדיניות לניטור הורדות קבצים מ- OneDrive, חסימת עדכוני קבצים או חסימת הורדות או העלאות של קבצי תוכנות זדוניות.
במקרים כאלה, הקפד לכסות קבצים שגודלם עולה על 50 MB על-ידי שימוש בהגדרות הדייר כדי לקבוע אם הקובץ מותר או חסום, ללא קשר למדיניות תואמת.
בתיבת Microsoft Defender XDR, בחר הגדרות>> בקרת יישום גישה מותנית אופן הפעולה המוגדר כברירת מחדל כדי לנהל הגדרות עבור קבצים שגודלם עולה על 50 MB.
עם הגנת Microsoft Edge בדפדפן, במקרה שהפעלת משתמש הקצה מוגנת והמדיניות מוגדרת ל'החל תמיד את הפעולה שנבחרה גם אם לא ניתן לסרוק נתונים', כל קובץ שגודלו עולה על 50 MB ייחסם.
גודל הקובץ המרבי עבור מדיניות הפעלה בהתבסס על בדיקת תוכן
בעת החלת מדיניות הפעלה כדי לחסום העלאות קבצים או הורדות בהתבסס על בדיקת תוכן, הבדיקה מתבצעת רק בקבצים קטנים מ- 30 MB ושכוללים פחות ממיליון תווים.
לדוגמה, באפשרותך להגדיר אחד ממדיניות ההפעלה הבאה:
- חסימת העלאה של קבצים המכילים מספרי תעודת זהות
- הגנה על הורדת קבצים המכילים מידע תקינות מוגן
- חסימת הורדה של קבצים בעלי תווית רגישות של "רגיש מאוד"
במקרים כאלה, קבצים שגודלם עולה על 30 MB או שכוללים יותר ממיליון תווים אינם נסרקים. קבצים אלה מטופלים בהתאם להגדרת המדיניות החל תמיד את הפעולה שנבחרה גם אם לא ניתן לסרוק את הנתונים.
הטבלה הבאה מפרטת דוגמאות נוספות לקבצים שנסרקו ולא נסרקו:
| תיאור קובץ | שנסרקו |
|---|---|
| קובץ TXT, גודל של 1 MB ומיליון תווים | כן |
| קובץ TXT, גודל של 2 MB ו- 2 מיליון תווים | לא |
| קובץ Word מורכב מתמונות וטקסט, גודל של 4 MB ו- 400 K תווים | כן |
| קובץ Word הכולל תמונות וטקסט, גודל של 4-MB ו- 2 מיליון תווים | לא |
| קובץ Word הכולל תמונות וטקסט, גודל של 40 MB ו- 400 K תווים | לא |
קבצים מוצפנים עם תוויות רגישות
עבור דיירים המאפשרים עריכה משותפת עבור קבצים שהוצפנו באמצעות תוויות רגישות, מדיניות הפעלה לחסימת העלאה/הורדה של קבצים המסתמכת על מסנני תוויות או תוכן קבצים תפעל בהתבסס על הגדרת המדיניות החל תמיד את הפעולה שנבחרה גם אם לא ניתן לסרוק נתונים.
לדוגמה, נניח שמדיניות הפעלה מוגדרת למנוע הורדת קבצים המכילים מספרי כרטיסי אשראי, והיא מוגדרת להחלה תמיד של הפעולה שנבחרה גם אם אין אפשרות לסרוק נתונים. כל קובץ עם תווית רגישות מוצפנת חסום להורדה, ללא קשר לתוכן שלו.
משתמשי B2B חיצוניים ב- Teams
מדיניות הפעלה אינה מגנה על משתמשי שיתוף פעולה חיצוניים עסקיים לעסק (B2B) ביישומי Microsoft Teams.
פקדי הפעלה עם אסימונים שאינם אינטראקטיביים
אפליקציות מסוימות משתמשות באסימוני גישה לא אינטראקטיביים כדי להקל על ניתוב מחדש חלק בין אפליקציות באותה חבילה או בתחום. כאשר יישום אחד מחובר לפקד יישום גישה מותנית והיישום האחר אינו רשום, ייתכן שפקדי ההפעלה לא ייאכפו כצפוי. לדוגמה, אם לקוח Teams מאחזר אסימון לא אינטראקטיבי עבור SharePoint, הוא יכול ליזום הפעלה פעילה ב- SPO מבלי לבקש מהמשתמש לבצע אימות מחדש. כתוצאה מכך, מנגנון בקרת ההפעלה אינו יכול ליירט או לאכוף פריטי מדיניות בהפעלות אלה. כדי להבטיח אכיפה עקבית, מומלץ לקלוט את כל היישומים הרלוונטיים, כגון Teams, לצד SPO.
מגבלות IPv6
מדיניות גישה והפעלה תומכת ב- IPv4 בלבד. אם בקשה חלה על IPv6, כללי מדיניות מבוססי IP אינם חלים. מגבלה זו חלה בעת שימוש הן ב- Proxy הפוך והן בהגנה על Microsoft Edge בדפדפן.
מגבלות עבור הפעלות שה- Proxy ההפוך משרת
המגבלות הבאות חלות רק על הפעלות שה- Proxy ההפוך משרת. משתמשי Microsoft Edge יכולים ליהנות מההגנה בתוך הדפדפן במקום להשתמש ב- Proxy ההפוך, כך שמגבלות אלה לא ישפיעו עליהם.
מגבלות מוכללות של אפליקציות ותוסף דפדפן
בקרת יישום גישה מותנית ב- יישומי ענן של Defender משנה את קוד היישום המשמשת כפתרון. הוא אינו תומך כעת באפליקציות או בהרחבות דפדפן מוכללות.
כמנהל מערכת, ייתכן שתרצה להגדיר אופן פעולה של מערכת המוגדר כברירת מחדל כאשר לא ניתן לאכוף מדיניות. באפשרותך לבחור לאפשר גישה או לחסום אותה לחלוטין.
מגבלות אובדן הקשר
ביישומים הבאים, נתקלנו בתרחישים שבהם גלישה לקישור עלולה לגרום לאובדן הנתיב המלא של הקישור. בדרך כלל, המשתמש עובר לדף הבית של האפליקציה.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Workplace from Meta
- ServiceNow
- יום עבודה
- תיבת
- גליון חכם
מגבלות העלאת קבצים
אם תחיל מדיניות הפעלה כדי לחסום או לנטר את ההעלאה של קבצים רגישים, המשתמש ינסה להעלות קבצים או תיקיות באמצעות פעולת גרירה ושחרור לחסום את הרשימה המלאה של קבצים ותיקיות בתרחישים הבאים:
- תיקיה המכילה קובץ אחד לפחות ותיקיה משנה אחת לפחות
- תיקיה המכילה תיקיות משנה מרובות
- מבחר של קובץ אחד לפחות ותיקיה אחת לפחות
- מבחר של תיקיות מרובות
הטבלה הבאה מפרטת תוצאות לדוגמה בעת הגדרת ההעלאה של חסימת קבצים המכילים נתונים אישיים למדיניות OneDrive :
| תרחיש | Result |
|---|---|
| משתמש מנסה להעלות מבחר של 200 קבצים שטויות באמצעות פעולת גרירה ושחרור. | הקבצים חסומים. |
| משתמש מנסה להעלות מבחר של 200 קבצים באמצעות תיבת הדו-שיח להעלאת קבצים. חלקם רגישים, חלקם אינם רגישים. | קבצים שטויות מועלים. קבצים רגישים חסומים. |
| משתמש מנסה להעלות מבחר של 200 קבצים באמצעות פעולת גרירה ושחרור. חלקם רגישים, חלקם אינם רגישים. | קבוצת הקבצים המלאה חסומה. |
מגבלות עבור הפעלות המוגשות עם הגנת Microsoft Edge בדפדפן
המגבלות הבאות חלות רק על הפעלות שמוגנות עם הגנת Microsoft Edge בדפדפן.
לא ניתן להשתמש בפקדי הפעלה מאובטחים של Microsoft Edge עם Google Workspace בדפדפני Enterprise Microsoft Edge
Google Workspace אינו נתמך עם הגנה בתוך הדפדפן בדפדפן Enterprise Microsoft Edge. כתוצאה מכך, פקדי הפעלה מאובטחים של Microsoft Edge בסביבות עבודה של Google אינם נתמכים. ב- Google Workspaces, סריקות קבצי DLP בזמן אמת אינן נתמכות, אימות ההחזרה של סיומות נמצא בשימוש והעלאת קבצים, הורדה, גזירה והעתקה אינם נתמכים.
קישור עמוק אובד כאשר המשתמש עובר ל- Microsoft Edge על-ידי לחיצה על 'המשך ב- Microsoft Edge'
משתמש שמתחילה הפעלה בדפדפן שאינו Microsoft Edge, מתבקש לעבור ל- Microsoft Edge על-ידי לחיצה על לחצן 'המשך ב- Microsoft Edge'.
אם כתובת ה- URL מצביעה על משאב בתוך היישום המאובטח, המשתמש מפנה לדף הבית של היישום ב- Microsoft Edge.
קישור עמוק אובד כאשר המשתמש עובר לפרופיל העבודה של Microsoft Edge
משתמש שמתחילה הפעלה ב- Microsoft Edge עם פרופיל שאינו פרופיל העבודה שלו, מתבקש לעבור לפרופיל העבודה שלו על-ידי לחיצה על לחצן 'עבור לפרופיל העבודה'.
אם כתובת ה- URL מצביעה על משאב בתוך היישום המאובטח, המשתמש מפנה לדף הבית של היישום ב- Microsoft Edge.
אכיפה של מדיניות הפעלה לא מעודכנת עם Microsoft Edge
כאשר מדיניות הפעלה נאכפת באמצעות הגנה בתוך הדפדפן של Microsoft Edge, והמשתמש מוסר מאוחר יותר ממדיניות הגישה המותנה (CA) המתאימה, אכיפת ההפעלה המקורית עשויה עדיין להתמיד.
תרחיש לדוגמה:
למשתמש הוקצתה במקור מדיניות רשות אישורים (CA) עבור Salesforce יחד עם מדיניות הפעלה של יישומי ענן של Defender כדי לחסום הורדות קבצים. כתוצאה מכך, הורדות נחסמו כאשר המשתמש ניגש ל- Salesforce ב- Microsoft Edge.
למרות שמנהל המערכת הסיר מאוחר יותר את מדיניות רשות אישורים, המשתמש עדיין חווה את בלוק ההורדה ב- Microsoft Edge עקב נתוני מדיניות המאוחסנים במטמון.
אפשרויות צמצום סיכונים:
אפשרות 1: ניקוי אוטומטי
- הוסף את המשתמש/היישום בחזרה לטווח של מדיניות רשות אישורים.
- הסר את מדיניות ההפעלה יישומי ענן של Defender המתאימה.
- המתן עד שהמשתמשים יוכלו לגשת ליישום באמצעות Microsoft Edge. פעולה זו מפעילה באופן אוטומטי את הסרת המדיניות.
- הסר את המשתמש/היישום מההיקף של מדיניות רשות אישורים.
אפשרות 2: מחיקת קובץ המדיניות המאוחסן במטמון (ניקוי ידני)
- עבור אל: C:\Users<username>\AppData\Local\Microsoft\Edge\
- מחק את הקובץ: mda_store.1.txt
אפשרות 3: הסר את פרופיל העבודה ב- Microsoft Edge (ניקוי ידני)
- פתח את Microsoft Edge.
- נווט אל הגדרות פרופיל.
- מחק את פרופיל העבודה המשויך למדיניות ההפעלה המיושנת.
שלבים אלה כופה על רענון מדיניות ופותר בעיות אכיפה הקשורות למדיניות הפעלה לא מעודכנת.