Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive le limitazioni note per l'uso del controllo app per l'accesso condizionale in Microsoft Defender for Cloud Apps.
Per altre informazioni sulle limitazioni di sicurezza, contattare il team di supporto.
Dimensioni massime del file per i criteri di sessione
È possibile applicare criteri di sessione ai file con dimensioni massime di 50 MB. Ad esempio, questa dimensione massima del file è rilevante quando si definiscono criteri per monitorare i download di file da OneDrive, bloccare gli aggiornamenti dei file o bloccare i download o il caricamento di file malware.
In casi come questi, assicurarsi di coprire i file di dimensioni superiori a 50 MB usando le impostazioni del tenant per determinare se il file è consentito o bloccato, indipendentemente dai criteri corrispondenti.
In Microsoft Defender XDR selezionare Impostazioni>Accesso condizionale Controllo app Comportamento>predefinito per gestire le impostazioni per i file di dimensioni superiori a 50 MB.
Con la protezione edge nel browser, nel caso in cui la sessione dell'utente finale sia protetta E il criterio è impostato su "Applica sempre l'azione selezionata anche se i dati non possono essere analizzati", qualsiasi file di dimensioni superiori a 50 MB viene bloccato.
Dimensioni massime dei file per i criteri di sessione in base all'ispezione del contenuto
Quando si applicano criteri di sessione per bloccare i caricamenti o i download dei file in base all'ispezione del contenuto, l'ispezione viene eseguita solo su file di dimensioni inferiori a 30 MB e con meno di 1 milione di caratteri.
Ad esempio, è possibile definire uno dei criteri di sessione seguenti:
- Bloccare il caricamento di file che contengono numeri di previdenza sociale
- Proteggere il download di file che contengono informazioni sull'integrità protette
- Bloccare il download di file con etichetta di riservatezza "molto sensibile"
In questi casi, i file di dimensioni superiori a 30 MB o con più di 1 milione di caratteri non vengono analizzati. Questi file vengono trattati in base all'impostazione Applica sempre l'azione selezionata anche se i dati non possono essere analizzati .
Nella tabella seguente sono elencati altri esempi di file che sono e non vengono analizzati:
| Descrizione file | Analizzato |
|---|---|
| Un file TXT, dimensioni di 1 MB e 1 milione di caratteri | Sì |
| Un file TXT, dimensioni di 2 MB e 2 milioni di caratteri | No |
| Un file Word composto da immagini e testo, dimensioni di 4 MB e 400.000 caratteri | Sì |
| Un file Word composto da immagini e testo, dimensioni di 4 MB e 2 milioni di caratteri | No |
| File Word composto da immagini e testo, dimensioni di 40 MB e 400.000 caratteri | No |
File crittografati con etichette di riservatezza
Per i tenant che consentono la creazione condivisa per i file crittografati con etichette di riservatezza, i criteri di sessione per bloccare il caricamento/download di file che si basano su filtri di etichette o contenuto di file funzioneranno in base all'azione Applica sempre l'azione selezionata anche se i dati non possono essere analizzati .
Si supponga, ad esempio, che un criterio di sessione sia configurato per impedire il download di file che contengono numeri di carta di credito e che sia impostato su Applica sempre l'azione selezionata anche se i dati non possono essere analizzati. Il download di qualsiasi file con un'etichetta di riservatezza crittografata è bloccato, indipendentemente dal contenuto.
Utenti B2B esterni in Teams
I criteri di sessione non proteggono gli utenti esterni di collaborazione business-to-business (B2B) nelle applicazioni di Microsoft Teams.
Controlli sessione con token non interattivi
Alcune applicazioni usano token di accesso non interattivi per facilitare il reindirizzamento facile tra le app all'interno della stessa suite o area di autenticazione. Quando viene eseguito l'onboarding di un'applicazione nel controllo app per l'accesso condizionale e l'altra no, i controlli sessione potrebbero non essere applicati come previsto. Ad esempio, se il client teams recupera un token non interattivo per SharePoint Online (SPO), può avviare una sessione attiva in SPO senza richiedere all'utente di eseguire nuovamente l'autenticazione. Di conseguenza, il meccanismo di controllo della sessione non può intercettare o applicare criteri su queste sessioni. Per garantire un'applicazione coerente, è consigliabile eseguire l'onboarding di tutte le applicazioni pertinenti, ad esempio Teams, insieme a SPO.
Limitazioni IPv6
I criteri di accesso e sessione supportano solo IPv4. Se viene effettuata una richiesta tramite IPv6, le regole dei criteri basate su IP non vengono applicate. Questa limitazione si applica quando si usa sia il proxy inverso che la protezione edge nel browser.
Limitazioni per le sessioni a cui serve il proxy inverso
Le limitazioni seguenti si applicano solo alle sessioni a cui serve il proxy inverso. Gli utenti di Microsoft Edge possono trarre vantaggio dalla protezione nel browser anziché usare il proxy inverso, in modo che queste limitazioni non li influiscano.
Limitazioni predefinite del plug-in di app e browser
Il controllo app di accesso condizionale in Defender for Cloud Apps modifica il codice dell'applicazione sottostante. Attualmente non supporta le app predefinite o le estensioni del browser.
In qualità di amministratore, è possibile definire il comportamento di sistema predefinito per quando non è possibile applicare un criterio. È possibile scegliere di consentire l'accesso o bloccarlo completamente.
Limitazioni della perdita di contesto
Nelle applicazioni seguenti si sono verificati scenari in cui l'esplorazione di un collegamento potrebbe comportare la perdita del percorso completo del collegamento. In genere, l'utente accede alla home page dell'app.
- Arcgis
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Workplace da Meta
- ServiceNow
- Workday
- Box
- Smartsheet
Limitazioni per il caricamento di file
Se si applicano criteri di sessione per bloccare o monitorare il caricamento di file sensibili, i tentativi dell'utente di caricare file o cartelle usando un'operazione di trascinamento della selezione bloccano l'elenco completo di file e cartelle negli scenari seguenti:
- Cartella che contiene almeno un file e almeno una sottocartella
- Cartella che contiene più sottocartelle
- Selezione di almeno un file e almeno una cartella
- Selezione di più cartelle
La tabella seguente elenca i risultati di esempio quando si definisce il criterio Blocca caricamento di file che contengono dati personali in OneDrive :
| Scenario | Risultato |
|---|---|
| Un utente tenta di caricare una selezione di 200 file senza distinzione usando un'operazione di trascinamento della selezione. | I file sono bloccati. |
| Un utente tenta di caricare una selezione di 200 file usando la finestra di dialogo di caricamento dei file. Alcuni sono sensibili e altri no. | I file senza distinzione vengono caricati. I file sensibili sono bloccati. |
| Un utente prova a caricare una selezione di 200 file usando un'operazione di trascinamento della selezione. Alcuni sono sensibili e altri no. | Il set completo di file è bloccato. |
Limitazioni per le sessioni servite con la protezione edge nel browser
Le limitazioni seguenti si applicano solo alle sessioni servite con la protezione edge nel browser.
Il collegamento diretto viene perso quando l'utente passa a Edge facendo clic su "Continua in Edge"
A un utente che avvia una sessione in un browser diverso da Edge viene richiesto di passare a Edge facendo clic sul pulsante "Continua in Edge".
Se l'URL punta a una risorsa all'interno dell'applicazione protetta, l'utente verrà indirizzato alla home page dell'applicazione in Edge.
Il collegamento diretto viene perso quando l'utente passa al profilo di lavoro Edge'
A un utente che avvia una sessione in Edge con un profilo diverso dal profilo di lavoro, viene richiesto di passare al profilo di lavoro facendo clic sul pulsante "Passa al profilo di lavoro".
Se l'URL punta a una risorsa all'interno dell'applicazione protetta, l'utente verrà indirizzato alla home page dell'applicazione in Edge.
Imposizione dei criteri di sessione obsoleta con Edge
Quando un criterio di sessione viene applicato usando la protezione edge nel browser e l'utente viene successivamente rimosso dai criteri di accesso condizionale (CA) corrispondenti, l'imposizione della sessione originale potrebbe comunque essere persistente.
Scenario di esempio:
A un utente è stato originariamente assegnato un criterio CA per Salesforce insieme a un criterio di sessione Defender for Cloud Apps per bloccare i download di file. Di conseguenza, i download sono stati bloccati quando l'utente ha eseguito l'accesso a Salesforce in Edge.
Anche se in seguito l'amministratore ha rimosso i criteri ca, l'utente continua a riscontrare il blocco di download in Edge a causa dei dati dei criteri memorizzati nella cache.
Opzioni di mitigazione:
Opzione 1: Pulizia automatica
- Aggiungere di nuovo l'utente/app nell'ambito dei criteri ca.
- Rimuovere i criteri di sessione Defender for Cloud Apps corrispondenti.
- Attendere l'accesso degli utenti all'applicazione tramite Edge. In questo modo verrà attivata automaticamente la rimozione dei criteri.
- Rimuovere l'utente/app dall'ambito dei criteri ca.
Opzione 2: Eliminare il file di criteri memorizzato nella cache (pulizia manuale)
- Passare a: C:\Users<username>\AppData\Local\Microsoft\Edge\
- Eliminare il file: mda_store.1.txt
Opzione 3: Rimuovere il profilo di lavoro in Edge (pulizia manuale)
- Aprire Edge.
- Passare a Impostazioni profilo.
- Eliminare il profilo di lavoro associato ai criteri di sessione obsoleti.
Questi passaggi forzano un aggiornamento dei criteri e risolvono i problemi di imposizione relativi a criteri di sessione obsoleti.