Bekende beperkingen in app-beheer voor voorwaardelijke toegang
In dit artikel worden bekende beperkingen beschreven voor het werken met app-beheer voor voorwaardelijke toegang in Microsoft Defender voor Cloud Apps.
Neem contact op met ons ondersteuningsteam voor meer informatie over beveiligingsbeperkingen.
Maximale bestandsgrootte voor sessiebeleid
U kunt sessiebeleid toepassen op bestanden met een maximale grootte van 50 MB. Deze maximale bestandsgrootte is bijvoorbeeld relevant wanneer u beleid definieert voor het controleren van bestandsdownloads vanuit OneDrive, het blokkeren van bestandsupdates of het blokkeren van downloads of uploads van malwarebestanden.
In dergelijke gevallen moet u ervoor zorgen dat u bestanden behandelt die groter zijn dan 50 MB met behulp van de tenantinstellingen om te bepalen of het bestand is toegestaan of geblokkeerd, ongeacht het overeenkomende beleid.
Selecteer in Microsoft Defender XDR het>standaardgedrag voor het beheren van instellingen voor app-beheer>voor voorwaardelijke toegang om instellingen te beheren voor bestanden die groter zijn dan 50 MB.
Maximale bestandsgrootte voor sessiebeleid op basis van inhoudsinspectie
Wanneer u een sessiebeleid toepast om bestandsuploads of downloads te blokkeren op basis van inhoudsinspectie, wordt de inspectie alleen uitgevoerd op bestanden die kleiner zijn dan 30 MB en minder dan 1 miljoen tekens bevatten.
U kunt bijvoorbeeld een van de volgende sessiebeleidsregels definiëren:
- Uploaden van bestanden met burgerservicenummers blokkeren
- Downloaden van bestanden die beveiligde statusgegevens bevatten beveiligen
- Downloaden van bestanden met een vertrouwelijkheidslabel 'zeer gevoelig' blokkeren
In dergelijke gevallen worden bestanden die groter zijn dan 30 MB of met meer dan 1 miljoen tekens niet gescand. Deze bestanden worden behandeld volgens de actie Altijd de geselecteerde actie toepassen, zelfs als de gegevens niet kunnen worden gescand .
De volgende tabel bevat meer voorbeelden van bestanden die wel en niet worden gescand:
| Bestandsbeschrijving | Gescande |
|---|---|
| Een TXT-bestand, een grootte van 1 MB en 1 miljoen tekens | Ja |
| Een TXT-bestand, een grootte van 2 MB en 2 miljoen tekens | Nee |
| Een Word-bestand dat bestaat uit afbeeldingen en tekst, 4 MB en 400.000 tekens | Ja |
| Een Word-bestand dat bestaat uit afbeeldingen en tekst, een grootte van 4 MB en 2 miljoen tekens | Nee |
| Een Word-bestand dat bestaat uit afbeeldingen en tekst, 40 MB en 400.000 tekens | Nee |
Bestanden die zijn versleuteld met vertrouwelijkheidslabels
Voor tenants die cocreatie inschakelen voor bestanden die zijn versleuteld met vertrouwelijkheidslabels, wordt een sessiebeleid voor het blokkeren van het uploaden/downloaden van bestanden die afhankelijk is van labelfilters of bestandsinhoud, uitgevoerd op basis van de actie Altijd de geselecteerde actie toepassen, zelfs als er geen beleidsinstelling voor gegevens kan worden gescand .
Stel dat een sessiebeleid is geconfigureerd om te voorkomen dat bestanden met creditcardnummers worden gedownload en is ingesteld op Altijd de geselecteerde actie toepassen, zelfs als gegevens niet kunnen worden gescand. Bestanden met een versleuteld vertrouwelijkheidslabel kunnen niet worden gedownload, ongeacht de inhoud.
Externe B2B-gebruikers in Teams
Sessiebeleid beveiligt geen gebruikers van externe B2B-samenwerking (business-to-business) in Microsoft Teams-toepassingen.
Beperkingen voor sessies die door de omgekeerde proxy worden gebruikt
De volgende beperkingen gelden alleen voor sessies die door de omgekeerde proxy worden gebruikt. Gebruikers van Microsoft Edge kunnen profiteren van in-browserbeveiliging in plaats van de omgekeerde proxy te gebruiken, dus deze beperkingen zijn niet van invloed op hen.
Beperkingen voor ingebouwde apps en browserinvoegtoepassingen
App-beheer voor voorwaardelijke toegang in Defender voor Cloud Apps wijzigt onderliggende toepassingscode. Het biedt momenteel geen ondersteuning voor ingebouwde apps of browserextensies.
Als beheerder wilt u mogelijk het standaardsysteemgedrag definiëren voor wanneer een beleid niet kan worden afgedwongen. U kunt ervoor kiezen om toegang toe te staan of helemaal te blokkeren.
Beperkingen voor contextverlies
In de volgende toepassingen zijn scenario's opgetreden waarbij bladeren naar een koppeling kan leiden tot verlies van het volledige pad van de koppeling. Normaal gesproken komt de gebruiker terecht op de startpagina van de app.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Workplace from Meta
- ServiceNow
- Werkdag
Beperkingen voor het uploaden van bestanden
Als u een sessiebeleid toepast om het uploaden van gevoelige bestanden te blokkeren of te bewaken, probeert de gebruiker bestanden of mappen te uploaden met behulp van een slepen-en-neerzetten-bewerking de volledige lijst met bestanden en mappen in de volgende scenario's:
- Een map met ten minste één bestand en ten minste één submap
- Een map met meerdere submappen
- Een selectie van ten minste één bestand en ten minste één map
- Een selectie van meerdere mappen
De volgende tabel bevat voorbeeldresultaten wanneer u het uploaden van bestanden met persoonlijke gegevens naar OneDrive-beleid definieert:
| Scenario | Result |
|---|---|
| Een gebruiker probeert een selectie van 200 niet-gevoelige bestanden te uploaden met behulp van een slepen-en-neerzetten-bewerking. | Bestanden worden geblokkeerd. |
| Een gebruiker probeert een selectie van 200 bestanden te uploaden met behulp van het dialoogvenster voor het uploaden van bestanden. Sommige zijn gevoelig en sommige niet. | Niet-gevoelige bestanden worden geüpload. Gevoelige bestanden worden geblokkeerd. |
| Een gebruiker probeert een selectie van 200 bestanden te uploaden met behulp van een slepen-en-neerzetten-bewerking. Sommige zijn gevoelig en sommige niet. | De volledige set bestanden wordt geblokkeerd. |