Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano znane ograniczenia dotyczące pracy z kontrolą aplikacji dostępu warunkowego w Microsoft Defender for Cloud Apps.
Aby dowiedzieć się więcej na temat ograniczeń zabezpieczeń, skontaktuj się z naszym zespołem pomocy technicznej.
Maksymalny rozmiar pliku dla zasad sesji
Zasady sesji można zastosować do plików o maksymalnym rozmiarze 50 MB. Na przykład ten maksymalny rozmiar pliku jest odpowiedni podczas definiowania zasad monitorowania pobierania plików z usługi OneDrive, blokowania aktualizacji plików lub blokowania pobierania lub przekazywania plików złośliwego oprogramowania.
W takich przypadkach należy uwzględnić pliki o rozmiarze większym niż 50 MB przy użyciu ustawień dzierżawy, aby określić, czy plik jest dozwolony, czy zablokowany, niezależnie od dopasowanych zasad.
W Microsoft Defender XDR wybierz pozycję Ustawienia> Kontroladostępu warunkowego Domyślne zachowanie kontroli> aplikacji, aby zarządzać ustawieniami plików o rozmiarze większym niż 50 MB.
W przypadku ochrony przeglądarki Microsoft Edge w przeglądarce, jeśli sesja użytkownika końcowego jest chroniona, a zasady są ustawione na wartość "Zawsze stosuj wybraną akcję, nawet jeśli nie można skanować danych", każdy plik większy niż 50 MB jest zablokowany.
Maksymalny rozmiar pliku dla zasad sesji na podstawie inspekcji zawartości
W przypadku zastosowania zasad sesji do blokowania przekazywania lub pobierania plików na podstawie inspekcji zawartości inspekcja jest przeprowadzana tylko w przypadku plików mniejszych niż 30 MB i zawierających mniej niż 1 milion znaków.
Można na przykład zdefiniować jedną z następujących zasad sesji:
- Blokuj przekazywanie plików zawierających numery ubezpieczenia społecznego
- Ochrona pobierania plików zawierających chronione informacje o kondycji
- Blokuj pobieranie plików, które mają etykietę poufności "bardzo wrażliwą"
W takich przypadkach pliki, które są większe niż 30 MB lub mają więcej niż 1 milion znaków, nie są skanowane. Te pliki są traktowane zgodnie z akcją Zawsze stosuj wybraną akcję, nawet jeśli nie można przeskanować danych .
W poniższej tabeli wymieniono więcej przykładów plików, które są i nie są skanowane:
| Opis pliku | Skanowane |
|---|---|
| Plik TXT, rozmiar 1 MB i 1 milion znaków | Tak |
| Plik TXT, rozmiar 2 MB i 2 miliony znaków | Nie |
| Plik Word składający się z obrazów i tekstu, rozmiaru 4 MB i 400 K znaków | Tak |
| Plik Word składający się z obrazów i tekstu, rozmiaru 4 MB i 2 milionów znaków | Nie |
| Plik Word składający się z obrazów i tekstu, rozmiaru 40 MB i 400 K znaków | Nie |
Pliki zaszyfrowane przy użyciu etykiet poufności
W przypadku dzierżaw, które umożliwiają współtworzynie plików zaszyfrowanych przy użyciu etykiet poufności, zasady sesji blokujące przekazywanie/pobieranie plików oparte na filtrach etykiet lub zawartości pliku będą działać na podstawie ustawienia zasad Zawsze stosuj wybraną akcję, nawet jeśli nie można skanować danych .
Załóżmy na przykład, że zasady sesji są skonfigurowane tak, aby uniemożliwiały pobieranie plików zawierających numery kart kredytowych i ustawiono opcję Zawsze stosuj wybraną akcję, nawet jeśli nie można skanować danych. Pobieranie dowolnego pliku z zaszyfrowaną etykietą poufności jest blokowane niezależnie od jego zawartości.
Zewnętrzni użytkownicy B2B w usłudze Teams
Zasady sesji nie chronią zewnętrznych użytkowników współpracy między firmami (B2B) w aplikacjach usługi Microsoft Teams.
Kontrolki sesji z tokenami nieinterakcyjnymi
Niektóre aplikacje korzystają z nieinterakcyjnych tokenów dostępu, aby ułatwić bezproblemowe przekierowywanie między aplikacjami w tym samym pakiecie lub w tym samym obszarze. Gdy jedna aplikacja jest dołączona do kontroli aplikacji dostępu warunkowego, a druga nie, kontrolki sesji mogą nie być wymuszane zgodnie z oczekiwaniami. Jeśli na przykład klient usługi Teams pobierze token nieinterakcyjny dla programu SharePoint, może zainicjować aktywną sesję w usłudze SPO bez monitowania użytkownika o ponowne uwierzytelnienie. W związku z tym mechanizm kontroli sesji nie może przechwytywać ani wymuszać zasad w tych sesjach. Aby zapewnić spójne wymuszanie, zalecamy dołączenie wszystkich odpowiednich aplikacji, takich jak Teams, wraz z usługą SPO.
Ograniczenia protokołu IPv6
Zasady dostępu i sesji obsługują tylko protokół IPv4. Jeśli żądanie jest wysyłane za pośrednictwem protokołu IPv6, reguły zasad oparte na adresach IP nie są stosowane. To ograniczenie ma zastosowanie zarówno w przypadku korzystania z odwrotnego serwera proxy, jak i ochrony przeglądarki Microsoft Edge w przeglądarce.
Ograniczenia dotyczące sesji, które służą odwrotnemu serwerowi proxy
Poniższe ograniczenia dotyczą tylko sesji obsługiwanych przez zwrotny serwer proxy. Użytkownicy przeglądarki Microsoft Edge mogą korzystać z ochrony w przeglądarce, zamiast korzystać z odwrotnego serwera proxy, więc te ograniczenia nie mają na nie wpływu.
Ograniczenia wbudowanej aplikacji i wtyczki przeglądarki
Kontrola aplikacji dostępu warunkowego w Defender for Cloud Apps modyfikuje bazowy kod aplikacji. Obecnie nie obsługuje ona wbudowanych aplikacji ani rozszerzeń przeglądarki.
Jako administrator możesz zdefiniować domyślne zachowanie systemu, gdy nie można wymusić zasad. Możesz zezwolić na dostęp lub całkowicie go zablokować.
Ograniczenia dotyczące utraty kontekstu
W następujących aplikacjach napotkaliśmy scenariusze, w których przejście do linku może spowodować utratę pełnej ścieżki łącza. Zazwyczaj użytkownik ląduje na stronie głównej aplikacji.
- Arcgis
- Github
- Microsoft Power Automate
- Microsoft Power Apps
- Miejsce pracy z meta
- ServiceNow
- Workday
- Pole
- Smartsheet
Ograniczenia przekazywania plików
Jeśli zastosujesz zasady sesji do blokowania lub monitorowania przekazywania poufnych plików, użytkownik próbuje przekazać pliki lub foldery za pomocą operacji przeciągania i upuszczania bloku pełnej listy plików i folderów w następujących scenariuszach:
- Folder zawierający co najmniej jeden plik i co najmniej jeden podfolder
- Folder zawierający wiele podfolderów
- Wybór co najmniej jednego pliku i co najmniej jednego folderu
- Wybór wielu folderów
W poniższej tabeli przedstawiono przykładowe wyniki definiowania zasad Blokuj przekazywanie plików zawierających dane osobowe do usługi OneDrive :
| Scenariusz | Result (Wynik) |
|---|---|
| Użytkownik próbuje przekazać wybór 200 nieczułych plików przy użyciu operacji przeciągania i upuszczania. | Pliki są blokowane. |
| Użytkownik próbuje przekazać wybór 200 plików przy użyciu okna dialogowego przekazywania plików. Niektóre są wrażliwe, a niektóre nie. | Pliki niewrażliwe są przekazywane. Pliki poufne są blokowane. |
| Użytkownik próbuje przekazać wybór 200 plików przy użyciu operacji przeciągania i upuszczania. Niektóre są wrażliwe, a niektóre nie. | Pełny zestaw plików jest zablokowany. |
Ograniczenia dotyczące sesji obsługiwanych z ochroną przeglądarki Microsoft Edge w przeglądarce
Poniższe ograniczenia dotyczą tylko sesji obsługiwanych z ochroną przeglądarki Microsoft Edge w przeglądarce.
Bezpiecznych kontrolek sesji przeglądarki Microsoft Edge nie można używać z obszarem roboczym Google w przeglądarkach Microsoft Edge dla przedsiębiorstw
Obszar roboczy Google nie jest obsługiwany z ochroną w przeglądarce w przeglądarce Microsoft Edge dla przedsiębiorstw. W związku z tym kontrolki Bezpieczna sesja przeglądarki Microsoft Edge w obszarach roboczych Google nie są obsługiwane. W obszarach roboczych Google skanowanie plików DLP w czasie rzeczywistym nie jest obsługiwane, używane jest uwierzytelnianie rezerwowe sufiksów, a przekazywanie, pobieranie, wycinanie i kopiowanie plików nie jest obsługiwane.
Link bezpośredni jest tracony, gdy użytkownik przełącza się do przeglądarki Microsoft Edge, klikając pozycję "Kontynuuj w przeglądarce Microsoft Edge"
Użytkownik, który uruchamia sesję w przeglądarce innej niż Microsoft Edge, jest monitowany o przełączenie się do przeglądarki Microsoft Edge, klikając przycisk "Kontynuuj w przeglądarce Microsoft Edge".
Jeśli adres URL wskazuje zasób w zabezpieczonej aplikacji, użytkownik zostanie przekierowany do strony głównej aplikacji w przeglądarce Microsoft Edge.
Link głęboki jest tracony, gdy użytkownik przełącza się do profilu służbowego przeglądarki Microsoft Edge
Użytkownik, który rozpoczyna sesję w przeglądarce Microsoft Edge z profilem innym niż profil służbowy, jest monitowany o przełączenie się do profilu służbowego, klikając przycisk "Przełącz do profilu służbowego".
Jeśli adres URL wskazuje zasób w zabezpieczonej aplikacji, użytkownik zostanie przekierowany do strony głównej aplikacji w przeglądarce Microsoft Edge.
Nieaktualne wymuszanie zasad sesji w przeglądarce Microsoft Edge
Jeśli zasady sesji są wymuszane przy użyciu ochrony przeglądarki Microsoft Edge w przeglądarce, a użytkownik zostanie później usunięty z odpowiednich zasad dostępu warunkowego, oryginalne wymuszanie sesji może nadal być utrwalane.
Przykładowy scenariusz:
Użytkownikowi pierwotnie przypisano zasady urzędu certyfikacji dla usługi Salesforce wraz z zasadami sesji Defender for Cloud Apps w celu zablokowania pobierania plików. W rezultacie pobieranie zostało zablokowane, gdy użytkownik uzyskiwał dostęp do usługi Salesforce w przeglądarce Microsoft Edge.
Mimo że administrator później usunął zasady urzędu certyfikacji, użytkownik nadal doświadcza bloku pobierania w przeglądarce Microsoft Edge z powodu buforowanych danych zasad.
Opcje ograniczania ryzyka:
Opcja 1. Automatyczne oczyszczanie
- Dodaj użytkownika/aplikację z powrotem do zakresu zasad urzędu certyfikacji.
- Usuń odpowiednie zasady sesji Defender for Cloud Apps.
- Poczekaj, aż użytkownicy będą uzyskiwać dostęp do aplikacji przy użyciu przeglądarki Microsoft Edge. Spowoduje to automatyczne wyzwolenie usuwania zasad.
- Usuń użytkownika/aplikację z zakresu zasad urzędu certyfikacji.
Opcja 2. Usuwanie buforowanego pliku zasad (ręczne czyszczenie)
- Przejdź do: C:\Users<username>\AppData\Local\Microsoft\Edge\
- Usuń plik: mda_store.1.txt
Opcja 3. Usuwanie profilu służbowego w przeglądarce Microsoft Edge (ręczne czyszczenie)
- Otwórz przeglądarkę Microsoft Edge.
- Przejdź do pozycji Ustawienia profilu.
- Usuń profil służbowy skojarzony z nieaktualnymi zasadami sesji.
Te kroki wymuszają odświeżanie zasad i rozwiązują problemy z wymuszaniem związane z nieaktualnymi zasadami sesji.