Znane ograniczenia kontroli aplikacji dostępu warunkowego
W tym artykule opisano znane ograniczenia dotyczące pracy z kontrolą aplikacji dostępu warunkowego w usłudze Microsoft Defender dla Chmury Apps.
Aby dowiedzieć się więcej o ograniczeniach zabezpieczeń, skontaktuj się z naszym zespołem pomocy technicznej.
Maksymalny rozmiar pliku dla zasad sesji
Zasady sesji można stosować do plików o maksymalnym rozmiarze 50 MB. Na przykład ten maksymalny rozmiar pliku jest istotny podczas definiowania zasad monitorowania pobierania plików z usługi OneDrive, blokowania aktualizacji plików lub blokowania pobierania lub przekazywania plików złośliwego oprogramowania.
W takich przypadkach należy uwzględnić pliki, które są większe niż 50 MB przy użyciu ustawień dzierżawy, aby określić, czy plik jest dozwolony, czy zablokowany, niezależnie od jakichkolwiek pasujących zasad.
W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia>Domyślne zachowanie kontroli>dostępu warunkowego aplikacji, aby zarządzać ustawieniami plików, które są większe niż 50 MB.
Maksymalny rozmiar pliku dla zasad sesji na podstawie inspekcji zawartości
W przypadku stosowania zasad sesji w celu blokowania przekazywania lub pobierania plików na podstawie inspekcji zawartości inspekcja jest wykonywana tylko na plikach, które są mniejsze niż 30 MB i które mają mniej niż 1 milion znaków.
Można na przykład zdefiniować jedną z następujących zasad sesji:
- Blokuj przekazywanie plików zawierających numery ubezpieczenia społecznego
- Ochrona pobierania plików zawierających chronione informacje o kondycji
- Blokuj pobieranie plików, które mają etykietę poufności "bardzo wrażliwą"
W takich przypadkach pliki, które są większe niż 30 MB lub mają więcej niż 1 milion znaków, nie są skanowane. Te pliki są traktowane zgodnie z zawsze zastosuj wybraną akcję, nawet jeśli nie można skanować danych ustawienia zasad.
W poniższej tabeli wymieniono więcej przykładów plików, które są i nie są skanowane:
| Opis pliku | Skanowane |
|---|---|
| Plik TXT, rozmiar 1 MB i 1 milion znaków | Tak |
| Plik TXT, rozmiar 2 MB i 2 miliony znaków | Nie. |
| Plik programu Word składający się z obrazów i tekstu o rozmiarze 4 MB i 400 000 znaków | Tak |
| Plik programu Word składający się z obrazów i tekstu, rozmiar 4 MB i 2 miliony znaków | Nie. |
| Plik programu Word składający się z obrazów i tekstu o rozmiarze 40 MB i 400 000 znaków | Nie. |
Pliki zaszyfrowane za pomocą etykiet poufności
W przypadku dzierżaw, które umożliwiają współtworzenie plików zaszyfrowanych przy użyciu etykiet poufności, zasady sesji blokujące przekazywanie/pobieranie plików oparte na filtrach etykiet lub zawartości pliku będą działać na podstawie zawsze stosowanej akcji, nawet jeśli nie można skanować danych ustawienia zasad.
Załóżmy na przykład, że zasady sesji są skonfigurowane tak, aby zapobiec pobieraniu plików zawierających numery kart kredytowych i jest ustawiona na zawsze zastosuj wybraną akcję, nawet jeśli nie można skanować danych. Pobieranie dowolnego pliku z zaszyfrowaną etykietą poufności jest blokowane niezależnie od jego zawartości.
Zewnętrzni użytkownicy B2B w usłudze Teams
Zasady sesji nie chronią zewnętrznych użytkowników współpracy między firmami (B2B) w aplikacjach microsoft Teams.
Ograniczenia dotyczące sesji obsługiwanych przez zwrotny serwer proxy
Następujące ograniczenia dotyczą tylko sesji obsługiwanych przez zwrotny serwer proxy. Użytkownicy przeglądarki Microsoft Edge mogą korzystać z ochrony w przeglądarce zamiast korzystania z zwrotnego serwera proxy, więc te ograniczenia nie mają na nie wpływu.
Ograniczenia wbudowanej aplikacji i wtyczki przeglądarki
Kontrola aplikacji dostępu warunkowego w usłudze Defender dla Chmury Apps modyfikuje podstawowy kod aplikacji. Obecnie nie obsługuje wbudowanych aplikacji ani rozszerzeń przeglądarki.
Jako administrator możesz zdefiniować domyślne zachowanie systemu, jeśli nie można wymusić zasad. Możesz zezwolić na dostęp lub całkowicie go zablokować.
Ograniczenia utraty kontekstu
W poniższych aplikacjach napotkaliśmy scenariusze, w których przejście do linku może spowodować utratę pełnej ścieżki łącza. Zazwyczaj użytkownik ląduje na stronie głównej aplikacji.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Miejsce pracy z meta
- ServiceNow
- Dzień roboczy
Ograniczenia przekazywania plików
W przypadku stosowania zasad sesji w celu blokowania lub monitorowania przekazywania poufnych plików użytkownik próbuje przekazać pliki lub foldery przy użyciu operacji przeciągania i upuszczania, aby zablokować pełną listę plików i folderów w następujących scenariuszach:
- Folder zawierający co najmniej jeden plik i co najmniej jeden podfolder
- Folder zawierający wiele podfolderów
- Wybór co najmniej jednego pliku i co najmniej jednego folderu
- Wybór wielu folderów
W poniższej tabeli wymieniono przykładowe wyniki podczas definiowania blokuj przekazywania plików zawierających dane osobowe do zasad usługi OneDrive :
| Scenariusz | Result |
|---|---|
| Użytkownik próbuje przekazać wybór 200 niewrażliwych plików przy użyciu operacji przeciągania i upuszczania. | Pliki są blokowane. |
| Użytkownik próbuje przekazać wybór 200 plików przy użyciu okna dialogowego przekazywania plików. Niektóre są wrażliwe, a niektóre nie. | Niewrażliwe pliki są przekazywane. Poufne pliki są blokowane. |
| Użytkownik próbuje przekazać wybór 200 plików przy użyciu operacji przeciągania i upuszczania. Niektóre są wrażliwe, a niektóre nie. | Pełny zestaw plików jest zablokowany. |