Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются известные ограничения для работы с элементом управления условным доступом к приложениям в Microsoft Defender for Cloud Apps.
Чтобы узнать больше об ограничениях безопасности, обратитесь в нашу службу поддержки.
Максимальный размер файла для политик сеанса
Политики сеансов можно применять к файлам с максимальным размером 50 МБ. Например, этот максимальный размер файла имеет значение, когда вы определяете политики для отслеживания загрузки файлов из OneDrive, блокировки обновлений файлов, блокировки скачивания или отправки вредоносных файлов.
В таких случаях обязательно охватывайте файлы размером более 50 МБ с помощью параметров клиента, чтобы определить, разрешен ли файл или заблокирован, независимо от политик сопоставления.
В Microsoft Defender XDR выберите Параметры Управление>условным доступом к приложениям>Поведение по умолчанию, чтобы управлять параметрами для файлов размером более 50 МБ.
При использовании защиты Microsoft Edge в браузере, если сеанс конечного пользователя защищен, а политика имеет значение "Всегда применять выбранное действие, даже если данные не могут быть проверены", любой файл размером более 50 МБ блокируется.
Максимальный размер файла для политик сеанса на основе проверки содержимого
При применении политики сеанса для блокировки отправки или скачивания файлов на основе проверки содержимого проверка выполняется только для файлов размером менее 30 МБ и имеющих менее 1 миллиона символов.
Например, можно определить одну из следующих политик сеанса:
- Блокировка отправки файлов, содержащих номера социального страхования
- Защита скачивания файлов, содержащих защищенные сведения о работоспособности
- Блокировать скачивание файлов с меткой конфиденциальности "очень конфиденциальный"
В таких случаях файлы размером более 30 МБ или более 1 миллиона символов не сканируются. Эти файлы обрабатываются в соответствии с выбранным действием Всегда применять, даже если данные не могут быть проверены .
В следующей таблице перечислены дополнительные примеры файлов, которые не сканируются.
| Описание файла | Отсканировано |
|---|---|
| TXT-файл размером 1 МБ и 1 миллион символов | Да |
| TXT-файл размером 2 МБ и 2 миллиона символов | Нет |
| файл Word, состоящий из изображений и текста размером 4 МБ и 400 K символов. | Да |
| Файл Word, состоящий из изображений и текста размером 4 МБ и 2 миллиона символов. | Нет |
| файл Word, состоящий из изображений и текста размером 40 МБ и 400 K символов. | Нет |
Файлы, зашифрованные с помощью меток конфиденциальности
Для клиентов, которые обеспечивают совместное редактирование файлов, зашифрованных с помощью меток конфиденциальности, политика сеанса для блокировки отправки и скачивания файлов, основанная на фильтрах меток или содержимом файла, будет работать на основе параметра политики Всегда применять выбранное действие, даже если данные не могут быть проверены .
Например, предположим, что политика сеанса настроена таким образом, чтобы запретить скачивание файлов, содержащих числа карта кредитов, и для нее задано значение Всегда применять выбранное действие, даже если данные не могут быть проверены. Любой файл с зашифрованной меткой конфиденциальности блокируется для скачивания независимо от его содержимого.
Внешние пользователи B2B в Teams
Политики сеансов не защищают внешних пользователей совместной работы B2B в приложениях Microsoft Teams.
Элементы управления сеансом с неинтерактивными маркерами
Некоторые приложения используют неинтерактивные маркеры доступа для упрощения простого перенаправления между приложениями в одном наборе или области. Если одно приложение подключено к управлению условным доступом к приложениям, а другое — нет, элементы управления сеансом могут применяться не так, как ожидалось. Например, если клиент Teams получает неинтерактивный маркер для SharePoint, он может инициировать активный сеанс в SPO, не запрашивая у пользователя повторную проверку подлинности. В результате механизм управления сеансами не может перехватывать или применять политики в этих сеансах. Чтобы обеспечить согласованное применение, мы рекомендуем подключить все соответствующие приложения, такие как Teams, наряду с SPO.
Ограничения IPv6
Политики доступа и сеансов поддерживают только протокол IPv4. Если запрос выполняется по протоколу IPv6, правила политики на основе IP-адресов не применяются. Это ограничение применяется при использовании обратного прокси-сервера и защиты Microsoft Edge в браузере.
Ограничения для сеансов, обслуживаемые обратным прокси-сервером
Следующие ограничения применяются только к сеансам, которые обслуживает обратный прокси-сервер. Пользователи Microsoft Edge могут воспользоваться защитой в браузере вместо использования обратного прокси-сервера, поэтому эти ограничения не влияют на них.
Ограничения встроенных приложений и подключаемых модулей браузера
Элемент управления условным доступом к приложениям в Defender for Cloud Apps изменяет базовый код приложения. В настоящее время он не поддерживает встроенные приложения или расширения браузера.
Администратору может потребоваться определить системное поведение по умолчанию для случаев, когда невозможно применить политику. Вы можете разрешить доступ или полностью заблокировать его.
Ограничения потери контекста
В следующих приложениях мы сталкивались с сценариями, когда переход по ссылке может привести к потере полного пути ссылки. Как правило, пользователь попадает на домашнюю страницу приложения.
- Arcgis
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Рабочая область из meta
- ServiceNow
- Workday
- Box
- Smartsheet
Ограничения отправки файлов
Если вы применяете политику сеанса для блокировки или отслеживания отправки конфиденциальных файлов, попытки пользователя отправить файлы или папки с помощью операции перетаскивания блокируют полный список файлов и папок в следующих сценариях:
- Папка, содержащая по крайней мере один файл и хотя бы одну вложенную папку.
- Папка, содержащая несколько вложенных папок.
- Выбор по крайней мере одного файла и по крайней мере одной папки
- Выбор нескольких папок
В следующей таблице приведены примеры результатов при определении политики Блокировать отправку файлов, содержащих персональные данные, в OneDrive .
| Сценарий | Result |
|---|---|
| Пользователь пытается передать выборку из 200 нечувствительных файлов с помощью операции перетаскивания. | Файлы блокируются. |
| Пользователь пытается отправить выборку из 200 файлов с помощью диалогового окна отправки файлов. Некоторые из них чувствительны, а некоторые нет. | Нечувствительные файлы отправляются. Конфиденциальные файлы блокируются. |
| Пользователь пытается отправить выборку из 200 файлов с помощью операции перетаскивания. Некоторые из них чувствительны, а некоторые нет. | Полный набор файлов заблокирован. |
Ограничения для сеансов, обслуживаемых с помощью защиты Microsoft Edge в браузере
Следующие ограничения применяются только к сеансам, которые обслуживаются с защитой Microsoft Edge в браузере.
Безопасные элементы управления сеансом Microsoft Edge не могут использоваться с Google Workspace в браузерах Microsoft Edge enterprise
Google Workspace не поддерживается с защитой в браузере Enterprise Microsoft Edge. В результате элементы управления сеансом Secure Microsoft Edge в Google Workspaces не поддерживаются. В Google Workspaces сканирование DLP-файлов в режиме реального времени не поддерживается, используется резервная проверка подлинности суффиксов, а отправка, скачивание, вырезавание и копирование файлов не поддерживаются.
Прямая ссылка теряется, когда пользователь переключается на Microsoft Edge путем нажатия кнопки "Продолжить в Microsoft Edge"
Пользователю, который запускает сеанс в браузере, отличном от Microsoft Edge, предлагается переключиться на Microsoft Edge, нажав кнопку "Продолжить в Microsoft Edge".
Если URL-адрес указывает на ресурс в защищенном приложении, пользователь направляется на домашнюю страницу приложения в Microsoft Edge.
Прямая ссылка теряется при переключения пользователя на рабочий профиль Microsoft Edge
Пользователю, который запускает сеанс в Microsoft Edge с профилем, отличным от рабочего профиля, предлагается переключиться на свой рабочий профиль, нажав кнопку "Переключиться в рабочий профиль".
Если URL-адрес указывает на ресурс в защищенном приложении, пользователь направляется на домашнюю страницу приложения в Microsoft Edge.
Применение устаревшей политики сеанса с помощью Microsoft Edge
Если политика сеанса применяется с помощью защиты в браузере Microsoft Edge, а пользователь позже удаляется из соответствующей политики условного доступа (ЦС), исходное применение сеанса может по-прежнему сохраняться.
Пример сценария:
Пользователю изначально была назначена политика ЦС для Salesforce, а также политика сеанса Defender for Cloud Apps для блокировки загрузки файлов. В результате скачивание было заблокировано, когда пользователь обращается к Salesforce в Microsoft Edge.
Хотя позже администратор удалил политику ЦС, пользователь по-прежнему испытывает блокировку загрузки в Microsoft Edge из-за кэшированных данных политики.
Варианты устранения рисков:
Вариант 1. Автоматическая очистка
- Добавьте пользователя или приложение обратно в область политики ЦС.
- Удалите соответствующую политику сеанса Defender for Cloud Apps.
- Дождитесь доступа пользователей к приложению с помощью Microsoft Edge. Это автоматически активирует удаление политики.
- Удалите пользователя или приложение из область политики ЦС.
Вариант 2. Удаление кэшированного файла политики (очистка вручную)
- Перейдите по адресу: C:\Users<username>\AppData\Local\Microsoft\Edge\
- Удаление файла: mda_store.1.txt
Вариант 3. Удаление рабочего профиля в Microsoft Edge (очистка вручную)
- Откройте Microsoft Edge.
- Перейдите в раздел Параметры профиля.
- Удалите рабочий профиль, связанный с устаревшей политикой сеанса.
Эти шаги принудительно обновляют политику и устраняют проблемы принудительного применения, связанные с устаревшими политиками сеансов.