Dela via


Kända begränsningar i appkontrollen för villkorsstyrd åtkomst

I den här artikeln beskrivs kända begränsningar för att arbeta med appkontroll för villkorsstyrd åtkomst i Microsoft Defender för molnet-appar.

Kontakta vårt supportteam om du vill veta mer om säkerhetsbegränsningar.

Maximal filstorlek för sessionsprinciper

Du kan tillämpa sessionsprinciper på filer som har en maximal storlek på 50 MB. Den här maximala filstorleken är till exempel relevant när du definierar principer för att övervaka filnedladdningar från OneDrive, blockera filuppdateringar eller blockera nedladdningar eller uppladdningar av filer med skadlig kod.

I sådana fall bör du täcka filer som är större än 50 MB genom att använda klientinställningarna för att avgöra om filen är tillåten eller blockerad, oavsett matchande principer.

I Microsoft Defender XDR väljer du Inställningar>Standardbeteende för appkontroll>för villkorsstyrd åtkomst för att hantera inställningar för filer som är större än 50 MB.

Maximal filstorlek för sessionsprinciper baserat på innehållsgranskning

När du tillämpar en sessionsprincip för att blockera filuppladdningar eller nedladdningar baserat på innehållsgranskning utförs inspektionen endast på filer som är mindre än 30 MB och som har färre än 1 miljon tecken.

Du kan till exempel definiera någon av följande sessionsprinciper:

  • Blockera uppladdning av filer som innehåller personnummer
  • Skydda nedladdning av filer som innehåller skyddad hälsoinformation
  • Blockera nedladdning av filer som har känslighetsetiketten "mycket känslig"

I sådana fall genomsöks inte filer som är större än 30 MB eller som har fler än 1 miljon tecken. Dessa filer behandlas enligt inställningen Tillämpa alltid den valda åtgärden även om data inte kan genomsökas .

I följande tabell visas fler exempel på filer som skannas och inte genomsöks:

Filbeskrivning Skannade
En TXT-fil, en storlek på 1 MB och 1 miljon tecken Ja
En TXT-fil, en storlek på 2 MB och 2 miljoner tecken Nej
En Word-fil som består av bilder och text, 4 MB storlek och 400 000 tecken Ja
En Word-fil som består av bilder och text, 4 MB storlek och 2 miljoner tecken Nej
En Word-fil som består av bilder och text, 40 MB och 400 000 tecken Nej

Filer krypterade med känslighetsetiketter

För klienter som aktiverar samtidig autentisering för filer som krypterats med känslighetsetiketter fungerar en sessionsprincip för att blockera filuppladdning/nedladdning som förlitar sig på etikettfilter eller filinnehåll baserat på inställningen Tillämpa alltid den valda åtgärden även om data inte kan genomsökas .

Anta till exempel att en sessionsprincip är konfigurerad för att förhindra nedladdning av filer som innehåller kreditkortsnummer och är inställd på Använd alltid den valda åtgärden även om data inte kan genomsökas. Alla filer med en krypterad känslighetsetikett blockeras från att laddas ned, oavsett dess innehåll.

Externa B2B-användare i Teams

Sessionsprinciper skyddar inte externa B2B-samarbetsanvändare (business-to-business) i Microsoft Teams-program.

Begränsningar för sessioner som den omvända proxyn tjänar

Följande begränsningar gäller endast för sessioner som den omvända proxyn tjänar. Användare av Microsoft Edge kan dra nytta av webbläsarskydd i stället för att använda omvänd proxy, så dessa begränsningar påverkar dem inte.

Inbyggda plugin-begränsningar för appar och webbläsare

Appkontrollen för villkorsstyrd åtkomst i Defender för molnet Apps ändrar underliggande programkod. Det stöder för närvarande inte inbyggda appar eller webbläsartillägg.

Som administratör kanske du vill definiera standardsystembeteendet för när en princip inte kan tillämpas. Du kan välja att antingen tillåta åtkomst eller helt blockera den.

Begränsningar för kontextförlust

I följande program stötte vi på scenarier där surfning till en länk kan leda till att länkens fullständiga sökväg går förlorad. Vanligtvis hamnar användaren på appens startsida.

  • ArcGIS
  • GitHub
  • Microsoft Power Automate
  • Microsoft Power Apps
  • Arbetsplats från meta
  • ServiceNow
  • Arbetsdag

Begränsningar för filuppladdning

Om du tillämpar en sessionsprincip för att blockera eller övervaka uppladdningen av känsliga filer blockerar användarens försök att ladda upp filer eller mappar med hjälp av en dra och släpp-åtgärd den fullständiga listan över filer och mappar i följande scenarier:

  • En mapp som innehåller minst en fil och minst en undermapp
  • En mapp som innehåller flera undermappar
  • Ett val av minst en fil och minst en mapp
  • Ett urval av flera mappar

I följande tabell visas exempelresultat när du definierar Block upload of files that contain personal data to OneDrive policy (Blockera uppladdning av filer som innehåller personliga data till OneDrive-principen ):

Scenario Result
En användare försöker ladda upp ett urval av 200 meningslösa filer med hjälp av en dra och släpp-åtgärd. Filer blockeras.
En användare försöker ladda upp ett urval av 200 filer med hjälp av dialogrutan filuppladdning. Vissa är känsliga och andra inte. Meningslösa filer laddas upp.

Känsliga filer blockeras.
En användare försöker ladda upp ett urval av 200 filer med hjälp av en dra och släpp-åtgärd. Vissa är känsliga och andra inte. Den fullständiga uppsättningen filer blockeras.