Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Microsoft Defender for Cloud Apps'de Koşullu Erişim uygulama denetimiyle çalışmaya yönelik bilinen sınırlamalar açıklanmaktadır.
Güvenlik sınırlamaları hakkında daha fazla bilgi edinmek için destek ekibimize başvurun.
Oturum ilkeleri için en büyük dosya boyutu
En büyük boyutu 50 MB olan dosyalara oturum ilkeleri uygulayabilirsiniz. Örneğin, OneDrive'dan dosya indirmelerini izlemek, dosya güncelleştirmelerini engellemek veya kötü amaçlı yazılım dosyalarının indirilmelerini veya karşıya yüklemelerini engellemek için ilkeler tanımlarken bu en büyük dosya boyutu geçerlidir.
Bunlar gibi durumlarda, eşleşen ilkelerden bağımsız olarak dosyaya izin verilip verilmeyeceğini veya engellendiğini belirlemek için kiracı ayarlarını kullanarak 50 MB'tan büyük dosyaları kapsamaya dikkat edin.
50 MB'tan büyük dosyaların ayarlarını yönetmek için Microsoft Defender XDR Ayarlar>Koşullu Erişim Uygulama Denetimi>Varsayılan davranış'ı seçin.
Tarayıcı içi Microsoft Edge koruması ile, son kullanıcı oturumunun korunması ve ilkenin 'Veriler taranamıyor olsa bile seçili eylemi her zaman uygula' olarak ayarlanması durumunda, 50 MB'tan büyük tüm dosyalar engellenir.
İçerik incelemesini temel alan oturum ilkeleri için en büyük dosya boyutu
İçerik denetimine dayalı olarak dosya yüklemelerini veya indirmeleri engellemek için bir oturum ilkesi uyguladığınızda, denetim yalnızca 30 MB'tan küçük ve 1 milyondan az karakter içeren dosyalarda gerçekleştirilir.
Örneğin, aşağıdaki oturum ilkelerinden birini tanımlayabilirsiniz:
- Sosyal Güvenlik numaraları içeren dosyaların karşıya yüklenmesini engelle
- Korumalı sistem durumu bilgilerini içeren dosyaların indirilmesini koruma
- Duyarlılık etiketi "çok hassas" olan dosyaların indirilmesini engelle
Bu gibi durumlarda, 30 MB'tan büyük veya 1 milyondan fazla karakter içeren dosyalar taranmıyor. Bu dosyalar, veriler taranamasa bile seçili eylemi her zaman uygula ilke ayarına göre değerlendirilir.
Aşağıdaki tabloda taranmış ve taranmamış daha fazla dosya örneği listeleniyor:
| Dosya açıklaması | Taranan |
|---|---|
| TXT dosyası, 1 MB boyut ve 1 milyon karakter | Evet |
| TXT dosyası, 2 MB boyutu ve 2 milyon karakter | Hayır |
| Resim ve metin, 4 MB boyutu ve 400 K karakterden oluşan Word dosyası | Evet |
| Resim ve metin, 4 MB boyutu ve 2 milyon karakterden oluşan Word dosyası | Hayır |
| Resim ve metin, 40 MB boyut ve 400 K karakterden oluşan Word dosyası | Hayır |
Duyarlılık etiketleriyle şifrelenen dosyalar
Duyarlılık etiketleriyle şifrelenmiş dosyalar için birlikte yazmayı etkinleştiren kiracılar için, etiket filtrelerine veya dosya içeriğine dayanan dosya karşıya yüklemeyi/indirmeyi engellemeye yönelik bir oturum ilkesi , veriler taranamasa bile seçili eylemi her zaman uygula ilke ayarına göre çalışır.
Örneğin, bir oturum ilkesinin kredi kartı numaraları içeren dosyaların indirilmesini engelleyecek şekilde yapılandırıldığını ve veriler taranamasa bile seçili eylemi her zaman uygula olarak ayarlandığını varsayalım. Şifrelenmiş duyarlılık etiketine sahip herhangi bir dosyanın içeriği ne olursa olsun indirilmesi engellenir.
Teams'de dış B2B kullanıcıları
Oturum ilkeleri, Microsoft Teams uygulamalarında işletmeler arası (B2B) dış işbirliği kullanıcılarını korumaz.
Etkileşimli Olmayan Belirteçlerle Oturum Denetimleri
Bazı uygulamalar, aynı paket veya bölge içindeki uygulamalar arasında sorunsuz yeniden yönlendirmeyi kolaylaştırmak için etkileşimli olmayan erişim belirteçleri kullanır. Bir uygulama Koşullu Erişim Uygulama Denetimi'ne eklendiğinde ve diğeri eklenmiyorsa, oturum denetimleri beklendiği gibi zorunlu tutulmayabilir. Örneğin, Teams istemcisi SharePoint için etkileşimli olmayan bir belirteç alırsa, kullanıcıdan yeniden kimlik doğrulaması istemeden SPO'da etkin bir oturum başlatabilir. Sonuç olarak, oturum denetim mekanizması bu oturumlarda ilkeleri kesemez veya uygulayamaz. Tutarlı uygulama sağlamak için SPO'nun yanı sıra Teams gibi tüm ilgili uygulamaları eklemenizi öneririz.
IPv6 sınırlamaları
Erişim ve oturum ilkeleri yalnızca IPv4'i destekler. IPv6 üzerinden istek yapılırsa, IP tabanlı ilke kuralları uygulanmaz. Bu sınırlama hem ters ara sunucu hem de Tarayıcı içi Microsoft Edge koruması kullanılırken geçerlidir.
Ters proxy'nin hizmet yaptığı oturumlar için sınırlamalar
Aşağıdaki sınırlamalar yalnızca ters proxy'nin hizmet yaptığı oturumlarda geçerlidir. Microsoft Edge kullanıcıları, ters ara sunucuyu kullanmak yerine tarayıcı içi korumadan yararlanabilir, bu nedenle bu sınırlamalar onları etkilemez.
Yerleşik uygulama ve tarayıcı eklentisi sınırlamaları
Defender for Cloud Apps'deki Koşullu Erişim uygulama denetimi, temel alınan uygulama kodunu değiştirir. Şu anda yerleşik uygulamaları veya tarayıcı uzantılarını desteklememektedir.
Yönetici olarak, ilkenin zorunlu kılınamadığında için varsayılan sistem davranışını tanımlamak isteyebilirsiniz. Erişime izin vermeyi veya tamamen engellemeyi seçebilirsiniz.
Bağlam kaybı sınırlamaları
Aşağıdaki uygulamalarda, bir bağlantıya göz atma işleminin bağlantının tam yolunun kaybolmasına neden olabileceği senaryolarla karşılaştık. Genellikle kullanıcı uygulamanın giriş sayfasına iner.
- Arcgıs
- Github
- Microsoft Power Automate
- Microsoft Power Apps
- Meta'dan çalışma alanı
- ServiceNow
- Işgünü
- Kutusu
- Akıllı Sayfa
Dosya karşıya yükleme sınırlamaları
Hassas dosyaların karşıya yüklenmesini engellemek veya izlemek için bir oturum ilkesi uygularsanız, kullanıcının sürükleyip bırakma işlemi kullanarak dosyaları veya klasörleri karşıya yükleme girişimi, aşağıdaki senaryolarda dosya ve klasörlerin tam listesini engeller:
- En az bir dosya ve en az bir alt klasör içeren bir klasör
- Birden çok alt klasör içeren bir klasör
- En az bir dosya ve en az bir klasör seçimi
- Birden çok klasör seçimi
Aşağıdaki tabloda , Kişisel verileri içeren dosyaların OneDrive'a yüklenmesini engelle ilkesini tanımladığınızda elde edilen örnek sonuçlar listelenir:
| Senaryo | Sonuç |
|---|---|
| Kullanıcı, sürükle ve bırak işlemini kullanarak 200 duyarsız dosyadan oluşan bir seçimi karşıya yüklemeye çalışır. | Dosyalar engellenir. |
| Kullanıcı, dosya karşıya yükleme iletişim kutusunu kullanarak 200 dosyadan oluşan bir seçimi karşıya yüklemeye çalışır. Bazıları hassas, bazıları hassas değildir. | Duyarlı olmayan dosyalar karşıya yüklenir. Hassas dosyalar engellenir. |
| Kullanıcı, sürükle ve bırak işlemini kullanarak 200 dosyadan oluşan bir seçimi karşıya yüklemeye çalışır. Bazıları hassas, bazıları hassas değildir. | Dosya kümesinin tamamı engellenir. |
Microsoft Edge tarayıcı içi koruma ile sunulan oturumlar için sınırlamalar
Aşağıdaki sınırlamalar yalnızca Microsoft Edge tarayıcı içi koruma ile sunulan oturumlarda geçerlidir.
Güvenli Microsoft Edge Oturum Denetimleri, Kurumsal Microsoft Edge tarayıcılarında Google Workspace ile kullanılamaz
Google Workspace, Enterprise Microsoft Edge tarayıcısında tarayıcı içi koruma ile desteklenmez. Sonuç olarak, Google Çalışma Alanlarında Güvenli Microsoft Edge Oturumu denetimleri desteklenmez. Google Çalışma Alanları'nda gerçek zamanlı DLP dosyaları taramaları desteklenmez, soneklerin geri dönüş kimlik doğrulaması kullanılır ve dosya yükleme, indirme, kesme ve kopyalama desteklenmez.
Kullanıcı 'Microsoft Edge'de Devam Et' seçeneğine tıklayarak Microsoft Edge'e geçtiğinde derin bağlantı kaybolur
Microsoft Edge dışında bir tarayıcıda oturum başlatan bir kullanıcıdan 'Microsoft Edge'de Devam Et' düğmesine tıklayarak Microsoft Edge'e geçmesi istenir.
URL güvenli uygulama içindeki bir kaynağa işaret ederse, kullanıcı Microsoft Edge'de uygulamanın giriş sayfasına yönlendirilir.
Kullanıcı Microsoft Edge iş profiline geçtiğinde derin bağlantı kayboluyor'
Microsoft Edge'de iş profili dışında bir profille oturum başlatan bir kullanıcıdan 'İş profiline geç' düğmesine tıklayarak iş profiline geçmesi istenir.
URL güvenli uygulama içindeki bir kaynağa işaret ederse, kullanıcı Microsoft Edge'de uygulamanın giriş sayfasına yönlendirilir.
Microsoft Edge ile eski oturum ilkesi uygulama
Tarayıcı içi Microsoft Edge koruması kullanılarak bir oturum ilkesi zorunlu kılındığında ve kullanıcı daha sonra ilgili Koşullu Erişim (CA) ilkesinden kaldırıldığında, özgün oturum zorlaması devam edebilir.
Örnek Senaryo:
Başlangıçta bir kullanıcıya Salesforce için bir CA ilkesi ve dosya indirmelerini engellemeye yönelik bir Defender for Cloud Apps oturumu ilkesi atanmıştı. Sonuç olarak, kullanıcı Microsoft Edge'de Salesforce'a eriştiğinde indirmeler engellendi.
Yönetici daha sonra CA ilkesini kaldırsa da, kullanıcı önbelleğe alınmış ilke verileri nedeniyle Microsoft Edge'de indirme bloğuyla karşılaşmaya devam eder.
Azaltma Seçenekleri:
Seçenek 1: Otomatik temizleme
- Kullanıcı/uygulamayı CA ilkesinin kapsamına yeniden ekleyin.
- İlgili Defender for Cloud Apps oturum ilkesini kaldırın.
- Kullanıcıların Microsoft Edge kullanarak uygulamaya erişmesini bekleyin. Bu, ilkenin kaldırılmasını otomatik olarak tetikler.
- Kullanıcı/uygulamayı CA ilkesinin kapsamından kaldırın.
2. Seçenek: Önbelleğe alınan ilke dosyasını silme (El ile temizleme)
- Şuraya gidin: C:\Users<username>\AppData\Local\Microsoft\Edge\
- Dosyayı silme: mda_store.1.txt
Seçenek 3: Microsoft Edge'de iş profilini kaldırma (El ile temizleme)
- Microsoft Edge'i açın.
- Profil Ayarları'na gidin.
- Güncel olmayan oturum ilkesiyle ilişkili iş profilini silin.
Bu adımlar, ilke yenilemesini zorlar ve eski oturum ilkeleriyle ilgili zorlama sorunlarını çözer.