条件访问应用控制中的已知限制
本文介绍使用 Microsoft Defender for Cloud Apps 中的条件访问应用控制的已知限制。
若要了解有关安全限制的更多信息,请与我们的支持团队联系。
会话策略的最大文件大小
可以将会话策略应用于最大大小为 50 MB 的文件。 例如,在定义策略以监视 OneDrive 中的文件下载、阻止文件更新或阻止下载或上传恶意软件文件时,此最大文件大小是有意义的。
在这些情况下,务必使用租户设置覆盖大于 50 MB 的文件,以确定允许还是阻止文件,而不考虑任何匹配的策略。
在 Microsoft Defender XDR 中,选择设置>条件访问应用控制>默认行为来管理大于 50 MB 的文件的设置。
基于内容检查的会话策略的最大文件大小
当应用基于内容检查阻止文件上传或下载的会话策略时,仅对小于 30 MB 且少于 100 万个字符的文件执行检查。
例如,您可以定义以下会话策略之一:
- 阻止上传包含社会保险号的文件
- 保护包含受保护运行状况信息的文件下载
- 阻止下载敏感度标签为“非常敏感”的文件
在这种情况下,大于 30 MB 或超过 100 万个字符的文件不会被扫描。 这些文件将根据即使无法扫描数据也始终应用所选操作策略设置进行处理。
下表列出了已扫描和未扫描文件的更多示例:
| 文件说明 | 已扫描 |
|---|---|
| TXT 文件,大小为 1 MB,包含 100 万个字符 | 是 |
| TXT 文件,大小为 2 MB,包含 200 万个字符 | 否 |
| 由图像和文本组成的 Word 文件 ,大小为 4 MB,包含 400K 字符 | 是 |
| 由图像和文本组成的 Word 文件 ,大小为 4 MB,包含 200 万个字符 | 否 |
| 由图像和文本组成的 Word 文件 ,大小为 40 MB,包含 400K 字符 | 否 |
使用敏感度标签加密的文件
对于为使用敏感度标签加密的文件启用共同创作的租户,阻止依赖于标签筛选器或文件内容的文件上传、下载的会话策略将基于“始终应用所选操作(即使无法扫描数据)”策略设置运行。
例如,假设将会话策略配置为防止下载包含信用卡号的文件,并且将其设置为“始终应用所选操作(即使无法扫描数据)”。 无论其内容是什么,任何具有加密敏感度标签的文件都将被阻止下载。
Teams 中的外部 B2B 用户
会话策略不会保护 Microsoft Teams 应用程序中的外部企业到企业 (B2B) 协作用户。
反向代理提供服务的会话限制
以下限制仅适用于反向代理提供服务的会话。 Microsoft Edge 的用户可以从浏览器内保护中受益,而不是使用反向代理,因此不受这些限制不会影响它们。
内置应用和浏览器插件限制
Defender for Cloud Apps 中的条件访问应用控制会修改基础应用程序代码。 它目前不支持内置应用或浏览器扩展。
作为管理员,可能会希望定义无法实施策略时的默认系统行为。 可以选择允许访问或完全阻止它。
上下文丢失限制
在以下应用程序中,我们遇到了浏览到链接可能会导致链接完整路径丢失的情况。 通常,用户登录到应用的主页。
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Workplace from Meta
- ServiceNow
- Workday
文件上传限制
如果应用了阻止或监视敏感文件上传的会话策略,那么在以下情况下,用户尝试使用拖放操作上传文件或文件夹时,会阻止文件和文件夹的完整列表:
- 包含至少一个文件和至少一个子文件夹的文件夹
- 包含多个子文件夹的文件夹
- 已选项包含至少一个文件和至少一个文件夹
- 已选项包含多个文件夹
下表列出了定义阻止将包含个人数据的文件上传到 OneDrive 策略时的示例结果:
| 应用场景 | 结果 |
|---|---|
| 用户尝试使用拖放操作上传 200 个非敏感文件。 | 文件被阻止。 |
| 用户尝试使用文件上传对话框上传选择的 200 个文件。 有些是敏感的,有些则不敏感。 | 已上传非敏感文件。 已阻止敏感文件。 |
| 用户尝试使用拖放操作上传 200 个文件。 有些是敏感的,有些则不敏感。 | 整套文件被阻止。 |