條件式存取應用程控已知限制
本文說明使用 適用於雲端的 Microsoft Defender Apps 條件式存取應用程控的已知限制。
若要深入瞭解安全性限制,請連絡我們的支援小組。
會話原則的檔案大小上限
會話原則可以套用至大小上限為 50 MB 的檔案。 例如,當您定義原則來監視 OneDrive 的檔案下載、封鎖檔案更新,或封鎖下載或上傳惡意代碼檔案時,這個檔案大小上限是相關的。
在這類情況下,請務必使用租用戶設定來涵蓋大於 50 MB 的檔案,以判斷檔案是否允許或封鎖,而不論任何相符的原則為何。
在 Microsoft Defender 全面偵測回應 中,選取 [條件式存取應用程控>] [默認行為] > 設定,以管理超過 50 MB 的檔案設定。
根據資訊保護內容檢查的會話原則檔案大小上限
套用以資訊保護內容檢查為基礎的檔案上傳或下載的會話原則時,只會對小於 30 MB 且少於 1 百萬個字元的檔案執行檢查。
例如,您可以定義下列其中一個會話原則:
- 封鎖檔案上傳包含社會安全號碼的檔案 (SSN)
- 保護包含 PHI 的檔案下載檔 (受保護的健康情況資訊)
- 使用敏感度標籤「非常敏感」封鎖檔案下載
在這種情況下,不會掃描大於 30 MB 或超過 100 萬個字元的檔案。 即使無法掃描數據原則設定,這些檔案仍會根據永遠套用選取的動作來處理。
下表列出更多和未掃描的檔案範例:
| 檔案描述 | 已掃描/未掃描 |
|---|---|
| TXT 檔案、1 MB 大小和 1 百萬個字元 | 掃描 |
| TXT 檔案、2 MB 大小和 2 百萬個字元 | 未掃描 |
| 由影像和文字、4 MB 大小和 400-K 個字元組成的 Word 檔案 | 掃描 |
| 由影像和文字、4 MB 大小和 2 百萬個字元組成的 Word 檔案 | 未掃描 |
| 由影像和文字組成的 Word 檔案 ,大小為 40 MB 和 400-K 個字元 | 未掃描 |
反向 Proxy 所服務的會話限制
本節列出僅適用於反向 Proxy 所提供服務之會話的限制。 Microsoft Edge 的使用者可以受益於瀏覽器內保護,而不是使用反向 Proxy,因此不會受到這些限制的影響。
內建應用程式和瀏覽器外掛程式限制
適用於雲端的 Defender 應用程式條件式存取應用程控會修改基礎應用程式程式代碼,因此目前不支援內建的應用程式或瀏覽器延伸模組。
身為系統管理員,您可能會想要定義無法強制執行原則時的預設系統行為,選擇允許存取或完全封鎖它。
內容遺失限制
在下列應用程式中,我們遇到流覽至連結的案例可能會導致連結的完整路徑遺失,且使用者通常會登陸應用程式首頁:
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- 來自 Meta 的工作場所
- ServiceNow
檔案上傳限制
如果套用要封鎖或監視敏感性檔案上傳的會話原則,則在下列案例中,用戶嘗試使用 拖放 來上傳檔案或資料夾,會封鎖檔案和資料夾的完整清單:
- 包含至少一個檔案和至少一個子資料夾的資料夾
- 包含多個子資料夾的資料夾
- 至少選取一個檔案和至少一個資料夾
- 選取多個資料夾
下表列出定義包含 PII 至 OneDrive 原則之檔案的封鎖上傳時的結果範例:
| 案例 | 結果 |
|---|---|
| 用戶嘗試使用拖放來上傳 200 個不區分大小寫的檔案。 | 檔案遭到封鎖 |
| 用戶嘗試上傳 200 個檔案的選取範圍、有些是敏感性檔案,有些則不是使用 [檔案上傳] 對話方塊。 | 上傳一般機密檔案 機密檔案遭到封鎖 |
| 用戶嘗試上傳 200 個檔案的選取範圍、有些檔案很敏感,有些則不會使用拖放。 | 已封鎖完整的檔案集 |