本文說明在 Microsoft Defender for Cloud Apps 中使用條件式存取應用程控的已知限制。
若要深入瞭解安全性限制,請連絡我們的支援小組。
會話原則的檔案大小上限
您可以在大小上限為 50 MB 的檔案上套用會話原則。 例如,當您定義原則來監視 OneDrive 的檔案下載、封鎖檔案更新,或封鎖下載或上傳惡意代碼檔案時,這個檔案大小上限是相關的。
在這類情況下,請務必使用租用戶設定來涵蓋大於 50 MB 的檔案,以判斷檔案是允許還是封鎖,而不論任何相符的原則為何。
在 Microsoft Defender 全面偵測回應 中,選取> [設定條件式存取應用程控>預設行為] 來管理大於 50 MB 之檔案的設定。
以內容檢查為基礎的會話原則檔案大小上限
當您套用會話原則來根據內容檢查封鎖檔案上傳或下載時,只會對小於 30 MB 且字元少於 1 百萬個字元的檔案執行檢查。
例如,您可以定義下列其中一個會話原則:
- 封鎖上傳包含社會安全號碼的檔案
- 保護下載包含受保護健康情況信息的檔案
- 封鎖下載敏感度標籤為「非常敏感」的檔案
在這種情況下,不會掃描大於 30 MB 或超過 1 百萬個字元的檔案。 即使無法掃描數據的原則設定,也會根據 [ 永遠套用選取的動作 ] 來處理這些檔案。
下表列出更多已掃描和未掃描的檔案範例:
| 檔案描述 | 已掃描 |
|---|---|
| TXT 檔案,1 MB 大小和 1 百萬個字元 | 是 |
| TXT 檔案,2 MB 大小和 2 百萬個字元 | 否 |
| 由影像和文字、4 MB 大小和 40 萬個字元組成的 Word 檔案 | 是 |
| 由影像和文字、4 MB 大小和 2 百萬個字元組成的 Word 檔案 | 否 |
| 由影像和文字、40 MB 大小和 40 萬個字元組成的 Word 檔案 | 否 |
使用敏感度標籤加密的檔案
對於啟用以敏感度標籤加密之檔案共同撰寫的租使用者,封鎖依賴標籤篩選或檔案內容之檔案上傳/下載的會話原則會根據 [永遠套用選取的動作] 原則設定運作, 即使無法掃描數據也一 樣。
例如,假設會話原則已設定為防止下載包含信用卡號碼的檔案,並且設定為 [ 永遠套用選取的動作],即使無法掃描數據也一樣。 任何具有加密敏感度標籤的檔案都會遭到封鎖而無法下載,而不論其內容為何。
Teams 中的外部 B2B 使用者
會話原則不會保護外部企業對企業 (B2B) Microsoft Teams 應用程式中的共同作業使用者。
具有非互動式令牌的會話控件
某些應用程式會利用非互動式存取令牌,以利在相同套件或領域內的應用程式之間順暢地重新導向。 當一個應用程式上線至條件式存取應用程控,而另一個應用程式未上線時,會話控件可能不會如預期般強制執行。 例如,如果 Teams 用戶端擷取 SharePoint Online (SPO) 的非互動式令牌,它可以在 SPO 中起始作用中的會話,而不會提示使用者重新驗證。 因此,會話控制機制無法在這些會話上攔截或強制執行原則。 為了確保一致的強制執行,建議您將所有相關應用程式上線,例如 Teams 和 SPO。
IPv6 限制
存取和會話原則僅支援 IPv4。 如果透過 IPv6 提出要求,則不會套用以 IP 為基礎的原則規則。 使用反向 Proxy 和 Edge 瀏覽器內保護時,適用此限制。
反向 Proxy 所提供會話的限制
下列限制僅適用於反向 Proxy 所服務的會話。 Microsoft Edge 的使用者可以受益於瀏覽器內保護,而不是使用反向 Proxy,因此這些限制不會影響他們。
內建應用程式和瀏覽器外掛程式限制
中的條件式存取應用程控 Defender for Cloud Apps 修改基礎應用程式程序代碼。 它目前不支援內建應用程式或瀏覽器擴充功能。
身為系統管理員,您可能想要定義無法強制執行原則時的預設系統行為。 您可以選擇允許存取或完全封鎖存取。
內容遺失限制
在下列應用程式中,我們遇到瀏覽連結可能會導致連結完整路徑遺失的案例。 一般而言,用戶會登陸應用程式的首頁。
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- 來自 Meta 的工作場所
- ServiceNow
- Workday
- Box
檔案上傳限制
如果您套用會話原則來封鎖或監視敏感性檔案的上傳,則用戶嘗試使用拖放作業上傳檔案或資料夾會封鎖下列案例中檔案和資料夾的完整清單:
- 包含至少一個檔案和至少一個子資料夾的資料夾
- 包含多個子資料夾的資料夾
- 至少選取一個檔案和至少一個資料夾
- 選取多個資料夾
下表列出當您定義 封鎖將包含個人資料的檔案上傳至 OneDrive 原則時的範例結果:
| 案例 | 結果 |
|---|---|
| 用戶嘗試使用拖放作業來上傳 200 個不區分檔案的選取範圍。 | 檔案遭到封鎖。 |
| 用戶嘗試使用 [檔案上傳] 對話框來上傳 200 個檔案的選取範圍。 有些是機密的,有些則不敏感。 | 會上傳不區分大小寫的檔案。 系統會封鎖敏感性檔案。 |
| 用戶嘗試使用拖放作業來上傳 200 個檔案的選取範圍。 有些是機密的,有些則不敏感。 | 系統會封鎖整組檔案。 |
Edge 瀏覽器內保護所提供會話的限制
下列限制僅適用於使用Edge瀏覽器內保護所提供的會話。
當使用者按兩下 [在Edge中繼續] 切換至Edge時,深層鏈接會遺失
在 Edge 以外的瀏覽器中啟動工作階段的使用者,會按兩下 [在 Edge 中繼續] 按鈕來提示切換至 Edge。
如果 URL 指向受保護應用程式內的資源,則會將用戶導向至 Edge 中應用程式的首頁。
當使用者切換至Edge工作配置檔時,深層鏈接會遺失
在Edge中以工作配置檔以外的設定檔啟動工作階段的使用者,會按兩下 [切換至工作設定檔] 按鈕,提示切換至工作配置檔。
如果 URL 指向受保護應用程式內的資源,則會將用戶導向至 Edge 中應用程式的首頁。