條件式存取應用程控中的已知限制
本文說明在 適用於雲端的 Microsoft Defender Apps 中使用條件式存取應用程控的已知限制。
若要深入瞭解安全性限制,請連絡我們的支援小組。
會話原則的檔案大小上限
您可以在大小上限為 50 MB 的檔案上套用會話原則。 例如,當您定義原則來監視 OneDrive 的檔案下載、封鎖檔案更新,或封鎖下載或上傳惡意代碼檔案時,這個檔案大小上限是相關的。
在這種情況下,請務必使用租用戶設定來涵蓋大於 50 MB 的檔案,不論是否有任何相符的原則,都允許或封鎖檔案。
在 Microsoft Defender 全面偵測回應 中,選取 [設定>條件式存取應用程控>] [預設行為],以管理大於 50 MB 的檔案設定。
以內容檢查為基礎的會話原則檔案大小上限
當您套用會話原則以根據內容檢查封鎖檔案上傳或下載時,只會在小於 30 MB 且少於 1 百萬個字元的檔案上執行檢查。
例如,您可以定義下列其中一個會話原則:
- 封鎖上傳包含社會安全號碼的檔案
- 保護包含受保護健康情況資訊的檔案下載
- 封鎖下載具有「非常敏感」敏感度標籤的檔案
在這種情況下,不會掃描大於 30 MB 或超過 100 萬個字元的檔案。 即使無法掃描數據原則設定,這些檔案仍會根據永遠套用選取的動作來處理。
下表列出更多和未掃描的檔案範例:
| 檔案描述 | 掃描 |
|---|---|
| TXT 檔案、1 MB 大小和 1 百萬個字元 | Yes |
| TXT 檔案、2 MB 大小和 2 百萬個字元 | No |
| 由影像和文字、4 MB 大小和 400K 個字元組成的 Word 檔案 | Yes |
| 由影像和文字、4 MB 大小和 2 百萬個字元組成的 Word 檔案 | No |
| 由影像和文字組成的 Word 檔案,大小為 40 MB 和 400K 個字元 | No |
使用敏感度標籤加密的檔案
對於針對使用敏感度標籤加密的檔案啟用共同撰寫的租使用者,即使無法掃描數據原則設定,仍會根據永遠套用選取動作來操作依賴標籤篩選或檔案內容的檔案上傳/下載會話原則。
例如,假設會話原則已設定為防止下載包含信用卡號碼的檔案,並且設定為 [永遠套用選取的動作],即使無法掃描數據也一樣。 不論其內容為何,任何具有加密敏感度卷標的檔案都會遭到封鎖而無法下載。
Teams 中的外部 B2B 使用者
會話原則不會保護Microsoft Teams 應用程式中的外部企業對企業 (B2B) 共同作業使用者。
反向 Proxy 所提供之會話的限制
下列限制僅適用於反向 Proxy 所服務的會話。 Microsoft Edge 的使用者可以受益於瀏覽器內保護,而不是使用反向 Proxy,因此這些限制不會影響它們。
內建應用程式和瀏覽器外掛程式限制
適用於雲端的 Defender Apps 中的條件式存取應用程控會修改基礎應用程式程式代碼。 它目前不支援內建的應用程式或瀏覽器擴充功能。
身為系統管理員,您可能會想要定義無法強制執行原則時的預設系統行為。 您可以選擇允許存取或完全封鎖它。
內容遺失限制
在下列應用程式中,我們發現瀏覽至連結可能會導致連結的完整路徑遺失的情況。 使用者通常會登陸應用程式首頁。
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Workplace from Meta
- ServiceNow
- Workday
檔案上傳限制
如果您套用會話原則來封鎖或監視敏感性檔案的上傳,用戶會嘗試使用拖放作業來上傳檔案或資料夾,以封鎖下列案例中檔案和資料夾的完整清單:
- 包含至少一個檔案和至少一個子資料夾的資料夾
- 包含多個子資料夾的資料夾
- 至少選取一個檔案和至少一個資料夾
- 選取多個資料夾
下表列出範例結果,當您定義 將包含個人資料的檔案封鎖上傳至 OneDrive 原則時:
| 案例 | 結果 |
|---|---|
| 用戶嘗試使用拖放作業來上傳 200 個不區分大小寫的檔案。 | 檔案遭到封鎖。 |
| 用戶嘗試使用檔案上傳對話框來上傳 200 個檔案的選取專案。 有些很敏感,有些則不敏感。 | 上傳不區分的檔案。 機密檔案會遭到封鎖。 |
| 用戶嘗試使用拖放作業來上傳 200 個檔案的選取範圍。 有些很敏感,有些則不敏感。 | 已封鎖完整的檔案集。 |