Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano znane ograniczenia dotyczące pracy z kontrolą aplikacji dostępu warunkowego w Microsoft Defender for Cloud Apps.
Aby dowiedzieć się więcej na temat ograniczeń zabezpieczeń, skontaktuj się z naszym zespołem pomocy technicznej.
Maksymalny rozmiar pliku dla zasad sesji
Zasady sesji można zastosować do plików o maksymalnym rozmiarze 50 MB. Na przykład ten maksymalny rozmiar pliku jest odpowiedni podczas definiowania zasad monitorowania pobierania plików z usługi OneDrive, blokowania aktualizacji plików lub blokowania pobierania lub przekazywania plików złośliwego oprogramowania.
W takich przypadkach należy uwzględnić pliki o rozmiarze większym niż 50 MB przy użyciu ustawień dzierżawy, aby określić, czy plik jest dozwolony, czy zablokowany, niezależnie od dopasowanych zasad.
W Microsoft Defender XDR wybierz pozycję Ustawienia> Kontroladostępu warunkowego Domyślne zachowanie kontroli> aplikacji, aby zarządzać ustawieniami plików o rozmiarze większym niż 50 MB.
W przypadku ochrony przeglądarki Edge w przeglądarce, jeśli sesja użytkownika końcowego jest chroniona, a zasady są ustawione na wartość "Zawsze stosuj wybraną akcję, nawet jeśli nie można skanować danych", blokowany jest dowolny plik większy niż 50 MB.
Maksymalny rozmiar pliku dla zasad sesji na podstawie inspekcji zawartości
W przypadku zastosowania zasad sesji do blokowania przekazywania lub pobierania plików na podstawie inspekcji zawartości inspekcja jest przeprowadzana tylko w przypadku plików mniejszych niż 30 MB i zawierających mniej niż 1 milion znaków.
Można na przykład zdefiniować jedną z następujących zasad sesji:
- Blokuj przekazywanie plików zawierających numery ubezpieczenia społecznego
- Ochrona pobierania plików zawierających chronione informacje o kondycji
- Blokuj pobieranie plików, które mają etykietę poufności "bardzo wrażliwą"
W takich przypadkach pliki, które są większe niż 30 MB lub mają więcej niż 1 milion znaków, nie są skanowane. Te pliki są traktowane zgodnie z akcją Zawsze stosuj wybraną akcję, nawet jeśli nie można przeskanować danych .
W poniższej tabeli wymieniono więcej przykładów plików, które są i nie są skanowane:
| Opis pliku | Skanowane |
|---|---|
| Plik TXT, rozmiar 1 MB i 1 milion znaków | Tak |
| Plik TXT, rozmiar 2 MB i 2 miliony znaków | Nie |
| Plik Word składający się z obrazów i tekstu, rozmiaru 4 MB i 400 000 znaków | Tak |
| Plik Word składający się z obrazów i tekstu, rozmiaru 4 MB i 2 milionów znaków | Nie |
| Plik Word składający się z obrazów i tekstu, rozmiaru 40 MB i 400 000 znaków | Nie |
Pliki zaszyfrowane przy użyciu etykiet poufności
W przypadku dzierżaw, które umożliwiają współtworzynie plików zaszyfrowanych przy użyciu etykiet poufności, zasady sesji blokujące przekazywanie/pobieranie plików oparte na filtrach etykiet lub zawartości pliku będą działać na podstawie ustawienia zasad Zawsze stosuj wybraną akcję, nawet jeśli nie można skanować danych .
Załóżmy na przykład, że zasady sesji są skonfigurowane tak, aby uniemożliwiały pobieranie plików zawierających numery kart kredytowych i ustawiono opcję Zawsze stosuj wybraną akcję, nawet jeśli nie można skanować danych. Pobieranie dowolnego pliku z zaszyfrowaną etykietą poufności jest blokowane niezależnie od jego zawartości.
Zewnętrzni użytkownicy B2B w usłudze Teams
Zasady sesji nie chronią zewnętrznych użytkowników współpracy między firmami (B2B) w aplikacjach usługi Microsoft Teams.
Kontrolki sesji z tokenami nieinterakcyjnymi
Niektóre aplikacje korzystają z nieinterakcyjnych tokenów dostępu, aby ułatwić bezproblemowe przekierowywanie między aplikacjami w tym samym pakiecie lub w tym samym obszarze. Gdy jedna aplikacja jest dołączona do kontroli aplikacji dostępu warunkowego, a druga nie, kontrolki sesji mogą nie być wymuszane zgodnie z oczekiwaniami. Jeśli na przykład klient usługi Teams pobierze token nieinterakcyjny dla usługi SharePoint Online (SPO), może zainicjować aktywną sesję w spo bez monitowania użytkownika o ponowne uwierzytelnienie. W związku z tym mechanizm kontroli sesji nie może przechwytywać ani wymuszać zasad w tych sesjach. Aby zapewnić spójne wymuszanie, zaleca się dołączanie wszystkich odpowiednich aplikacji, takich jak Teams, wraz ze spo.
Ograniczenia protokołu IPv6
Zasady dostępu i sesji obsługują tylko protokół IPv4. Jeśli żądanie jest wysyłane za pośrednictwem protokołu IPv6, reguły zasad oparte na adresach IP nie są stosowane. To ograniczenie ma zastosowanie zarówno w przypadku korzystania z odwrotnego serwera proxy, jak i ochrony przeglądarki Edge w przeglądarce.
Ograniczenia dotyczące sesji, które służą odwrotnemu serwerowi proxy
Poniższe ograniczenia dotyczą tylko sesji obsługiwanych przez zwrotny serwer proxy. Użytkownicy przeglądarki Microsoft Edge mogą korzystać z ochrony w przeglądarce, zamiast korzystać z odwrotnego serwera proxy, więc te ograniczenia nie mają na nie wpływu.
Ograniczenia wbudowanej aplikacji i wtyczki przeglądarki
Kontrola aplikacji dostępu warunkowego w Defender for Cloud Apps modyfikuje bazowy kod aplikacji. Obecnie nie obsługuje ona wbudowanych aplikacji ani rozszerzeń przeglądarki.
Jako administrator możesz zdefiniować domyślne zachowanie systemu, gdy nie można wymusić zasad. Możesz zezwolić na dostęp lub całkowicie go zablokować.
Ograniczenia dotyczące utraty kontekstu
W następujących aplikacjach napotkaliśmy scenariusze, w których przejście do linku może spowodować utratę pełnej ścieżki łącza. Zazwyczaj użytkownik ląduje na stronie głównej aplikacji.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Miejsce pracy z meta
- ServiceNow
- Workday
- Pudełko
Ograniczenia przekazywania plików
Jeśli zastosujesz zasady sesji do blokowania lub monitorowania przekazywania poufnych plików, użytkownik próbuje przekazać pliki lub foldery za pomocą operacji przeciągania i upuszczania bloku pełnej listy plików i folderów w następujących scenariuszach:
- Folder zawierający co najmniej jeden plik i co najmniej jeden podfolder
- Folder zawierający wiele podfolderów
- Wybór co najmniej jednego pliku i co najmniej jednego folderu
- Wybór wielu folderów
W poniższej tabeli przedstawiono przykładowe wyniki definiowania zasad Blokuj przekazywanie plików zawierających dane osobowe do usługi OneDrive :
| Scenariusz | Result (Wynik) |
|---|---|
| Użytkownik próbuje przekazać wybór 200 nieczułych plików przy użyciu operacji przeciągania i upuszczania. | Pliki są blokowane. |
| Użytkownik próbuje przekazać wybór 200 plików przy użyciu okna dialogowego przekazywania plików. Niektóre są wrażliwe, a niektóre nie. | Pliki niewrażliwe są przekazywane. Pliki poufne są blokowane. |
| Użytkownik próbuje przekazać wybór 200 plików przy użyciu operacji przeciągania i upuszczania. Niektóre są wrażliwe, a niektóre nie. | Pełny zestaw plików jest zablokowany. |
Ograniczenia dotyczące sesji obsługiwanych z ochroną przeglądarki Edge w przeglądarce
Poniższe ograniczenia dotyczą tylko sesji obsługiwanych z ochroną przeglądarki Edge w przeglądarce.
Link głęboki jest tracony, gdy użytkownik przełącza się do przeglądarki Edge, klikając pozycję "Kontynuuj w przeglądarce Edge"
Użytkownik, który uruchamia sesję w przeglądarce innej niż Przeglądarka Edge, jest monitowany o przełączenie się do przeglądarki Edge, klikając przycisk "Kontynuuj w przeglądarce Edge".
Jeśli adres URL wskazuje zasób w zabezpieczonej aplikacji, użytkownik zostanie przekierowany do strony głównej aplikacji w przeglądarce Edge.
Link głęboki jest tracony, gdy użytkownik przełącza się do profilu służbowego przeglądarki Edge
Użytkownik, który rozpoczyna sesję w przeglądarce Edge z profilem innym niż jego profil służbowy, jest monitowany o przełączenie się do swojego profilu służbowego, klikając przycisk "Przełącz do profilu służbowego".
Jeśli adres URL wskazuje zasób w zabezpieczonej aplikacji, użytkownik zostanie przekierowany do strony głównej aplikacji w przeglądarce Edge.
Nieaktualne wymuszanie zasad sesji za pomocą przeglądarki Edge
Gdy zasady sesji są wymuszane przy użyciu ochrony przeglądarki Edge w przeglądarce, a użytkownik zostanie później usunięty z odpowiednich zasad dostępu warunkowego, oryginalne wymuszanie sesji może nadal być utrwalane.
Przykładowy scenariusz:
Użytkownikowi pierwotnie przypisano zasady urzędu certyfikacji dla usługi Salesforce wraz z zasadami sesji Defender for Cloud Apps w celu zablokowania pobierania plików. W rezultacie pobieranie zostało zablokowane, gdy użytkownik uzyskiwał dostęp do usługi Salesforce w przeglądarce Edge.
Mimo że administrator później usunął zasady urzędu certyfikacji, użytkownik nadal doświadcza bloku pobierania w przeglądarce Edge z powodu buforowanych danych zasad.
Opcje ograniczania ryzyka:
Opcja 1. Automatyczne oczyszczanie
- Dodaj użytkownika/aplikację z powrotem do zakresu zasad urzędu certyfikacji.
- Usuń odpowiednie zasady sesji Defender for Cloud Apps.
- Poczekaj, aż użytkownicy będą uzyskiwać dostęp do aplikacji przy użyciu przeglądarki Edge. Spowoduje to automatyczne wyzwolenie usuwania zasad.
- Usuń użytkownika/aplikację z zakresu zasad urzędu certyfikacji.
Opcja 2. Usuwanie buforowanego pliku zasad (ręczne czyszczenie)
- Przejdź do: C:\Users<username>\AppData\Local\Microsoft\Edge\
- Usuń plik: mda_store.1.txt
Opcja 3. Usuwanie profilu służbowego w przeglądarce Edge (ręczne czyszczenie)
- Otwórz przeglądarce Edge.
- Przejdź do pozycji Ustawienia profilu.
- Usuń profil służbowy skojarzony z nieaktualnymi zasadami sesji.
Te kroki wymuszą odświeżenie zasad i rozwiążą problemy z wymuszaniem związane z nieaktualnymi zasadami sesji.