Limitaciones conocidas del control de aplicaciones de acceso condicional

En este artículo se describen las limitaciones conocidas para el uso del control de aplicaciones de acceso condicional en Microsoft Defender for Cloud Apps.

Para obtener más información sobre las limitaciones de seguridad, póngase en contacto con nuestro equipo de soporte.

Tamaño máximo de archivo para las directivas de sesión

Puede aplicar directivas de sesión en archivos que tengan como máximo 50 MB. Por ejemplo, este tamaño máximo de archivo tiene sentido cuando se definen directivas para controlar las descargas de archivos a través de OneDrive, bloquear actualizaciones de archivos o bloquear descargas o cargas de archivos malintencionados.

En casos como estos, asegúrese de tener presentes los archivos que tengan más de 50 MB mediante la configuración del inquilino para determinar si el archivo está permitido o bloqueado, independientemente de si lo rigen las mismas directivas.

En Microsoft Defender XDR, seleccione Configuración>Control de aplicaciones de acceso condicional>Comportamiento predeterminado para ajustar la configuración de los archivos de más de 50 MB.

Tamaño máximo de archivo para las directivas de sesión en función de la inspección de contenido

Cuando se aplica una directiva de sesión para bloquear las cargas o descargas de archivos en función de la inspección de contenido, la inspección se realiza solo en archivos de menos de 30 MB y con menos de 1 millón de caracteres.

Por ejemplo, puede definir una de las siguientes políticas de sesión:

  • Bloquear la carga de archivos que contienen números de la Seguridad Social
  • Proteger la descarga de archivos que contengan información sanitaria protegida
  • Bloquear la descarga de archivos que tienen una etiqueta de confidencialidad de "muy confidencial"

En tales casos, no se analizan los archivos de más de 30 MB o con más de 1 millón de caracteres. Estos archivos se tratarán de acuerdo con la opción de la directiva Aplicar siempre la acción seleccionada aunque los datos no se puedan examinar.

En la tabla siguiente aparecen más ejemplos de archivos que se examinan y que no:

Descripción del archivo Examinado
Un archivo TXT,, que ocupa 1 MB y tiene 1 millón de caracteres
Un archivo TXT,, que ocupa 2 MB y tiene 2 millones de caracteres No
Un archivo de Word compuesto por imágenes y texto, que ocupa 4 MB y tiene 400 000 caracteres
Un archivo de Word compuesto por imágenes y texto, que ocupa 4 MB y tiene 2 millones de caracteres No
Un archivo de Word compuesto por imágenes y texto, que ocupa 4 MB y tiene 400 000 caracteres No

Archivos cifrados con etiquetas de confidencialidad

Para los inquilinos que permiten la coautoría de archivos cifrados con etiquetas de confidencialidad, una directiva de sesión para bloquear la carga y descarga de archivos que se base en filtros de etiquetas o en el contenido del archivo funcionará según la configuración de la directiva de Aplicar siempre la acción seleccionada aunque no se puedan analizar los datos.

Por ejemplo, supongamos que una directiva de sesión está configurada para evitar la descarga de archivos que contienen números de tarjeta de crédito y se establece en Aplicar siempre la acción seleccionada aunque no se puedan analizar los datos. Cualquier archivo con una etiqueta de confidencialidad cifrada no se puede descargar, independientemente de su contenido.

Usuarios de B2B externos en Teams

Las directivas de sesión no protegen a los usuarios externos de colaboración de negocio a negocio (B2B) en aplicaciones de Microsoft Teams.

Limitaciones para las sesiones que sirve el proxy inverso

Las siguientes limitaciones solo se aplican a las sesiones que sirve el proxy inverso. Los usuarios de Microsoft Edge pueden sacar provecho del sistema de protección en el explorador en lugar de usar el proxy inverso, por lo que no se verán afectados por estas limitaciones.

Limitaciones de complementos del explorador y aplicaciones integradas

El control de aplicaciones de acceso condicional en Defender for Cloud Apps modifica el código subyacente de la aplicación. Actualmente no admite aplicaciones integradas ni extensiones de explorador.

Como administrador, es posible que desee definir el comportamiento predeterminado del sistema para cuando no se pueda aplicar una directiva. Puede optar por permitir el acceso o bloquearlo totalmente.

Limitaciones de pérdida de contexto

En las siguientes aplicaciones, hemos encontrado escenarios en los que la exploración a un vínculo podría dar lugar a la pérdida de la ruta de acceso completa del vínculo. Normalmente, el usuario llega a la página principal de la aplicación.

  • ArcGIS
  • GitHub
  • Microsoft Power Automate
  • Microsoft Power Apps
  • Workplace from Meta
  • ServiceNow
  • Workday

Limitaciones de carga de archivos

Si aplica una directiva de sesión para bloquear o supervisar la carga de archivos confidenciales, cuando el usuario intente cargar archivos o carpetas mediante la opción de arrastrar y soltar, se bloqueará la lista entera de archivos y carpetas en los escenarios siguientes:

  • Una carpeta que contiene al menos un archivo y al menos una subcarpeta
  • Una carpeta que contiene varias subcarpetas
  • La selección de al menos un archivo y al menos una carpeta
  • La selección de varias carpetas

En la tabla siguiente figuran los resultados de los ejemplos cuando se define la directiva Bloquear carga de archivos que contienen datos personales en OneDrive:

Escenario Resultado
Un usuario intenta cargar un grupo de 200 archivos con material no confidencial mediante la función de arrastrar y soltar. Los archivos están bloqueados.
El usuario intenta cargar una selección de 200 archivos mediante el cuadro de diálogo de carga de archivos. Algunos son confidenciales y otros no. Los archivos con material no confidencial sí se cargan.

Los archivos confidenciales se bloquean.
Un usuario intenta cargar un grupo de 200 archivos mediante la función de arrastrar y soltar. Algunos son confidenciales y otros no. El grupo completo de archivos se bloquea.