Известные ограничения управления условным доступом приложений
В этой статье описываются известные ограничения для работы с Microsoft Defender для облака приложениями условного доступа.
Чтобы узнать больше об ограничениях безопасности, обратитесь в нашу службу поддержки.
Максимальный размер файла для политик сеансов
Политики сеансов можно применять к файлам с максимальным размером 50 МБ. Например, этот максимальный размер файла имеет значение при определении политик для отслеживания загрузки файлов из OneDrive, блокировки обновлений файлов или блокировки загрузки или отправки вредоносных файлов.
В таких случаях обязательно охватить файлы размером более 50 МБ с помощью параметров клиента, чтобы определить, разрешен ли файл или заблокирован независимо от политик сопоставления.
В XDR в Microsoft Defender выберите > поведение управления > условным доступом к приложениям по умолчанию для управления параметрами более 50 МБ.
Максимальный размер файла для политик сеансов на основе проверки содержимого защиты информации
Если применяется политика сеанса для блокировки отправки или скачивания файлов на основе проверки содержимого защиты информации, проверка выполняется только на файлах меньше 30 МБ и с менее чем 1 миллионами символов.
Например, можно определить одну из следующих политик сеансов:
- Блокировать отправку файлов для файлов, содержащих номер социального страхования (SSN)
- Защита скачивания файлов, содержащих PHI (защищенная информация о работоспособности)
- Блокировать скачивание файла с меткой конфиденциальности "очень конфиденциально"
В таких случаях файлы размером более 30 МБ или с более чем 1 миллионами символов не сканируются. Эти файлы обрабатываются в соответствии с действием Always apply the selected, даже если данные не могут быть проверены параметром политики.
В следующей таблице перечислены дополнительные примеры файлов, которые не сканируются.
| Описание файла | Отсканированное или не сканированное |
|---|---|
| TXT-файл, размер 1 МБ и 1 миллион символов | Отсканированных |
| TXT-файл, размер 2 МБ и 2 миллиона символов | Не сканировано |
| Файл Word, состоящий из изображений и текста, размером 4 МБ и 400 K символов | Отсканированных |
| Файл Word, состоящий из изображений и текста, размером 4 МБ и 2 миллиона символов | Не сканировано |
| Файл Word, состоящий из изображений и текста, размер 40 МБ и 400 K символов | Не сканировано |
Файлы, зашифрованные метками конфиденциальности, не поддерживаются
Для клиентов, которые обеспечивают совместное редактирование файлов, зашифрованных с метками конфиденциальности: политика сеанса для блокировки отправки файлов\скачивание, которая использует фильтры меток или содержимое файла, будет работать на основе параметров политики "Всегда применять выбранное действие, даже если данные не могут быть сканированы", в случае файла с зашифрованной меткой конфиденциальности.
Например: если политика сеанса настроена, чтобы предотвратить скачивание файлов, содержащих номера кредитной карты, и установите значение "Всегда применять выбранное действие, даже если данные не могут быть сканированы": любой файл с зашифрованной меткой конфиденциальности будет заблокирован для скачивания независимо от его содержимого.
Внешние пользователи B2B в Teams
Внешние пользователи совместной работы B2B не защищены политиками сеансов в приложении Teams.
Ограничения для сеансов, обслуживаемых обратным прокси-сервером
В этом разделе перечислены ограничения, которые применяются только к сеансам, обслуживаемым обратным прокси-сервером. Пользователи Microsoft Edge могут воспользоваться защитой в браузере вместо использования обратного прокси-сервера и, следовательно, не влияют на эти ограничения.
Встроенные ограничения подключаемых модулей приложения и браузера
Defender для облака управление приложениями условного доступа изменяет базовый код приложения и поэтому не поддерживает встроенные приложения или расширения браузера.
Как администратор может потребоваться определить системное поведение по умолчанию, если политика не может быть применена, выбрав разрешить доступ или полностью заблокировать его.
Ограничения потери контекста
В следующих приложениях мы столкнулись с сценариями, в которых переход к ссылке может привести к потере полного пути ссылки и, как правило, пользователя приземляется на домашней странице приложения:
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Рабочая область из мета
- ServiceNow
- Workday
Ограничения отправки файлов
Если применяется политика сеанса для блокировки или отслеживания отправки конфиденциальных файлов, то в следующих сценариях пользователь пытается отправить файлы или папки с помощью перетаскивания , блокирует полный список файлов и папок:
- Папка, содержащая по крайней мере один файл и по крайней мере одну вложенную папку
- Папка, содержащая несколько вложенных папок
- Выбор по крайней мере одного файла и по крайней мере одной папки
- Выбор нескольких папок
В следующей таблице перечислены примеры результатов, когда определена блокировка отправки файлов, содержащих piI в Политику OneDrive :
| Сценарий | Результат |
|---|---|
| Пользователь пытается отправить выбор из 200 нечувствительных файлов с помощью перетаскивания. | Файлы блокируются |
| Пользователь пытается отправить выбор из 200 файлов, некоторые из них чувствительны, и некоторые из них не используют диалоговое окно отправки файлов. | Файлы с учетом mon отправляются Конфиденциальные файлы блокируются |
| Пользователь пытается отправить выбор из 200 файлов, некоторые из них чувствительны, и некоторые из них не используют перетаскивание. | Полный набор файлов заблокирован |