条件访问应用控制已知限制
本文介绍使用 Microsoft Defender for Cloud Apps 条件访问应用控制的已知限制。
若要了解有关安全限制的更多信息,请与我们的支持团队联系。
会话策略的最大文件大小
会话策略可以应用于最大大小为 50 MB 的文件。 例如,在定义策略以监视 OneDrive 中的文件下载、阻止文件更新或阻止下载或上传恶意软件文件时,此最大文件大小是有意义的。
在这些情况下,请确保使用租户设置覆盖大于 50 MB 的文件,以确定允许还是阻止文件,而不考虑任何匹配的策略。
在 Microsoft Defender XDR 中,选择设置>条件访问应用控制>默认行为来管理超过 50 MB 的文件的设置。
基于信息保护内容检查的会话策略的最大文件大小
当应用基于信息保护内容检查阻止文件上传或下载的会话策略时,仅对小于 30 MB 且少于 100 万个字符的文件执行检查。
例如,您可以定义以下会话策略之一:
- 阻止上传包含社会安全号码 (SSN) 的文件
- 保护下载包含 PHI(受保护健康信息)的文件
- 阻止下载具有“非常敏感”敏感度标签的文件
在这种情况下,大于 30 MB 或超过 100 万个字符的文件不会被扫描。 这些文件将根据即使无法扫描数据也始终应用所选操作策略设置进行处理。
下表列出了已扫描和未扫描文件的更多示例:
| 文件说明 | 已扫描/未扫描 |
|---|---|
| TXT 文件,大小为 1 MB,包含 100 万个字符 | 已扫描 |
| TXT 文件,大小为 2 MB,包含 200 万个字符 | 未扫描 |
| 由图像和文本组成的 Word 文件 ,大小为 4 MB,包含 400 K 字符 | 已扫描 |
| 由图像和文本组成的 Word 文件 ,大小为 4 MB,包含 200 万个字符 | 未扫描 |
| 由图像和文本组成的 Word 文件 ,大小为 40 MB,包含 400 K 字符 | 未扫描 |
反向代理提供服务的会话限制
本节列出了仅适用于由反向代理提供服务的会话限制。 Microsoft Edge 的用户可以从浏览器内保护中受益,而不是使用反向代理,因此不受这些限制的影响。
内置应用和浏览器插件限制
Defender for Cloud Apps 条件访问应用控制会修改底层应用程序代码,因此目前不支持内置应用程序或浏览器扩展。
作为管理员,您可能希望在无法强制实施策略时定义默认系统行为,选择允许访问或完全阻止访问。
上下文丢失限制
在以下应用程序中,我们遇到了导航到链接可能会导致链接的完整路径丢失的情况,并且通常情况下,用户会进入应用的主页:
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- 来自 Meta 的工作区
- ServiceNow
文件上传限制
如果应用了阻止或监视敏感文件上传的会话策略,那么在以下情况下,用户尝试使用拖 & 放上传文件或文件夹时,会阻止文件和文件夹的完整列表:
- 包含至少一个文件和至少一个子文件夹的文件夹
- 包含多个子文件夹的文件夹
- 已选项包含至少一个文件和至少一个文件夹
- 已选项包含多个文件夹
下表列出了定义阻止将包含 PII 的文件上传到 OneDrive 策略时的示例结果:
| 应用场景 | 结果 |
|---|---|
| 用户尝试使用拖放方式上传 200 个非敏感文件。 | 文件被阻止 |
| 用户尝试使用文件上传对话框上传 200 个文件,其中有些是敏感文件,有些不是。 | 已上传非敏感文件 阻止敏感文件 |
| 用户尝试使用拖放方式上传 200 个文件,其中有些是敏感文件,有些不是敏感文件。 | 整套文件被阻止 |