Limitations connues dans le contrôle d'application de l'accès conditionnel.
Cet article décrit les limitations connues pour travailler avec le contrôle d'application conditionnel dans Microsoft Defender for Cloud Apps.
Pour en savoir plus sur les limites de sécurité, contactez notre équipe d’assistance.
Taille maximale des fichiers pour les stratégies de session
Vous pouvez appliquer des stratégies de session sur des fichiers dont la taille maximale est de 50 Mo. Par exemple, cette taille maximale de fichier est pertinente lorsque vous définissez des stratégies pour surveiller les téléchargements de fichiers depuis OneDrive, bloquer les mises à jour de fichiers ou bloquer les téléchargements ou les mises en ligne de fichiers de logiciels malveillants.
Dans des cas comme celui-ci, veillez à couvrir les fichiers dont la taille est supérieure à 50 Mo en utilisant les paramètres du locataire pour déterminer si le fichier est autorisé ou bloqué, indépendamment des stratégies correspondantes.
Dans Microsoft Defender XDR, sélectionnez Paramètres>Contrôle de l'accès conditionnel aux applications>Comportement par défaut pour gérer les paramètres des fichiers dont la taille est supérieure à 50 Mo.
Taille maximale des fichiers pour les stratégies de session basées sur l'inspection du contenu
Lorsque vous appliquez une stratégie de session pour bloquer les chargements ou les téléchargements de fichiers en fonction de l'inspection du contenu, l'inspection n'est effectuée que sur les fichiers dont la taille est inférieure à 30 Mo et qui comportent moins d'un million de caractères.
Par exemple, vous pouvez définir l’une des stratégies de session suivantes :
- Bloquer le chargement de fichiers contenant des numéros de sécurité sociale
- Protéger le téléchargement de fichiers contenant des informations de santé protégées
- Bloquer le téléchargement de fichiers dont le label de sensibilité est « très sensible ».
Dans ce cas, les fichiers dont la taille est supérieure à 30 Mo ou qui comportent plus d'un million de caractères ne sont pas analysés. Ces fichiers sont traités conformément à la stratégie Toujours appliquer l’action sélectionnée même si les données ne peuvent pas être analysées.
Le tableau suivant présente d’autres exemples de fichiers qui sont ou ne sont pas analysés :
| Description du fichier | Analysé |
|---|---|
| Un fichier TXT, d’une taille de 1 Mo et d’un million de caractères | Oui |
| Un fichier TXT, d’une taille de 2 Mo et de 2 millions de caractères | Non |
| Un fichier Word composé d'images et de texte, d'une taille de 4 Mo et de 400 000 caractères | Oui |
| Un fichier Word composé d’images et de texte, d’une taille de 4 Mo et de 2 millions de caractères | Non |
| Un fichier Word composé d'images et de texte, d'une taille de 40 Mo et de 400 000 caractères. | Non |
Fichiers chiffrés avec des étiquettes de sensibilité
Pour les locataires qui activent la coautorisation pour les fichiers chiffrés avec des étiquettes de sensibilité, une stratégie de session visant à bloquer le téléchargement de fichiers qui s'appuie sur des filtres d'étiquettes ou sur le contenu des fichiers fonctionnera sur la base du paramètre de stratégie Toujours appliquer l'action sélectionnée même si les données ne peuvent pas être analysées.
Par exemple, supposons qu'une stratégie de session soit configurée pour empêcher le téléchargement de fichiers contenant des numéros de carte de crédit et qu'elle soit définie sur Toujours appliquer l'action sélectionnée même si les données ne peuvent pas être analysées. Le téléchargement de tout fichier comportant une étiquette de sensibilité chiffrée est bloqué, quel que soit son contenu.
Utilisateurs B2B externes dans Teams
Les stratégies de session ne protègent pas les utilisateurs externes de collaboration interentreprises (B2B) dans les applications Microsoft Teams.
Limitations pour les sessions desservies par le proxy inverse
Les limitations suivantes s'appliquent uniquement aux sessions que le proxy inverse sert. Les utilisateurs de Microsoft Edge peuvent bénéficier d'une protection dans le navigateur au lieu d'utiliser le proxy inverse, ces limitations ne les concernent donc pas.
Limitations des applications intégrées et des plug-ins de navigateur.
Le contrôle des apps à accès conditionnel dans Defender for Cloud Apps modifie le code de l'application sous-jacente. Il ne prend actuellement pas en charge les applications intégrées ou les extensions de navigateur.
En tant qu'administrateur, vous pouvez vouloir définir un comportement par défaut du système lorsqu'une stratégie ne peut pas être appliquée. Vous pouvez choisir d'autoriser l'accès ou de le bloquer totalement.
Limites de la perte de contexte
Dans les applications suivantes, nous avons rencontré des scénarios dans lesquels le fait de parcourir un lien pouvait entraîner la perte du chemin d'accès complet à ce lien. En général, l'utilisateur arrive sur la page d'accueil de l'application.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Workplace de Meta
- ServiceNow
- Workday
Limitations du téléchargement de fichiers
Si vous appliquez une stratégie de session pour bloquer ou surveiller le chargement de fichiers sensibles, les tentatives de l'utilisateur de charger des fichiers ou des dossiers à l'aide d'une opération de glisser-déposer bloquent la liste complète des fichiers et des dossiers dans les scénarios suivants :
- Un dossier contenant au moins un fichier et au moins un sous-dossier
- Un dossier contenant plusieurs sous-dossiers
- Une sélection d’au moins un fichier et d’au moins un dossier
- Une sélection de plusieurs dossiers
Le tableau suivant répertorie des exemples de résultats lorsque vous définissez la stratégie Bloquer le chargement de fichiers contenant des données personnelles vers OneDrive :
| Scénario | Résultats |
|---|---|
| Un utilisateur tente de charger une sélection de 200 fichiers non sensibles à l'aide d'une opération de glisser-déposer. | Les fichiers sont bloqués. |
| Un utilisateur tente de charger une sélection de 200 fichiers à l'aide de la boîte de dialogue de chargement de fichiers. Certains sont sensibles, d'autres non. | Les fichiers non sensibles sont chargés. Les fichiers sensibles sont bloqués. |
| Un utilisateur tente de charger une sélection de 200 fichiers par une opération de glisser-déposer. Certains sont sensibles, d'autres non. | L'ensemble des fichiers est bloqué. |