Condividi tramite


Limitazioni note nel controllo dell'app per l'accesso condizionale

Questo articolo descrive le limitazioni note per l'uso del controllo app per l'accesso condizionale in Microsoft Defender for Cloud Apps.

Per altre informazioni sulle limitazioni di sicurezza, contattare il team di supporto.

Dimensioni massime del file per i criteri di sessione

È possibile applicare criteri di sessione ai file con dimensioni massime di 50 MB. Ad esempio, questa dimensione massima del file è rilevante quando si definiscono criteri per monitorare i download di file da OneDrive, bloccare gli aggiornamenti dei file o bloccare i download o il caricamento di file malware.

In casi come questi, assicurarsi di coprire i file di dimensioni superiori a 50 MB usando le impostazioni del tenant per determinare se il file è consentito o bloccato, indipendentemente dai criteri corrispondenti.

In Microsoft Defender XDR selezionare Impostazioni>Accesso condizionale Controllo app Comportamento>predefinito per gestire le impostazioni per i file di dimensioni superiori a 50 MB.

Dimensioni massime dei file per i criteri di sessione in base all'ispezione del contenuto

Quando si applicano criteri di sessione per bloccare i caricamenti o i download dei file in base all'ispezione del contenuto, l'ispezione viene eseguita solo su file di dimensioni inferiori a 30 MB e con meno di 1 milione di caratteri.

Ad esempio, è possibile definire uno dei criteri di sessione seguenti:

  • Bloccare il caricamento di file che contengono numeri di previdenza sociale
  • Proteggere il download di file che contengono informazioni sull'integrità protette
  • Bloccare il download di file con etichetta di riservatezza "molto sensibile"

In questi casi, i file di dimensioni superiori a 30 MB o con più di 1 milione di caratteri non vengono analizzati. Questi file vengono trattati in base all'impostazione Applica sempre l'azione selezionata anche se i dati non possono essere analizzati .

Nella tabella seguente sono elencati altri esempi di file che sono e non vengono analizzati:

Descrizione file Analizzato
Un file TXT, dimensioni di 1 MB e 1 milione di caratteri
Un file TXT, dimensioni di 2 MB e 2 milioni di caratteri No
Un file Word composto da immagini e testo, dimensioni di 4 MB e 400.000 caratteri
Un file Word composto da immagini e testo, dimensioni di 4 MB e 2 milioni di caratteri No
File Word composto da immagini e testo, dimensioni di 40 MB e 400.000 caratteri No

File crittografati con etichette di riservatezza

Per i tenant che consentono la creazione condivisa per i file crittografati con etichette di riservatezza, i criteri di sessione per bloccare il caricamento/download di file che si basano su filtri di etichette o contenuto di file funzioneranno in base all'azione Applica sempre l'azione selezionata anche se i dati non possono essere analizzati .

Si supponga, ad esempio, che un criterio di sessione sia configurato per impedire il download di file che contengono numeri di carta di credito e che sia impostato su Applica sempre l'azione selezionata anche se i dati non possono essere analizzati. Il download di qualsiasi file con un'etichetta di riservatezza crittografata è bloccato, indipendentemente dal contenuto.

Utenti B2B esterni in Teams

I criteri di sessione non proteggono gli utenti esterni di collaborazione business-to-business (B2B) nelle applicazioni di Microsoft Teams.

Limitazioni per le sessioni a cui serve il proxy inverso

Le limitazioni seguenti si applicano solo alle sessioni a cui serve il proxy inverso. Gli utenti di Microsoft Edge possono trarre vantaggio dalla protezione nel browser anziché usare il proxy inverso, in modo che queste limitazioni non li influiscano.

Limitazioni predefinite del plug-in di app e browser

Il controllo app di accesso condizionale in Defender for Cloud Apps modifica il codice dell'applicazione sottostante. Attualmente non supporta le app predefinite o le estensioni del browser.

In qualità di amministratore, è possibile definire il comportamento di sistema predefinito per quando non è possibile applicare un criterio. È possibile scegliere di consentire l'accesso o bloccarlo completamente.

Limitazioni della perdita di contesto

Nelle applicazioni seguenti si sono verificati scenari in cui l'esplorazione di un collegamento potrebbe comportare la perdita del percorso completo del collegamento. In genere, l'utente accede alla home page dell'app.

  • ArcGIS
  • GitHub
  • Microsoft Power Automate
  • Microsoft Power Apps
  • Workplace da Meta
  • ServiceNow
  • Workday
  • Box

Limitazioni per il caricamento di file

Se si applicano criteri di sessione per bloccare o monitorare il caricamento di file sensibili, i tentativi dell'utente di caricare file o cartelle usando un'operazione di trascinamento della selezione bloccano l'elenco completo di file e cartelle negli scenari seguenti:

  • Cartella che contiene almeno un file e almeno una sottocartella
  • Cartella che contiene più sottocartelle
  • Selezione di almeno un file e almeno una cartella
  • Selezione di più cartelle

La tabella seguente elenca i risultati di esempio quando si definisce il criterio Blocca caricamento di file che contengono dati personali in OneDrive :

Scenario Risultato
Un utente tenta di caricare una selezione di 200 file senza distinzione usando un'operazione di trascinamento della selezione. I file sono bloccati.
Un utente tenta di caricare una selezione di 200 file usando la finestra di dialogo di caricamento dei file. Alcuni sono sensibili e altri no. I file senza distinzione vengono caricati.

I file sensibili sono bloccati.
Un utente prova a caricare una selezione di 200 file usando un'operazione di trascinamento della selezione. Alcuni sono sensibili e altri no. Il set completo di file è bloccato.

Limitazioni per le sessioni servite con la protezione edge nel browser

Le limitazioni seguenti si applicano solo alle sessioni servite con la protezione edge nel browser.

A un utente che avvia una sessione in un browser diverso da Edge viene richiesto di passare a Edge facendo clic sul pulsante "Continua in Edge".

Se l'URL punta a una risorsa all'interno dell'applicazione protetta, l'utente verrà indirizzato alla home page dell'applicazione in Edge.

A un utente che avvia una sessione in Edge con un profilo diverso dal profilo di lavoro, viene richiesto di passare al profilo di lavoro facendo clic sul pulsante "Passa al profilo di lavoro".

Se l'URL punta a una risorsa all'interno dell'applicazione protetta, l'utente verrà indirizzato alla home page dell'applicazione in Edge.