조건부 액세스 앱 제어의 알려진 제한 사항
이 문서에서는 Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하기 위한 알려진 제한 사항에 대해 설명합니다.
보안 제한 사항에 대해 자세히 알아보려면 지원 팀에 문의하세요.
세션 정책의 최대 파일 크기
최대 크기가 50MB인 파일에 세션 정책을 적용할 수 있습니다. 예를 들어 이 최대 파일 크기는 OneDrive에서 파일 다운로드를 모니터링하거나, 파일 업데이트를 차단하거나, 맬웨어 파일의 다운로드 또는 업로드를 차단하는 정책을 정의할 때 관련이 있습니다.
이와 같은 경우 일치하는 정책에 관계없이 테넌트 설정을 사용하여 파일이 허용되는지 또는 차단되는지를 확인하여 50MB보다 큰 파일을 처리해야 합니다.
Microsoft Defender XDR 조건>부 액세스 앱 제어>기본 동작 설정을 선택하여 50MB보다 큰 파일에 대한 설정을 관리합니다.
콘텐츠 검사를 기반으로 세션 정책의 최대 파일 크기
콘텐츠 검사에 따라 파일 업로드 또는 다운로드를 차단하는 세션 정책을 적용하는 경우 검사는 30MB보다 작고 문자가 100만 개 미만인 파일에 대해서만 수행됩니다.
예를 들어 다음 세션 정책 중 하나를 정의할 수 있습니다.
- 사회 보장 번호가 포함된 파일 업로드 차단
- 보호된 상태 정보가 포함된 파일 다운로드 보호
- 민감도 레이블이 "매우 중요한" 파일의 다운로드 차단
이러한 경우 30MB보다 크거나 100만 개 이상의 문자가 있는 파일은 검사되지 않습니다. 이러한 파일은 데이터를 검사할 수 없는 경우에도 항상 선택한 작업을 적용 정책 설정에 따라 처리됩니다.
다음 표에는 검사되지 않고 있는 파일의 더 많은 예제가 나와 있습니다.
| 파일 설명 | 스캔된 |
|---|---|
| TXT 파일, 1MB 크기 및 100만 문자 | 예 |
| TXT 파일, 2MB 크기 및 2백만 문자 | 아니오 |
| 이미지 및 텍스트, 4MB 크기 및 400K 문자로 구성된 Word 파일 | 예 |
| 이미지 및 텍스트, 4MB 크기 및 2백만 문자로 구성된 Word 파일 | 아니오 |
| 이미지 및 텍스트, 40MB 크기 및 400K 문자로 구성된 Word 파일 | 아니오 |
민감도 레이블로 암호화된 파일
민감도 레이블로 암호화된 파일에 대해 공동 작성을 사용하도록 설정하는 테넌트에서 레이블 필터 또는 파일 콘텐츠를 사용하는 파일 업로드/다운로드를 차단하는 세션 정책은 데이터를 검사할 수 없는 경우에도 항상 선택한 작업 적용 정책 설정에 따라 작동합니다.
예를 들어 신용 카드 숫자가 포함된 파일을 다운로드하지 않도록 세션 정책이 구성되어 있고 데이터를 검사할 수 없더라도 항상 선택한 작업을 적용하도록 설정되어 있다고 가정합니다. 암호화된 민감도 레이블이 있는 파일은 콘텐츠에 관계없이 다운로드가 차단됩니다.
Teams의 외부 B2B 사용자
세션 정책은 Microsoft Teams 애플리케이션에서 외부 B2B(비즈니스 대 비즈니스) 공동 작업 사용자를 보호하지 않습니다.
역방향 프록시가 제공하는 세션에 대한 제한 사항
다음 제한 사항은 역방향 프록시가 제공하는 세션에만 적용됩니다. Microsoft Edge 사용자는 역방향 프록시를 사용하는 대신 브라우저 내 보호를 활용할 수 있으므로 이러한 제한 사항은 영향을 주지 않습니다.
기본 제공 앱 및 브라우저 플러그 인 제한 사항
Defender for Cloud Apps 조건부 액세스 앱 제어는 기본 애플리케이션 코드를 수정합니다. 현재 기본 제공 앱 또는 브라우저 확장을 지원하지 않습니다.
관리자는 정책을 적용할 수 없는 경우에 대한 기본 시스템 동작을 정의할 수 있습니다. 액세스를 허용하거나 완전히 차단하도록 선택할 수 있습니다.
컨텍스트 손실 제한 사항
다음 애플리케이션에서는 링크로 이동하여 링크의 전체 경로가 손실될 수 있는 시나리오를 발견했습니다. 일반적으로 사용자는 앱의 홈페이지에 배치됩니다.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Meta의 Workplace
- ServiceNow
- Workday
- Box
파일 업로드 제한 사항
중요한 파일의 업로드를 차단하거나 모니터링하는 세션 정책을 적용하는 경우 끌어서 놓기 작업을 사용하여 파일 또는 폴더를 업로드하려는 사용자의 시도는 다음 시나리오에서 파일 및 폴더의 전체 목록을 차단합니다.
- 하나 이상의 파일과 하나 이상의 하위 폴더가 포함된 폴더
- 여러 하위 폴더가 포함된 폴더
- 하나 이상의 파일 및 하나 이상의 폴더 선택
- 여러 폴더 선택
다음 표에서는 개인 데이터를 포함하는 파일의 OneDrive 업로드 차단 정책을 정의할 때의 예제 결과를 나열합니다.
| 시나리오 | 결과 |
|---|---|
| 사용자가 끌어서 놓기 작업을 사용하여 200개의 무의미한 파일을 업로드하려고 합니다. | 파일이 차단됩니다. |
| 사용자가 파일 업로드 대화 상자를 사용하여 200개 파일의 선택을 업로드하려고 합니다. 일부는 민감하고 일부는 그렇지 않습니다. | 둔감하지 않은 파일이 업로드됩니다. 중요한 파일이 차단됩니다. |
| 사용자가 끌어서 놓기 작업을 사용하여 200개 파일을 업로드하려고 합니다. 일부는 민감하고 일부는 그렇지 않습니다. | 전체 파일 집합이 차단됩니다. |
Edge 브라우저 내 보호와 함께 제공되는 세션에 대한 제한 사항
다음 제한 사항은 Edge 브라우저 내 보호와 함께 제공되는 세션에만 적용됩니다.
사용자가 'Edge에서 계속'을 클릭하여 Edge로 전환하면 딥 링크가 손실됩니다.
Edge 이외의 브라우저에서 세션을 시작하는 사용자는 'Edge에서 계속' 단추를 클릭하여 Edge로 전환하라는 메시지가 표시됩니다.
URL이 보안 애플리케이션 내의 리소스를 가리키는 경우 사용자는 Edge에서 애플리케이션의 홈페이지로 이동합니다.
사용자가 Edge 회사 프로필로 전환하면 딥 링크가 손실됩니다.
회사 프로필 이외의 프로필로 Edge에서 세션을 시작하는 사용자는 '회사 프로필로 전환' 단추를 클릭하여 회사 프로필로 전환하라는 메시지가 표시됩니다.
URL이 보안 애플리케이션 내의 리소스를 가리키는 경우 사용자는 Edge에서 애플리케이션의 홈페이지로 이동합니다.