この記事では、Microsoft Defender for Cloud Appsで条件付きアクセス アプリ制御を操作するための既知の制限事項について説明します。
セキュリティの制限事項の詳細については、サポート チームにお問い合わせください。
セッション ポリシーの最大ファイル サイズ
最大サイズが 50 MB のファイルにセッション ポリシーを適用できます。 たとえば、この最大ファイル サイズは、OneDrive からのファイルのダウンロードを監視したり、ファイルの更新をブロックしたり、マルウェア ファイルのダウンロードやアップロードをブロックしたりするポリシーを定義する場合に関連します。
このような場合は、テナント設定を使用して、一致するポリシーに関係なく、ファイルが許可されるかブロックされるかを判断することで、50 MB を超えるファイルをカバーしてください。
Microsoft Defender XDRで、[設定>Conditional Access App Control>Default の動作を選択して、50 MB を超えるファイルの設定を管理します。
Edge in-browser protection では、エンド ユーザー セッションが保護され、ポリシーが [データをスキャンできない場合でも常に選択したアクションを適用する] に設定されている場合、50 MB を超えるファイルはすべてブロックされます。
コンテンツ検査に基づくセッション ポリシーの最大ファイル サイズ
コンテンツ検査に基づいてファイルのアップロードまたはダウンロードをブロックするセッション ポリシーを適用すると、検査は 30 MB 未満で 100 万文字未満のファイルに対してのみ実行されます。
たとえば、次のいずれかのセッション ポリシーを定義できます。
- 社会保障番号を含むファイルのアップロードをブロックする
- 保護された正常性情報を含むファイルのダウンロードを保護する
- "非常に機密性の高い" という秘密度ラベルを持つファイルのダウンロードをブロックする
このような場合、30 MB を超えるファイルや 100 万文字を超えるファイルはスキャンされません。 これらのファイルは、[ データをスキャンできない場合でも常に選択したアクションを適用 する] ポリシー設定に従って処理されます。
次の表に、スキャンされるファイルとスキャンされないファイルの例を示します。
| ファイルの説明 | Scanned (スキャン中) |
|---|---|
| TXT ファイル、1 MB サイズ、100 万文字 | はい |
| TXT ファイル、2 MB サイズ、200 万文字 | 不要 |
| 画像とテキスト、4 MB サイズ、400,000 文字で構成されたWord ファイル | はい |
| 画像とテキスト、4 MB サイズ、200 万文字で構成されたWord ファイル | 不要 |
| 画像とテキスト、40 MB のサイズと 400K 文字で構成されたWord ファイル | 不要 |
秘密度ラベルで暗号化されたファイル
秘密度ラベルで暗号化されたファイルの共同編集を有効にするテナントの場合、ラベル フィルターまたはファイル コンテンツに依存するファイルのアップロード/ダウンロードをブロックするセッション ポリシーは、[ データをスキャンできない場合でも常に選択したアクションを適用 する] ポリシー設定に基づいて動作します。
たとえば、セッション ポリシーが、クレジット カード番号を含むファイルのダウンロードを禁止するように構成されており、データをスキャンできない場合でも、[常に選択したアクションを適用する] に設定されているとします。 暗号化された秘密度ラベルを持つファイルは、コンテンツに関係なく、ダウンロードがブロックされます。
Teams の外部 B2B ユーザー
セッション ポリシーは、Microsoft Teams アプリケーションの外部ビジネス間 (B2B) コラボレーション ユーザーを保護しません。
非対話型トークンを使用したセッション コントロール
一部のアプリケーションでは、非対話型アクセス トークンを使用して、同じスイートまたは領域内のアプリ間のシームレスなリダイレクトを容易にします。 一方のアプリケーションが条件付きアクセス アプリ制御にオンボードされていて、もう一方のアプリケーションがオンボードされていない場合、セッション制御が想定どおりに適用されない可能性があります。 たとえば、Teams クライアントが SharePoint Online (SPO) の非対話型トークンを取得した場合、ユーザーに再認証を求めることなく、SPO でアクティブ なセッションを開始できます。 その結果、セッション制御メカニズムは、これらのセッションに対してポリシーをインターセプトまたは適用できません。 一貫性のある適用を確保するには、Teams などの関連するすべてのアプリケーションを SPO と共にオンボードすることをお勧めします。
IPv6 の制限事項
アクセス ポリシーとセッション ポリシーでは、IPv4 のみがサポートされます。 IPv6 経由で要求が行われた場合、IP ベースのポリシー規則は適用されません。 この制限は、リバース プロキシと Edge のブラウザー内保護の両方を使用する場合に適用されます。
リバース プロキシが機能するセッションの制限事項
次の制限は、リバース プロキシが機能するセッションにのみ適用されます。 Microsoft Edge のユーザーは、リバース プロキシを使用する代わりにブラウザー内保護を利用できるため、これらの制限は影響を受けません。
組み込みのアプリとブラウザーのプラグインの制限事項
Defender for Cloud Appsのアプリの条件付きアクセス制御によって、基になるアプリケーション コードが変更されます。 現在、組み込みのアプリやブラウザー拡張機能はサポートされていません。
管理者は、ポリシーを適用できない場合の既定のシステム動作を定義できます。 アクセスを許可するか、完全にブロックするかを選択できます。
コンテキスト損失の制限事項
次のアプリケーションでは、リンクを参照するとリンクの完全なパスが失われる可能性があるシナリオが発生しました。 通常、ユーザーはアプリのホーム ページに移動します。
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Workplace from Meta
- ServiceNow
- Workday
- Box
ファイルのアップロードに関する制限事項
セッション ポリシーを適用して機密ファイルのアップロードをブロックまたは監視する場合、ユーザーがドラッグ アンド ドロップ操作を使用してファイルまたはフォルダーをアップロードしようとすると、次のシナリオでファイルとフォルダーの完全な一覧がブロックされます。
- 少なくとも 1 つのファイルと少なくとも 1 つのサブフォルダーを含むフォルダー
- 複数のサブフォルダーを含むフォルダー
- 少なくとも 1 つのファイルと少なくとも 1 つのフォルダーの選択
- 複数のフォルダーの選択
次の表に、 OneDrive への個人データを含むファイルのアップロードをブロックするポリシーを定義した場合の結果の例を 示します。
| シナリオ | 結果 |
|---|---|
| ユーザーは、ドラッグ アンド ドロップ操作を使用して、200 個の非認識ファイルの選択をアップロードしようとします。 | ファイルはブロックされます。 |
| ユーザーは、ファイルのアップロード ダイアログを使用して、200 個のファイルの選択をアップロードしようとします。 一部は機密性が高く、そうでないものもあります。 | 非センセンティティブ ファイルがアップロードされます。 機密ファイルはブロックされます。 |
| ユーザーは、ドラッグ アンド ドロップ操作を使用して、200 個のファイルの選択をアップロードしようとします。 一部は機密性が高く、そうでないものもあります。 | ファイルの完全なセットがブロックされます。 |
Edge のブラウザー内保護で提供されるセッションの制限事項
次の制限は、Edge のブラウザー内保護で提供されるセッションにのみ適用されます。
ユーザーが [Edge で続行] をクリックして Edge に切り替えると、ディープ リンクが失われます
Edge 以外のブラウザーでセッションを開始するユーザーは、[Edge で続行] ボタンをクリックして Edge に切り替えるよう求められます。
URL がセキュリティで保護されたアプリケーション内のリソースを指している場合、ユーザーは Edge のアプリケーションのホームページに移動します。
ユーザーが Edge 作業プロファイルに切り替えると、ディープ リンクが失われます"
仕事用プロファイル以外のプロファイルを使用して Edge でセッションを開始するユーザーは、[仕事用プロファイルに切り替える] ボタンをクリックして仕事用プロファイルに切り替えるよう求められます。
URL がセキュリティで保護されたアプリケーション内のリソースを指している場合、ユーザーは Edge のアプリケーションのホームページに移動します。
Edge での古いセッション ポリシーの適用
Edge のブラウザー内保護を使用してセッション ポリシーが適用され、ユーザーが後で対応する条件付きアクセス (CA) ポリシーから削除された場合でも、元のセッションの適用は保持される可能性があります。
シナリオ例:
もともと、ユーザーには、ファイルのダウンロードをブロックするDefender for Cloud Apps セッション ポリシーと共に Salesforce の CA ポリシーが割り当てられました。 その結果、ユーザーが Edge の Salesforce にアクセスしたときにダウンロードがブロックされました。
管理者は後で CA ポリシーを削除しましたが、キャッシュされたポリシー データが原因で Edge でダウンロード ブロックが引き続き発生します。
軽減策オプション:
オプション 1: 自動クリーンアップ
- ユーザー/アプリを CA ポリシーのスコープに再度追加します。
- 対応するDefender for Cloud Apps セッション ポリシーを削除します。
- ユーザーが Edge を使用してアプリケーションにアクセスするのを待ちます。 これにより、ポリシーの削除が自動的にトリガーされます。
- CA ポリシーのスコープからユーザー/アプリを削除します。
オプション 2: キャッシュされたポリシー ファイルを削除する (手動クリーンアップ)
- 移動先: C:\Users<username>\AppData\Local\Microsoft\Edge\
- ファイルを削除する: mda_store.1.txt
オプション 3: Edge で作業プロファイルを削除する (手動クリーンアップ)
- Edge を開きます。
- [プロファイル設定] に移動します。
- 古いセッション ポリシーに関連付けられている作業プロファイルを削除します。
これらの手順により、ポリシーの更新が強制され、古いセッション ポリシーに関連する適用の問題が解決されます。