Beheben von Problemen beim bedingten Zugriff mit dem Was-wäre-wenn-Tool

  • Artikel

Das Was-wäre-wenn-Tool für den bedingten Zugriff ist effektiv, wenn Sie wissen möchten, warum eine Richtlinie in einem bestimmten Szenario auf einen Benutzer angewendet oder nicht angewendet wurde oder ob eine Richtlinie in einem bekannten Zustand angewendet würde.

Sie finden das Tool What If unter Microsoft Entra Admin Center>Schutz>Bedingter Zugriff>Richtlinien>What If.

Conditional Access What If tool at default state

Sammeln von Informationen

Für das What If-Tool ist nur ein Benutzer oder eine Workloadidentität erforderlich.

Die folgenden zusätzlichen Informationen sind optional, sie helfen jedoch, den Bereich für spezielle Fälle einzugrenzen.

  • Cloud-Apps, Aktionen oder Authentifizierungskontext
  • IP-Adresse
  • Land/Region
  • Geräteplattform
  • Client-Apps
  • Gerätestatus
  • Anmelderisiko
  • Benutzerrisikostufe
  • Dienstprinzipalrisiko (Vorschau)
  • Filtern nach Geräten

Diese Informationen können über den Benutzer oder die Benutzerin, das Gerät oder das Microsoft Entra-Anmeldeprotokoll gesammelt werden.

Generieren von Ergebnissen

Geben Sie die im vorherigen Abschnitt gesammelten Kriterien ein, und wählen Sie What If aus, um eine Liste mit Ergebnissen zu generieren.

Sie können jederzeit Zurücksetzen auswählen, um die eingegebenen Kriterien zu löschen und den Standardzustand wiederherzustellen.

Auswerten der Ergebnisse

Anzuwendende Richtlinien

In dieser Liste wird angezeigt, welche Richtlinien für bedingten Zugriff unter Berücksichtigung der Bedingungen gelten. Die Liste enthält die Genehmigungs- und Sitzungskontrollelemente, die angewendet werden, einschließlich solcher, die aus Richtlinien im Nur-Melden-Modus stammen. Beispiele hierfür umfassen das Erzwingen der Multi-Faktor-Authentifizierung für den Zugriff auf eine bestimmte Anwendung.

Richtlinien, die keine Anwendung finden

Diese Liste enthält Richtlinien für bedingten Zugriff, die nicht angewendet werden, wenn die Bedingungen gelten. Die Liste enthält alle entsprechenden Richtlinien und den Grund, warum sie nicht angewendet werden, einschließlich solcher, die aus Richtlinien im Nur-Melden-Modus stammen. Beispiele hierfür sind Benutzer und Gruppen, die möglicherweise aus einer Richtlinie ausgeschlossen sind.

Anwendungsfall

Viele Organisationen erstellen Richtlinien auf der Grundlage von Netzwerkadressen, sodass vertrauenswürdige Standorte zugelassen und Standorte, auf die kein Zugriff erfolgen darf, blockiert werden.

Um zu überprüfen, ob eine Konfiguration ordnungsgemäß ist, kann ein Administrator mit dem Was-wäre-wenn-Tool den Zugriff von einem Standort, der zugelassen werden sollte, und von einem Standort, der blockiert werden sollte, imitieren.

What If tool showing results with Block access

In diesem Fall ist der Zugriff des Benutzers während seiner Reise nach Nordkorea auf jede Cloud-App gesperrt, da Contoso den Zugriff von diesem Standort gesperrt hat.

In diesen Test können weitere Datenpunkte aufgenommen werden, um den Bereich einzugrenzen.

Nächste Schritte