Beheben von Problemen beim bedingten Zugriff mit dem Was-wäre-wenn-Tool

Das Was-wäre-wenn-Tool für den bedingten Zugriff ist effektiv, wenn Sie wissen möchten, warum eine Richtlinie in einem bestimmten Szenario auf einen Benutzer angewendet oder nicht angewendet wurde oder ob eine Richtlinie in einem bekannten Zustand angewendet würde.

Das Was-wäre-wenn-Tool befindet sich im Azure-Portal unter >Azure Active Directory>Sicherheit>Bedingter Zugriff>What If.

Sammeln von Informationen

Für das What If-Tool ist nur ein Benutzer oder eine Workloadidentität erforderlich.

Die folgenden zusätzlichen Informationen sind optional, sie helfen jedoch, den Bereich für spezielle Fälle einzugrenzen.

• Cloud-Apps, Aktionen oder Authentifizierungskontext
• IP-Adresse
• Land/Region
• Geräteplattform
• Client-Apps
• Gerätestatus
• Anmelderisiko
• Benutzerrisikostufe
• Dienstprinzipalrisiko (Vorschau)
• Filtern nach Geräten

Diese Informationen können über den Benutzer, das Gerät oder das Azure AD-Anmeldungsprotokoll gesammelt werden.

Generieren von Ergebnissen

Geben Sie die im vorherigen Abschnitt gesammelten Kriterien ein, und wählen Sie What If aus, um eine Liste mit Ergebnissen zu generieren.

Sie können jederzeit Zurücksetzen auswählen, um die eingegebenen Kriterien zu löschen und den Standardzustand wiederherzustellen.

Auswerten der Ergebnisse

Anzuwendende Richtlinien

In dieser Liste wird angezeigt, welche Richtlinien für bedingten Zugriff unter Berücksichtigung der Bedingungen gelten. Die Liste enthält die Genehmigungs- und Sitzungskontrollelemente, die angewendet werden, einschließlich solcher, die aus Richtlinien im Nur-Melden-Modus stammen. Beispiele hierfür umfassen das Erzwingen der Multi-Faktor-Authentifizierung für den Zugriff auf eine bestimmte Anwendung.

Nicht anzuwendende Richtlinien

Diese Liste enthält Richtlinien für bedingten Zugriff, die nicht angewendet werden, wenn die Bedingungen gelten. Die Liste enthält alle entsprechenden Richtlinien und den Grund, warum sie nicht angewendet werden, einschließlich solcher, die aus Richtlinien im Nur-Melden-Modus stammen. Beispiele hierfür sind Benutzer und Gruppen, die möglicherweise aus einer Richtlinie ausgeschlossen sind.

Anwendungsfall

Viele Organisationen erstellen Richtlinien auf der Grundlage von Netzwerkadressen, sodass vertrauenswürdige Standorte zugelassen und Standorte, auf die kein Zugriff erfolgen darf, blockiert werden.

Um zu überprüfen, ob eine Konfiguration ordnungsgemäß vorgenommen wurde, kann ein Administrator mit dem Was-wäre-wenn-Tool den Zugriff von einem Standort, der zugelassen werden sollte, und von einem Standort, der blockiert werden sollte, imitieren.

In diesem Fall ist der Zugriff des Benutzers während seiner Reise nach Nordkorea auf jede Cloud-App gesperrt, da Contoso den Zugriff von diesem Standort gesperrt hat.

In diesen Test können weitere Datenpunkte aufgenommen werden, um den Bereich einzugrenzen.

Nächste Schritte

• Was ist der reine Berichtsmodus des bedingten Zugriffs?
• Was ist Azure Active Directory Identity Protection?
• Was ist eine Geräteidentität?
• So funktioniert's: Azure AD MFA