Verwenden des What If-Tools zum Beheben von Problemen mit Richtlinien für bedingten Zugriff

  • Artikel

Mit dem What If-Tool für den bedingten Zugriff erhalten Sie Einblicke in das Ergebnis der Richtlinien für bedingten Zugriff auf Ihre Umgebung. Anstelle von Tests Ihrer Richtlinien mithilfe mehrerer manueller Anmeldevorgänge ermöglicht dieses Tool die Auswertung simulierter Benutzeranmeldungen. Die Simulation schätzt das Ergebnis dieser Anmeldungen auf Ihre Richtlinien ab und generiert einen Bericht.

Das Was-wäre-wenn-Tool stellt auch eine Möglichkeit dar, die Richtlinien zu ermitteln, die für einen bestimmten Benutzer gelten. Sie können diese Informationen z.B. nutzen, um ein Problem zu beheben.

Funktionsweise

Sie müssen im What If-Tool für den bedingten Zugriff zunächst die Bedingungen des Anmeldeszenarios konfigurieren, das Sie simulieren möchten. Diese Einstellungen können enthalten:

  • Den Benutzer, den Sie testen möchten
  • Die Cloud-Apps, auf die der Benutzer zuzugreifen versucht
  • Die Bedingungen, unter denen der Zugriff auf die konfigurierten Cloud-Apps erfolgt

Das What If-Tools überprüft keine Dienstabhängigkeiten für den bedingten Zugriff. Wenn Sie z. B. mit dem What If-Tool eine Richtlinie für bedingten Zugriff für Microsoft Teams testen möchten, berücksichtigt das Ergebnis keine Richtlinie, die für Office 365 Exchange Online gilt, eine Dienstabhängigkeit für bedingten Zugriff für Microsoft Teams.

Im nächsten Schritt können Sie eine Simulation initiieren, die Ihre Einstellungen auswertet. Bei der Auswertung werden nur die aktivierten Richtlinien berücksichtigt.

Wenn die Auswertung abgeschlossen wird, generiert das Tool einen Bericht über die betroffenen Richtlinien. Weitere Informationen zu einer Richtlinie für bedingten Zugriff finden Sie auch in der Arbeitsmappe für Erkenntnisse und Berichterstellung zum bedingten Zugriff, die mehr Details zu Richtlinien im reinen Berichtsmodus und den derzeit aktivierten Richtlinien bereitstellt.

Ausführen des Tools

Sie finden das Tool What If unter Microsoft Entra Admin Center>Schutz>Bedingter Zugriff>Richtlinien>What If.

Screenshot of the Conditional Access Policies page. In the toolbar, the What if item is highlighted.

Damit Sie das What If-Tool ausführen können, müssen Sie die Bedingungen angeben, die ausgewertet werden sollen.

Bedingungen

Die einzige Bedingung, die Sie vornehmen müssen, ist die Auswahl einer Benutzer- oder Workloadidentität. Alle anderen Bedingungen sind optional. Eine Definition dieser Bedingungen finden Sie im Artikel zum Erstellen einer Richtlinie für bedingten Zugriff.

Screenshot of the What If page ready for conditions to be entered.

Auswertung

Sie starten eine Auswertung, indem Sie auf Was-wäre-wenn klicken. Das Auswertungsergebnis wird Ihnen in Form eines Berichts präsentiert, der Folgendes enthält:

  • Einen Indikator, ob klassische Richtlinien in Ihrer Umgebung vorhanden sind.
  • Richtlinien, die auf Ihre Benutzer- oder Workloadidentität angewendet werden.
  • Richtlinien, die nicht auf Ihre Benutzer- oder Workloadidentität angewendet werden.

Wenn klassische Richtlinien für die ausgewählten Cloud-Apps vorhanden ist, wird ein Indikator angezeigt. Durch Klicken auf den Indikator werden Sie zur Seite „Klassische Richtlinien“ umgeleitet. Auf der Seite „Klassische Richtlinien“ können Sie eine klassische Richtlinie migrieren oder einfach deaktivieren. Schließen Sie diese Seite, um zu den Auswertungsergebnissen zurückzukehren.

Screenshot of an example of the policy evaluation in the What If tool showing policies that would apply.

In der Liste der geltenden Richtlinien finden Sie auch eine Liste der Gewährungssteuerelemente und Sitzungssteuerelemente, die erfüllt werden müssen.

In der Liste der nicht geltenden Richtlinien finden Sie auch die Gründe dafür, warum diese Richtlinien nicht gelten. Für jede der aufgeführten Richtlinien entspricht der Grund der ersten Bedingung, die nicht erfüllt wurde.

Nächste Schritte