Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Planung Ihrer Bereitstellung für bedingten Zugriff ist wichtig, um sicherzustellen, dass Sie die Zugriffsstrategie Ihrer Organisation für Apps und Ressourcen umsetzen. Richtlinien für bedingten Zugriff bieten hohe Flexibilität bei der Konfiguration. Diese Flexibilität setzt aber auch eine sorgfältige Planung voraus, um unerwünschte Ergebnisse zu vermeiden.
Der bedingte Zugriff von Microsoft Entra kombiniert Signale wie Benutzer, Gerät und Standort, um Entscheidungen zu automatisieren und Organisationszugriffsrichtlinien für Ressourcen zu erzwingen. Diese Richtlinien für bedingten Zugriff helfen Ihnen dabei, Sicherheit und Produktivität auszugleichen und bei Bedarf Sicherheitskontrollen zu erzwingen und dem Benutzer vorzuenthalten, wenn diese nicht erforderlich sind.
Bedingter Zugriff ist die Basis des Zero Trust-Sicherheitsrichtlinienmoduls von Microsoft.
Microsoft stellt Sicherheitsstandardwerte bereit, die eine grundlegende Sicherheitsstufe sicherstellen, die in Mandanten aktiviert ist, die nicht über Microsoft Entra ID P1 oder P2 verfügen. Mit bedingtem Zugriff können Sie Richtlinien erstellen, die den gleichen Schutz bieten wie Sicherheitsstandards – aber mit Granularität. Bedingter Zugriff und Sicherheitsstandards sollten nicht kombiniert werden, da das Erstellen von Richtlinien für bedingten Zugriff Sie daran hindert, Sicherheitsstandards zu aktivieren.
Voraussetzungen
- Funktionierender Microsoft Entra-Mandant, für den P1-, P2- oder Testlizenzen von Microsoft Entra ID aktiviert sind.
Erstellen Sie bei Bedarf kostenlos eins.
- Microsoft Entra ID P2 ist erforderlich, um die Microsoft Entra ID Protection-Risiken in die Richtlinien für bedingten Zugriff einzuschließen.
- Administratoren, die mit bedingtem Zugriff arbeiten, müssen abhängig von den ausgeführten Aufgaben über eine der folgenden Rollenzuweisungen verfügen. Um dem Zero Trust-Prinzip der geringsten Berechtigung zu folgen, sollten Sie die Verwendung von Privileged Identity Management (PIM) in Betracht ziehen, um privilegierte Rollenzuweisungen just-in-time zu aktivieren.
- Lesen von Richtlinien und Konfigurationen für bedingten Zugriff
- Erstellen oder Ändern von Richtlinien für bedingten Zugriff
- Ein Testbenutzer (kein Administrator), mit dem Sie überprüfen können, ob Richtlinien erwartungsgemäß funktionieren, bevor Sie sie für echte Benutzer bereitstellen. Wenn Sie einen Benutzer erstellen müssen, lesen Sie "Schnellstart: Hinzufügen neuer Benutzer zur Microsoft Entra-ID".
- Eine Gruppe, in der der Testbenutzer Mitglied ist. Wenn Sie eine Gruppe erstellen müssen, lesen Sie " Erstellen einer Gruppe" und "Hinzufügen von Mitgliedern" in der Microsoft Entra-ID.
Änderungen kommunizieren
Kommunikation ist entscheidend für den Erfolg jeder neuen Funktion. Sie sollten proaktiv mit Ihren Benutzern darüber kommunizieren, wie sich ihre Erfahrung ändern wird, wann es sich ändert und wie sie Unterstützung erhalten, wenn sie auf Probleme stoßen.
Komponenten der Richtlinie für bedingten Zugriff
Richtlinien für bedingten Zugriff geben Antwort auf folgende Frage: Wer kann unter welchen Bedingungen auf welche Ressourcen zugreifen. Richtlinien können entworfen werden, um Zugriff zu gewähren, Zugriff mit Sitzungssteuerungen zu beschränken oder den Zugriff zu blockieren. Sie erstellen eine Richtlinie für bedingten Zugriff, indem Sie die if-then-Anweisungen wie folgt definieren:
| Bei erfüllter Zuweisung | Zugriffssteuerungen anwenden |
|---|---|
| Sie sind ein Benutzer der Finanzabteilung und greifen auf die Payroll-Anwendung zu | Multi-Faktor-Authentifizierung und kompatibles Gerät erforderlich |
| Sie sind kein Mitglied der Finanzabteilung und greifen auf die Payroll-Anwendung zu | Zugriff blockieren |
| Das Benutzerrisiko ist hoch | Multi-Faktor-Authentifizierung und sichere Kennwortänderung erforderlich |
Ausschluss von Benutzern
Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:
-
Notfallzugriff oder Break-Glass-Konten, um eine Sperrung richtlinienbedingt zu verhindern. In dem unwahrscheinlichen Fall, dass alle Administratoren ausgesperrt sind, können Sie sich mit Ihrem Administratorkonto für den Notfallzugriff anmelden und Maßnahmen ergreifen, um den Zugriff wiederherzustellen.
- Weitere Informationen finden Sie im Artikel "Verwalten von Notfallzugriffskonten in Microsoft Entra ID".
-
Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
- Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie sie durch verwaltete Identitäten ersetzen.
Die richtigen Fragen stellen
Im Folgenden finden Sie einige häufig gestellte Fragen zu Aufgaben und Zugriffssteuerungen. Dokumentieren Sie die Antworten auf die einzelnen Fragen für jede Richtlinie, bevor Sie sie erstellen.
Benutzer oder Workloadidentitäten
- Welche Benutzer, Gruppen, Verzeichnisrollen oder Workloadidentitäten sind in die Richtlinie eingeschlossen oder aus der Richtlinie ausgeschlossen?
- Welche Konten oder Gruppen für den Notfallzugriff sollen aus der Richtlinie ausgeschlossen werden?
Cloud-Apps oder -aktionen
Gilt diese Richtlinie für eine Anwendung, eine Benutzeraktion oder einen Authentifizierungskontext? Wenn ja:
- Für welche Anwendungen oder Dienste gilt die Richtlinie?
- Welche Benutzeraktionen unterliegen dieser Richtlinie?
- Auf welche Authentifizierungskontexte wird diese Richtlinie angewendet?
Filtern nach Anwendungen
Verwenden von Filtern für Anwendungen, um Anwendungen einzuschließen oder auszuschließen, anstatt sie einzeln anzugeben , hilft Organisationen:
- Einfache Skalierung und Ziel einer beliebigen Anzahl von Anwendungen.
- Verwalten Sie einfach Anwendungen mit ähnlichen Richtlinienanforderungen.
- Verringern Sie die Anzahl einzelner Richtlinien.
- Reduzieren Sie Fehler beim Bearbeiten von Richtlinien: Sie müssen keine Anwendungen manuell aus der Richtlinie hinzufügen/entfernen. Verwalten Sie einfach die Attribute.
- Überwinden von Richtliniengrößeneinschränkungen.
Bedingungen
- Welche Geräteplattformen sind in die Richtlinie eingeschlossen oder aus ihr ausgeschlossen?
- Über welche bekannten Netzwerkstandorte verfügt die Organisation?
- Welche Standorte sind in die Richtlinie eingeschlossen oder aus ihr ausgeschlossen?
- Welche Client-App-Typen sind in die Richtlinie eingeschlossen oder aus der Richtlinie ausgeschlossen?
- Müssen Sie bestimmte Geräteattribute als Ziel festlegen?
- Wenn Sie Microsoft Entra ID Protection verwenden, möchten Sie das Anmelde- oder Benutzerrisiko integrieren?
Blockierungs- oder Gewährungssteuerelemente
Möchten Sie Zugriff auf Ressourcen gewähren, indem Sie mindestens eine der folgenden Maßnahmen für erforderlich erklären?
- Mehrstufige Authentifizierung
- Gerät als konform markiert
- Verwenden eines hybrid in Microsoft Entra eingebundenen Geräts
- Genehmigte Client-App erforderlich
- App-Schutzrichtlinie angewendet
- Kennwortänderung
- Nutzungsbedingungen akzeptiert
Der Zugriff blockieren ist ein leistungsfähiges Steuerelement, das Sie mit entsprechenden Kenntnissen anwenden sollten. Richtlinien mit Blockanweisungen können unbeabsichtigte Nebeneffekte haben. Ordnungsgemäße Tests und Überprüfungen sind wichtig, bevor Sie das Steuerelement im großen Stil aktivieren. Administratoren sollten Tools wie den Berichtsmodus für bedingten Zugriff und das Was-wäre-wenn-Tool im bedingten Zugriff verwenden, beim Vornehmen von Änderungen.
Sitzungssteuerelemente
Möchten Sie eine der folgenden Zugriffssteuerungen für Cloud-Apps erzwingen?
- Verwenden von App-erzwungenen Einschränkungen
- Verwenden der App-Steuerung für bedingten Zugriff
- Anmeldehäufigkeit erzwingen
- Persistente Browsersitzungen verwenden
- Fortlaufende Zugriffsevaluierung anpassen
Kombinieren von Richtlinien
Beim Erstellen und Zuweisen von Richtlinien müssen Sie die Funktionsweise von Zugriffstoken berücksichtigen. Zugriffstoken gewähren oder verweigern den Zugriff basierend darauf, ob die Benutzer, die eine Anforderung stellen, autorisiert und authentifiziert wurden. Wenn der Anforderer nachweisen kann, dass er die vorgegebene Entität ist, kann er auf die geschützten Ressourcen oder Funktionen zugreifen.
Zugriffstoken werden standardmäßig ausgegeben, wenn eine Bedingung für den bedingten Zugriff keine Zugriffssteuerung auslöst.
Diese Richtlinie verhindert nicht, dass die App den Zugriff selbst blockieren kann.
Nehmen Sie beispielsweise eine vereinfachte Richtlinie mit folgenden Bedingungen:
Benutzer: FINANCE GROUP
Zugriff auf: PAYROLL-APP
Zugriffssteuerung: Multi-Faktor-Authentifizierung
- Benutzer A befindet sich in der FINANCE GROUP, sie müssen eine mehrstufige Authentifizierung durchführen, um auf die PAYROLL-APP zuzugreifen.
- Der Benutzer B befindet sich nicht in der FINANCE GROUP, wird ein Zugriffstoken ausgestellt und kann ohne mehrstufige Authentifizierung auf die PAYROLL-APP zugreifen.
Um sicherzustellen, dass Benutzer außerhalb der FINANCE GROUP nicht auf die Payroll-App zugreifen können, sollte zum Blockieren aller anderen Benutzer eine separate Richtlinie ähnlich der folgenden vereinfachten Richtlinie erstellt werden:
Benutzer: Alle Benutzer einschließen/FINANCE GROUP ausschließen
Zugriff auf: PAYROLL-APP
Zugriffssteuerung: Zugriff blockieren
Wenn Der Benutzer B nun versucht, auf die LOHNBUCHHALTUNGs-APP zuzugreifen, wird er blockiert.
Empfehlungen
Unter Berücksichtigung der Erkenntnisse bei Verwendung des bedingten Zugriffs und der Unterstützung anderer Kunden finden Sie hier einige erfahrungsbasierte Empfehlungen.
Anwenden von Richtlinien für bedingten Zugriff auf alle Apps
Stellen Sie sicher, dass jede App mindestens eine Richtlinie für bedingten Zugriff angewendet hat. Aus Sicherheitsgründen ist es besser , eine Richtlinie zu erstellen, die alle Ressourcen umfasst (früher "Alle Cloud-Apps"). Durch diese Praxis wird sichergestellt, dass Sie Richtlinien für bedingten Zugriff nicht jedes Mal aktualisieren müssen, wenn Sie eine neue Anwendung integrieren.
Tipp
Gehen Sie bei der Verwendung von Blockieren und allen Apps in einer einzigen Richtlinie sehr vorsichtig vor. Dadurch können Administratoren ausgesperrt werden, und Ausschlüsse können nicht für wichtige Endpunkte wie Microsoft Graph konfiguriert werden.
Minimieren der Anzahl von Richtlinien für bedingten Zugriff
Das Erstellen einer Richtlinie für jede App ist nicht effizient und führt zu einer schwierigen Verwaltung. Der bedingte Zugriff hat ein Limit von 195 Richtlinien pro Mandant. Dieser Richtliniengrenzwert von 195 umfasst Richtlinien für bedingten Zugriff in jedem Zustand, einschließlich der Modus „Nur melden“, „ein“ oder „aus“.
Es wird empfohlen, Ihre Apps zu analysieren und in Anwendungen zu gruppieren, die dieselben Ressourcenanforderungen für dieselben Benutzer aufweisen. Wenn beispielsweise alle Microsoft 365-Apps oder alle HR-Apps die gleichen Anforderungen für die gleichen Benutzer haben, erstellen Sie eine einzelne Richtlinie, und schließen Sie alle Apps ein, für die sie gilt.
Richtlinien für bedingten Zugriff sind in einer JSON-Datei enthalten, und diese Datei ist an eine Größenbeschränkung gebunden. Es wird nicht erwartet, dass sich eine einzelne Richtlinie darüber hinaus entwickelt. Wenn Sie eine lange Liste von GUIDs in Ihrer Richtlinie verwenden, könnten Sie diesen Grenzwert erreichen. Wenn Sie auf diese Grenzwerte stoßen, empfehlen wir Alternativen wie:
- Verwenden Sie Gruppen oder Rollen, um Benutzer einzuschließen oder auszuschließen, anstatt jeden Benutzer einzeln aufzulisten.
- Verwenden Sie Filter für Anwendungen, um Anwendungen einzuschließen oder auszuschließen, anstatt sie einzeln anzugeben.
Konfigurieren des Modus „Nur Bericht“
Standardmäßig wird jede auf Basis einer Vorlage erstellte Richtlinie im reinen Berichtsmodus erstellt. Wir haben Organisationen empfohlen, die Nutzung zu testen und zu überwachen, um vor dem Aktivieren der einzelnen Richtlinien das beabsichtigte Ergebnis sicherzustellen.
Aktivieren von Richtlinien im modus "Nur Bericht". Wenn Sie die Richtlinie im reinen Berichtsmodus gespeichert haben, können Sie die Wirkung auf Echtzeitanmeldungen in den Anmeldeprotokollen anzeigen. Wählen Sie in den Anmeldeprotokollen ein Ereignis aus, und navigieren Sie zur Registerkarte " Nur Bericht ", um das Ergebnis jeder Nur-Bericht-Richtlinie anzuzeigen.
Sie können die aggregierten Auswirkungen Ihrer Richtlinien für bedingten Zugriff in der Arbeitsmappe "Insights" und "Reporting" anzeigen. Um auf die Arbeitsmappe zuzugreifen, benötigen Sie ein Azure Monitor-Abonnement, und Sie müssen Ihre Anmeldeprotokolle in einen Log Analytics-Arbeitsbereich streamen.
Planen von Unterbrechungen
Um das Risiko einer Sperrung während unvorhergesehener Unterbrechungen zu reduzieren, planen Sie Resilienzstrategien für Ihre Organisation.
Aktivieren geschützter Aktionen
Durch das Aktivieren geschützter Aktionen wird eine weitere Sicherheitsebene für Versuche zum Erstellen, Ändern oder Löschen von Richtlinien für bedingten Zugriff eingefügt. Organisationen können vor dem Ändern der Richtlinie eine neue Multi-Faktor-Authentifizierung oder eine andere Zuweisungskontrolle erfordern.
Festlegen von Benennungsstandards für Ihre Richtlinien
Ein Benennungsstandard hilft Ihnen, Richtlinien zu finden und deren Zweck zu verstehen, ohne sie im Azure-Verwaltungsportal zu öffnen. Es wird empfohlen, beim Benennen von Richtlinien die folgendem Angaben u berücksichtigen:
- Eine laufende Nummer
- Die Cloud-Apps, für die sie gilt
- Die Antwort
- Für wen sie gilt
- Wann sie gilt
Beispiel: Eine Richtlinie, die MFA für Marketingbenutzer erfordert, die von externen Netzwerken aus auf die Dynamics CRP-App zugreifen, kann sein:
Ein beschreibender Name hilft Ihnen dabei, einen Überblick über die Implementierung von bedingtem Zugriff zu behalten. Die Sequenznummer ist hilfreich, wenn Sie auf eine Richtlinie in einer Konversation verweisen müssen. Wenn Sie beispielsweise mit einem anderen Administrator telefonieren, können Sie ihn auffordern, die Richtlinie CA01 zu öffnen, um ein Problem zu lösen.
Benennungsstandards für Notfallzugriffssteuerungen
Implementieren Sie zusätzlich zu Ihren aktiven Richtlinien deaktivierte Richtlinien, die als sekundäre ausfallsichere Zugriffssteuerungen in Ausfall- oder Notfallszenarien fungieren. Ihr Benennungsstandard für die Notfallplan-Richtlinien sollte Folgendes enthalten:
- IM NOTFALL AKTIVIEREN am Anfang, damit sich der Name von denen anderer Richtlinien unterscheidet.
- Der Name der Störungen, auf die sie angewandt werden soll.
- Mithilfe einer Sequenznummer für die Sortierung wissen Administratoren sofort, in welcher Reihenfolge die Richtlinien aktiviert werden sollen.
Beispiel: Der folgende Name gibt an, dass diese Richtlinie die erste von vier Richtlinien ist, die aktiviert werden sollen, wenn eine MFA-Unterbrechung besteht:
- EM01 – IM NOTFALL AKTIVIEREN: MFA-Unterbrechung [1/4] – Exchange SharePoint – Microsoft Entra-Hybrideinbindung erforderlich für VIP-Benutzer*innen
Blockieren von Ländern/Regionen, aus denen nie eine Anmeldung erwartet wird
Mit der Microsoft Entra-ID können Sie benannte Speicherorte erstellen. Erstellen Sie die Liste der zulässigen Länder/Regionen und anschließend eine Netzwerkblockierungsrichtlinie, mit der Sie diese „zulässigen Länder/Regionen“ ausschließen. Diese Option bedeutet weniger Aufwand für Kunden, die an kleineren geografischen Standorten ansässig sind. Stellen Sie sicher, dass Sie Ihre Notfallzugriffskonten von dieser Richtlinie ausgenommen haben.
Bereitstellen von Richtlinien für bedingten Zugriff
Stellen Sie nach der Fertigstellung Ihre Richtlinien für den bedingten Zugriff in Phasen bereit.
Erstellen von Richtlinien für bedingten Zugriff
Beziehen Sie sich auf Vorlagen für Richtlinien zu bedingtem Zugriff und allgemeine Sicherheitsrichtlinien für Microsoft 365-Organisationen als Ausgangspunkt. Diese Vorlagen sind eine bequeme Möglichkeit, Microsoft-Empfehlungen umzusetzen. Achten Sie darauf, dass Sie Ihre Konten für den Notfallzugriff ausschließen.
Auswerten der Auswirkungen der Richtlinie
Es wird empfohlen, die folgenden Tools zu verwenden, um die Auswirkungen Ihrer Richtlinien sowohl vor als auch nach dem Vornehmen von Änderungen zu bewerten. Eine simulierte Ausführung gibt Ihnen eine gute Vorstellung davon, welche Auswirkungen eine Richtlinie für bedingten Zugriff hat. Sie ersetzt jedoch keinen realen Testlauf in einer ordnungsgemäß konfigurierten Entwicklungsumgebung.
- Nur-Bericht-Modus und die Arbeitsmappe für Einblicke in den bedingten Zugriff und Berichterstattung.
- Das Was-wäre-wenn-Tool
Testen Ihrer Richtlinien
Stellen Sie sicher, dass Sie die Ausschlusskriterien einer Richtlinie testen. Sie können beispielsweise einen Benutzer oder eine Gruppe aus einer Richtlinie ausschließen, die eine mehrstufige Authentifizierung (MFA) erfordert. Testen Sie, ob ausgeschlossene Benutzer zur Verwendung der MFA aufgefordert werden, weil die Kombination anderer Richtlinien möglicherweise die Verwendung der MFA für diese Benutzer vorschreibt.
Führen Sie jeden Test im Testplan mit Testbenutzern aus. Der Testplan ist wichtig, um die erwarteten Ergebnisse mit den tatsächlichen Ergebnissen vergleichen zu können. Die folgende Tabelle enthält einige Beispiele für Testfälle. Passen Sie die Szenarien und die erwarteten Ergebnisse auf der Grundlage der Konfiguration Ihrer Richtlinien für bedingten Zugriff an.
| Richtlinie | Szenario | Erwartetes Ergebnis |
|---|---|---|
| Riskante Anmeldungen | Ein Benutzer meldet sich bei der App über einen nicht genehmigten Browser an. | Berechnet eine Risikobewertung basierend auf der Wahrscheinlichkeit, dass die Anmeldung nicht vom Benutzer durchgeführt wurde. Der Benutzer muss das Problem selbstständig mittels MFA beheben. |
| Geräteverwaltung | Ein autorisierter Benutzer versucht, sich über ein autorisiertes Gerät anzumelden. | Der Zugriff wird gewährt. |
| Geräteverwaltung | Ein autorisierter Benutzer versucht, sich über ein nicht autorisiertes Gerät anzumelden. | Der Zugriff wird blockiert. |
| Kennwortänderung für riskante Benutzer | Ein autorisierter Benutzer versucht, sich mit kompromittierten Anmeldeinformationen anzumelden (Anmeldung mit hohem Risiko). | Der Benutzer wird aufgefordert, das Kennwort zu ändern, oder der Zugriff wird blockiert (auf der Grundlage Ihrer Richtlinie). |
Bereitstellen in der Produktion
Nachdem Sie die Auswirkungen im 'Nur Bericht'-Modus bestätigt haben, kann ein Administrator den "Richtlinie aktivieren"-Schalter von 'Nur Bericht' auf 'Ein' umschalten.
Rollback von Richtlinien
Sollte für Ihre neu implementierten Richtlinien ein Rollback erforderlich sein, verwenden Sie mindestens eine der folgenden Optionen:
Deaktivieren der Richtlinie Durch das Deaktivieren einer Richtlinie wird sichergestellt, dass sie nicht angewendet wird, wenn ein Benutzer versucht, sich anzumelden. Die Richtlinie kann bei Bedarf jederzeit erneut aktiviert werden.
Ausschließen eines Benutzers oder einer Gruppe aus einer Richtlinie. Falls ein Benutzer nicht auf die App zugreifen kann, können Sie ihn aus der Richtlinie ausschließen.
Achtung
Ausschlüsse sollten sparsam verwendet werden, nur in Situationen, in denen der Benutzer vertrauenswürdig ist. Der Benutzer sollte baldmöglichst wieder der Richtlinie oder Gruppe hinzugefügt werden.
Wenn eine Richtlinie deaktiviert und nicht mehr erforderlich ist, löschen Sie sie.
Behandeln von Problemen mit Richtlinien für bedingten Zugriff
Wenn ein Benutzer ein Problem mit einer Richtlinie für bedingten Zugriff hat, sammeln Sie die folgenden Informationen, um die Problembehandlung zu vereinfachen.
- Benutzerprinzipalname
- Anzeigename des Benutzers
- Betriebssystemname
- Zeitstempel (ungefähre Angabe ist OK)
- Zielanwendung
- Clientanwendungstyp (Browser oder Client)
- Korrelations-ID (diese ID ist für die Anmeldung eindeutig)
Wenn der Benutzer eine Nachricht mit einem Link zu weiteren Details erhalten hat, kann er die meisten dieser Informationen für Sie erfassen.
Sobald Sie die Informationen sammeln, sehen Sie sich die folgenden Ressourcen an:
- Anmeldeprobleme mit bedingtem Zugriff – Verstehen Sie unerwartete Anmeldeergebnisse im Zusammenhang mit bedingtem Zugriff, indem Sie Fehlermeldungen und das Microsoft Entra-Anmeldeprotokoll nutzen.
- Verwendung des Tools What-If – Verstehen, warum eine Richtlinie auf einen Benutzer in einem bestimmten Umstand angewendet wurde oder warum eine Richtlinie in einem bekannten Zustand angewendet würde.