CA What-If Simulation¶
Hier erfahren Sie, wie Sie mit der Conditional-Access-What-If-Simulation in TCM365 testen können, welche Richtlinien in bestimmten Szenarien greifen -- ohne Ihre produktive Umgebung zu beeinflussen.
Was ist die CA What-If Simulation?¶
Die CA What-If Simulation wertet Conditional Access Policies aus einem Snapshot offline aus. Sie simuliert, welche Policies für ein bestimmtes Szenario gelten würden, ohne dass tatsächlich ein Anmeldeversuch stattfindet.
Dies ist besonders nuetzlich, um:
- Die Auswirkung neuer oder geänderter Policies vorab zu testen
- Zu verstehen, warum Benutzer Zugriffsprobleme haben
- Lücken in der Conditional-Access-Konfiguration zu identifizieren
- Die Konfiguration gegenüber Auditoren zu erklaeren
Hinweis
Die Simulation arbeitet ausschliesslich mit den Daten aus dem Snapshot. Es findet kein Zugriff auf die Azure AD Graph API statt -- die Auswertung erfolgt vollständig offline.
Vordefinierte Szenarien¶
TCM365 bietet 10 vordefinierte Szenarien, die häufige Anwendungsfaelle abdecken:
| Szenario | Simuliert |
|---|---|
| Externer Benutzer | Zugriff eines Gastbenutzers von ausserhalb des Unternehmensnetzwerks |
| Interner Benutzer, unbekanntes Gerät | Mitarbeiter meldet sich von einem nicht verwalteten Gerät an |
| Privilegierter Benutzer | Global Admin oder privilegierter Benutzer greift auf Ressourcen zu |
| Legacy-Authentifizierung | Anmeldeversuch mit einem veralteten Authentifizierungsprotokoll |
| Risikoreiche Anmeldung | Benutzer mit erhoehtem Anmelderisiko (z.B. aus unbekanntem Land) |
| Mobile Gerät | Zugriff von einem mobilen Gerät (iOS/Android) |
| Compliance-konformes Gerät | Zugriff von einem Intune-konformen Gerät |
| Nicht-konformes Gerät | Zugriff von einem Gerät, das die Compliance-Anforderungen nicht erfüllt |
| Unbekannter Standort | Anmeldung von einem Standort, der nicht als benannt konfiguriert ist |
| Vertrauenswuerdiger Standort | Anmeldung von einem als vertrauenswuerdig definierten Standort |
Simulation durchführen¶
Mit vordefiniertem Szenario¶
- Navigieren Sie in der Sidebar zu Sicherheit > CA What-If
- Wählen Sie den Tenant und den Snapshot aus
- Wählen Sie eines der 10 vordefinierten Szenarien
- Klicken Sie auf Simulieren
Mit eigenem Szenario¶
- Navigieren Sie zu Sicherheit > CA What-If
- Wählen Sie den Tenant und den Snapshot aus
- Klicken Sie auf Eigenes Szenario erstellen
- Definieren Sie die Simulationsparameter:
- Benutzer/Gruppe: Welcher Benutzertyp simuliert wird (intern, extern, privilegiert)
- Anwendung: Auf welche Anwendung zugegriffen wird (z.B. Exchange Online, SharePoint)
- Geraeteplattform: Von welchem Gerät aus (Windows, macOS, iOS, Android, Linux)
- Geraetestatus: Ob das Gerät Intune-konform, Hybrid Azure AD Joined oder unverwaltet ist
- Standort: Von welchem Netzwerk/Standort aus (benannt, unbenannt, vertrauenswuerdig)
- Risikostufe: Anmelde- und Benutzerrisiko (niedrig, mittel, hoch)
- Client-App: Welcher Client verwendet wird (Browser, Mobile App, Desktop App, Legacy)
- Klicken Sie auf Simulieren
Ergebnisse interpretieren¶
Nach der Simulation zeigt TCM365 für jede Conditional Access Policy an:
Policy-Status¶
| Status | Bedeutung |
|---|---|
| Angewendet | Die Policy greift in diesem Szenario und erzwingt ihre Kontrollen |
| Nicht angewendet | Die Policy greift nicht, da die Bedingungen nicht zutreffen |
| Deaktiviert | Die Policy ist deaktiviert und wird nicht ausgewertet |
| Nur Bericht | Die Policy ist im Report-Only-Modus und würde greifen, erzwingt aber nichts |
Erzwungene Kontrollen¶
Für jede angewendete Policy sehen Sie die erzwungenen Kontrollen:
- MFA erforderlich -- Multi-Faktor-Authentifizierung wird verlangt
- Konformes Gerät erforderlich -- Nur Intune-konforme Geräte erhalten Zugriff
- Zugriff blockiert -- Der Zugriff wird vollständig verweigert
- App-Schutzrichtlinie erforderlich -- Eine App Protection Policy muss aktiv sein
- Sitzungskontrolle -- Einschränkungen wie Timeout oder eingeschraenkter Zugriff
Lueckenanalyse¶
Die Simulation hebt ausserdem mögliche Lücken hervor:
- Szenarien, in denen kein MFA erzwungen wird
- Szenarien, in denen Legacy-Authentifizierung nicht blockiert wird
- Szenarien, in denen externe Benutzer uneingeschraenkten Zugriff haben
Tipp
Führen Sie die Simulation für alle 10 vordefinierten Szenarien durch, um ein umfassendes Bild Ihrer Conditional-Access-Konfiguration zu erhalten. Achten Sie besonders auf Szenarien, in denen weniger Kontrollen greifen als erwartet.
Best Practices¶
- Vor Policy-Änderungen simulieren: Testen Sie die Auswirkung, bevor Sie eine Policy ändern
- Regelmäßig alle Szenarien prüfen: Mindestens quartalsweise alle 10 Szenarien durchspielen
- Report-Only-Policies testen: Prüfen Sie, ob Policies im Report-Only-Modus die gewünschte Wirkung haetten
- Ergebnisse dokumentieren: Exportieren Sie die Ergebnisse als Nachweis für Audits
Nächster Schritt¶
- E-Mail-Sicherheitscheck -- Prüfen Sie die E-Mail-Sicherheit Ihrer Domains
- Compliance-Baselines -- Umfassende Konfigurationsprüfung