Funktionsuebersicht¶
TCM365 ist eine umfassende Multi-Vendor Configuration Lifecycle Management-Plattform. Urspruenglich als UI für Microsofts Unified Tenant Configuration Management (UTCM) API entwickelt, ist sie zu einer vollständigen Plattform herangewachsen, die mehrere Anbieter über ein erweiterbares VendorAdapter-Pattern unterstützt.
Dieser Abschnitt bietet detaillierte Dokumentation für alle Feature-Bereiche in TCM365 v2.5.0.
Feature-Matrix¶
Konfigurationsmanagement¶
Kernfunktionen zum Erfassen, Vergleichen, Überwachen und Wiederherstellen von Tenant-Konfigurationen über Microsoft 365, Zscaler und Atlassian Cloud-Umgebungen hinweg.
| Feature | Beschreibung | Anbieter | Details |
|---|---|---|---|
| Snapshots | Point-in-Time Konfigurationserfassung mit zwei Capture-Strategien | M365, Zscaler, Atlassian | UTCM Snapshot Job API (Teams/Exchange) + Direct API (Entra/Intune/Defender, Zscaler, Atlassian) |
| Drift-Erkennung | Automatisierte Konfigurationsdrift-Überwachung und Alerting | M365, Zscaler, Atlassian | UTCM Configuration Monitors + VendorAdapter-basierte Erkennung |
| Security Baselines | 43 Security-Baseline-Templates über 10+ Framework-Kategorien | M365, Zscaler, Atlassian | CIS, SCUBA, Zero Trust, NIST, BSI, Maester, EIDSCA, Zscaler, Atlassian, Szenarien |
| Blueprints | Wiederverwendbare Konfigurationsvorlagen für standardisierte Deployments | M365 | Template-Erstellung, KI-gestützte Analyse, Anwendung |
| Rollback | Kontrollierter Rollback auf vorherige Konfigurationen | M365, Zscaler, Atlassian | 52 M365 Resource Types + Zscaler Staging/Direct + Atlassian Direct Write |
| Diff / Vergleich | Side-by-Side Konfigurationsvergleich mit Export | M365, Zscaler, Atlassian | JSON- und HTML-Export, DiffTree-Visualisierung, Change Attribution |
Sicherheit und Compliance¶
Enterprise-Compliance-Management abgestimmt auf europaeische regulatorische Frameworks einschliesslich KRITIS, NIS2 und ISO 27001.
| Feature | Beschreibung | Frameworks | Details |
|---|---|---|---|
| Compliance-Evaluation | Automatische Compliance-Prüfungen gegen Security Baselines | 10 Frameworks | NIS2, ISO 27001, ISO 27002, BSI, CIS, NIST, GDPR, Maester, EIDSCA, Custom |
| Incident Management | Sicherheitsvorfall-Tracking mit NIS2-Meldefristen | NIS2 | Countdown-Badges, Severity-Klassifizierung, regulatorische Reporting-Deadlines |
| Risikobewertung | Risikobewertung mit Likelihood/Impact-Matrizen | ISO 27005 | Risk-Matrizen, Heat-Map-Visualisierung, Mitigation-Tracking |
| Change Management | Änderungsanträge mit mehrstufigen Approval Chains | ITIL | Genehmigungsworkflows, Audit Trails, Rollback-Integration |
| BC/DR-Tests | Business Continuity und Disaster Recovery Testmanagement | ISO 22301 | RTO/RPO-Tracking, Testplanung, Ergebnisdokumentation |
| Audit-Nachweise | Nachweissammlung und -verwaltung für Compliance-Audits | Mehrere | Artefakt-Management, Nachweis-Ketten, Exportfunktionen |
| Zero Trust Assessment | Zero Trust Reifegradbewertung und Scoring | Microsoft ZT | Maturity-Level, Pillar-basiertes Assessment, Improvement-Roadmap |
| E-Mail-Sicherheit | DNS-basierte E-Mail-Sicherheitsvalidierung | RFC-Standards | SPF, DKIM, DMARC-Prüfungen mit gewichtetem Scoring (A-F Noten) |
Analyse und Assessment¶
Intelligente Analysefunktionen gestuetzt durch KI, maschinelles Lernen und automatisierte Assessment-Engines.
| Feature | Beschreibung | Technologie | Details |
|---|---|---|---|
| KI-Analyse | KI-gestützte Konfigurationsanalyse mit Best-Practice-Empfehlungen | OpenAI / Azure OpenAI | Setting-Level-Analyse, Blueprint-Evaluation, Risikoidentifikation |
| Copilot Readiness | Microsoft 365 Copilot Readiness Assessment | 44 automatisierte Checks | Licensing, Entra ID, Defender XDR, Purview-Kategorien |
| CA What-If Simulation | Conditional Access Policy-Simulation gegen Snapshot-Daten | Offline-Evaluation | 10 Preset-Szenarien, kein Graph API erforderlich, Policy-Konflikterkennung |
| Security Assessment Reports | Maester-Style Security Assessment Reports | MITRE ATT&CK | Coverage-Mapping, Kategorie-Scores, Severity-Aufschlüsselung |
| Anomalie-Erkennung | ML-basierte Anomalie-Erkennung mit Baseline Learning | Statistisches ML | Baseline Learning, Event Correlation, Threshold-Management |
| Custom Probes | Benutzerdefinierte Monitoring- und Health-Checks | Probe Engine | 7 integrierte M365-Probe-Templates, Scheduled Execution, Alerting |
Betrieb¶
Tagesgeschaeft-Tools für Workflow-Automatisierung, Monitoring, Berichtswesen und Systemadministration.
| Feature | Beschreibung | Integrationen | Details |
|---|---|---|---|
| Workflows | Automatisierte Aufgabenplanung und -ausfuehrung | Integrierter Scheduler | Workflow Builder, Ausfuehrungsprotokolle, Geplante Trigger |
| Benachrichtigungen | Multi-Channel-Benachrichtigungszustellung | 4 Kanäle | E-Mail (SMTP), Microsoft Teams, Slack, Webhooks |
| Berichte | Automatisierte Berichtsgenerierung | 7 Generatoren | Drift, Compliance, Tenant-Übersicht, Dashboard, Security Assessment, Zero Trust, Konfiguration |
| Audit Logs | Unveränderliche Aktionsprotokollierung mit Korrelation | Integriert | X-Request-ID-Korrelation, strukturiertes Logging, Change Attribution |
| Admin Panel | Systemadministration und Diagnose | Integriert | Benutzerverwaltung, Gruppenverwaltung, Systemeinstellungen, Data Viewer |
| Setup Wizard | Gefuehrte Systeminitialisierung | M365, Zscaler, Atlassian | Read/Write App Registration, Verbindungstest, Berechtigungsvalidierung, OAuth 2LO |
Multi-Vendor-Architektur¶
Alle Konfigurationsmanagement-Features in TCM365 basieren auf einer vendor-agnostischen Architektur unter Verwendung des VendorAdapter-Patterns. Dies ermöglicht konsistentes Verhalten über verschiedene Cloud-Plattformen hinweg bei gleichzeitiger Erlaubnis anbieterspezifischer Optimierungen.
Unterstützte Anbieter¶
| Anbieter | Adapter | Fähigkeiten | Resource Types |
|---|---|---|---|
| Microsoft 365 | M365Adapter |
Voll (Capture, Drift, Rollback, Audit) | 52 Resource Types über Entra, Intune, Defender, Teams, Exchange, SharePoint |
| Zscaler ZIA | ZscalerAdapter |
Voll (Capture, Drift, Rollback, Audit) | 12 Endpoint Groups (URL Filtering, Firewall, DLP, SSL etc.) |
| Zscaler ZPA | ZscalerAdapter |
Voll (Capture, Drift, Rollback, Audit) | 9 Endpoint Groups (AppSegments, Policies, Connectors etc.) |
| Atlassian Cloud | AtlassianAdapter |
Voll (Capture, Drift, Rollback, Audit) | 28 Resource Types über Jira (16), Confluence (5), Org Security (7) |
VendorAdapter Interface¶
Jede Vendor-Integration implementiert sieben Kernmethoden:
interface VendorAdapter {
getInfo(): VendorInfo;
capabilities(): VendorCapabilities;
discover(tenant: VendorTenant): Promise<DiscoveryResult>;
capture(tenant: VendorTenant, resourceTypes: string[]): Promise<CaptureResult>;
detectDrift(tenant: VendorTenant, baseline: Snapshot): Promise<DriftResult>;
apply(tenant: VendorTenant, config: ConfigPayload): Promise<ApplyResult>;
getAuditLogs(tenant: VendorTenant, timeRange: TimeRange): Promise<AuditLogResult>;
}
Vendor-Prefixed Resource Types¶
Resource Types folgen einer hierarchischen Namenskonvention:
Beispiele:
microsoft.entra.conditionalAccess-- Entra ID Conditional Access Policiesmicrosoft.exchange.transportRules-- Exchange Online Transport Ruleszscaler.zia.urlFilteringRules-- Zscaler ZIA URL Filtering Ruleszscaler.zpa.appSegments-- Zscaler ZPA Application Segments
Tenant-Isolierung¶
TCM365 implementiert eine dreischichtige Tenant-Isolierung zur Sicherstellung der Datensicherheit:
| Schicht | Mechanismus | Zweck |
|---|---|---|
| Anwendung | TenantAccessService |
IDOR-Prävention, Organisations-Zugangsvalidierung |
| Datenbank | PostgreSQL Row-Level Security (RLS) | Automatische Zeilenfilterung nach org_id |
| Schema | Per-Tenant-Schemas (tenant_{uuid}) |
Physische Datenisolierung für 23 Data-Plane-Tabellen |
Feature-Abhängigkeiten¶
Einige Features benötigen externe Dienste oder Konfigurationen:
| Feature | Erforderlich | Optional |
|---|---|---|
| Snapshots (M365) | Azure AD App Registration, Graph API Permissions | UTCM Service Principal (für Teams/Exchange) |
| Snapshots (Zscaler) | Zscaler API Credentials (ZIA/ZPA) | -- |
| Snapshots (Atlassian) | Atlassian OAuth 2LO Credentials | -- |
| KI-Analyse | -- | OPENAI_API_KEY oder Azure OpenAI-Konfiguration |
| E-Mail-Benachrichtigungen | -- | SMTP-Konfiguration |
| Teams-Benachrichtigungen | -- | Teams Webhook URL |
| Slack-Benachrichtigungen | -- | Slack Webhook URL |
| Redis Caching | -- | REDIS_URL (Fallback auf In-Memory) |
| Anomalie-Erkennung | PostgreSQL | Redis (für verteilte Koordination) |
Versionshistorie¶
| Version | Neue Features |
|---|---|
| v2.5.0 | Atlassian Cloud Vendor Integration (28 Resource Types, 3 Baseline Templates, OAuth 2LO), Graceful Degradation |
| v2.2.0 | Getrennte Read/Write App Registrations, verbesserter M365 Setup Wizard, Bulk Snapshot Delete |
| v2.1.0 | Copilot Readiness Assessment (44 Checks), erweiterter Setup Wizard |
| v2.0.0 | Multi-Vendor VendorAdapter Pattern, Zscaler ZIA/ZPA-Unterstützung |
| v1.2.0 | Multi-Vendor-Architektur-Grundlagen, Per-Tenant Encryption |
| v1.1.0 | KRITIS/NIS2 Compliance Stack, Anomalie-Erkennung, Custom Probes |
| v1.0.0 | Erstveroeffentlichung mit M365-Konfigurationsmanagement |
Schnellnavigation¶
-
Point-in-Time-Konfigurationserfassung anzeigen und erstellen
-
Konfigurationsdrift automatisch überwachen und erkennen
-
43 Templates über CIS, SCUBA, Zero Trust, Atlassian und mehr
-
KRITIS/NIS2-Compliance mit Incident- und Risikomanagement
-
Kontrollierter Rollback auf vorherige Konfigurationen
-
44 automatisierte Checks für Microsoft 365 Copilot-Bereitschaft
-
Multi-Channel-Benachrichtigungen über E-Mail, Teams, Slack, Webhooks
-
7 Berichtsgeneratoren inkl. Security Assessment und Zero Trust
-
ML-basierte Anomalie-Erkennung mit Baseline Learning
-
Offline Conditional Access Policy-Simulation
-
SPF, DKIM, DMARC-Validierung mit A-F Scoring
-
Zero Trust Maturity Assessment und Scoring