What If ツールを使用した条件付きアクセスのトラブルシューティング
条件付きアクセスの What If ツールは、あるポリシーが特定の状況でユーザーに適用されたりされなかったりした理由や、あるポリシーが既知の状態で適用されるかどうかを理解しようとしている場合の強力なツールです。
What If ツールは、[Microsoft Entra 管理センター]>[保護]>[条件付きアクセス]>[ポリシー]>[What If] にあります。
情報の収集
What If ツールの使用を開始するために必要なのはユーザーまたはワークロード ID だけです。
次の追加情報はオプションですが、特定のケースで範囲を絞り込むのに役立ちます。
- クラウド アプリ、アクション、または認証コンテキスト
- IP アドレス
- 国/リージョン
- デバイスのプラットフォーム
- クライアント アプリ
- デバイスの状態
- サインイン リスク
- ユーザーのリスク レベル
- サービス プリンシパル リスク (プレビュー)
- デバイスのフィルター
これらの情報は、ユーザー、そのデバイス、または Microsoft Entra サインイン ログから収集できます。
結果の生成
前のセクションで収集された条件を入力し、 [What If] を選択して結果の一覧を生成します。
いつでも、 [Reset] (リセット) を選択して条件の入力をすべてクリアし、既定の状態に戻ることができます。
結果の評価
[Policies that will apply] (適用されるポリシー)
この一覧は、条件が与えられたときに、どの条件付きアクセス ポリシーが適用されるかを示しています。 一覧には、レポート専用モードのポリシーを含めて、適用される許可とセッションの両方の制御が含まれます。 例として、特定のアプリケーションにアクセスするための多要素認証の要求があります。
適用されないポリシー
この一覧は、条件が適用された場合に適用されない条件付きアクセス ポリシーを示しています。 一覧には、レポート専用モードのポリシーを含めて、すべてのポリシーとそれらが適用されない理由が含まれます。 例として、ポリシーから除外される可能性があるユーザーやグループがあります。
ユース ケース
多くの組織では、ネットワークの場所、信頼できる場所の許可、およびアクセスが行われてはいけない場所のブロックに基づいてポリシーが作成されます。
構成が適切であることを検証するために、管理者は What If ツールを使用して、許可されるべき場所や拒否されるべき場所からアクセスを模倣できます。
この例では、Contoso が北朝鮮からのアクセスをブロックしたため、ユーザーはその場所への旅行ですべてのクラウド アプリへのアクセスをブロックされます。
このテストは、範囲を絞り込むための他のデータ ポイントを組み込むように拡張できます。