What If ツールを使用して条件付きアクセス ポリシーのトラブルシューティングを行う
条件付きアクセスの What If ポリシー ツールを使用すると、条件付きアクセス ポリシーが環境に与える結果を理解することができます。 複数のサインインを手動で実行することでポリシーの適用をテストする代わりに、このツールを使用して、ユーザーのシミュレートされたサインインを評価できます。 シミュレーションでは、サインインがポリシーに与える結果を推定し、レポートが生成されます。
What If ツールは、特定のユーザーに適用されるポリシーをすばやく判断する方法も提供します。 この情報は、たとえば問題をトラブルシューティングする必要がある場合に使用できます。
しくみ
条件付きアクセスの What If ツールでは、シミュレートするサインイン シナリオの条件を最初に構成する必要があります。 これらの設定には、以下のようなものが含まれます。
- テストするユーザー
- ユーザーがアクセスを試みるクラウド アプリ
- 構成されたクラウド アプリへのアクセスが実行される条件
What If ツールでは、条件付きアクセスのサービスの依存関係はテストされません。 たとえば、What If を使用して Microsoft Teams の条件付きアクセス ポリシーをテストする場合、Office 365 Exchange Online に適用されるポリシー (Microsoft Teams の条件付きアクセス サービスの依存関係) は、結果に考慮されません。
次の手順として、設定を評価するシミュレーションの実行を開始できます。 有効になっているポリシーのみが、評価実行の一部になります。
評価が完了すると、ツールは、影響を受けたポリシーのレポートを生成します。 条件付きアクセス ポリシーに関する詳細情報を収集するには、レポート専用モードのポリシーと現在有効なポリシーの詳細について「条件付きアクセスに関する分析情報とレポート」ワークブックを参照してください。
ツールの実行
What If ツールは、[Microsoft Entra 管理センター]、[保護]、[条件付きアクセス]、[ポリシー]、[What If] で確認できます。
![[条件付きアクセス ポリシー] ページのスクリーンショット。ツールバーの [What if] 項目が強調表示されています。](media/what-if-tool/portal-showing-location-of-what-if-tool.png#lightbox)
What If ツールを実行する前に、評価する条件を指定する必要があります。
条件
必要な条件は、ユーザーまたはワークロード ID の選択のみです。 その他の条件はすべて省略可能です。 これらの条件の定義については、「条件付きアクセス ポリシーの構築」という記事を参照してください。
![条件を入力する準備ができている、[What If] ページのスクリーンショット。](media/what-if-tool/supply-conditions-to-evaluate-in-the-what-if-tool.png#lightbox)
評価
[What If] をクリックして評価を開始します。 以下で構成されるレポートによって評価結果が示されます。
- 環境内にクラシック ポリシーが存在するかどうかを示すインジケーター。
- ユーザーまたはワークロード ID に適用されるポリシー。
- ユーザーまたはワークロード ID には適用されないポリシー。
選択したクラウド アプリに適用されるクラシック ポリシーが存在する場合は、インジケーターが表示されます。 インジケーターをクリックすると、クラシック ポリシー ページにリダイレクトされます。 クラシック ポリシー ページで、クラシック ポリシーを移行したり、単に無効にしたりできます。 このページを閉じることで、評価結果に戻ることができます。
適用されるポリシーの一覧で、満たす必要がある許可コントロールとセッション コントロールの一覧も確認できます。
適用されないポリシーの一覧では、これらのポリシーが適用されない理由を確認できます。 表示されている各ポリシーの理由は、満たされていない最初の条件を表します。
関連するコンテンツ
- 条件付きアクセス ポリシー アプリケーションの詳細については、「条件付きアクセスに関する分析情報とレポート」のポリシーのレポート専用モードを参照してください。
- 環境に条件付きアクセス ポリシーを構成する準備ができたら、一般的な条件付きアクセス ポリシーに関するページを参照してください。