次の方法で共有


What If ツールを使用して条件付きアクセス ポリシーのトラブルシューティングを行う

条件付きアクセスの What If ポリシー ツールを使用すると、条件付きアクセス ポリシーが環境に与える結果を理解することができます。 複数のサインインを手動で実行することでポリシーの適用をテストする代わりに、このツールを使用して、ユーザーのシミュレートされたサインインを評価できます。 シミュレーションでは、サインインがポリシーに与える結果を推定し、レポートが生成されます。

What If ツールは、特定のユーザーに適用されるポリシーをすばやく判断する方法も提供します。 この情報は、たとえば問題をトラブルシューティングする必要がある場合に使用できます。

しくみ

条件付きアクセスの What If ツールでは、シミュレートするサインイン シナリオの条件を最初に構成する必要があります。 これらの設定には、以下のようなものが含まれます。

  • テストするユーザー
  • ユーザーがアクセスを試みるクラウド アプリ
  • 構成されたクラウド アプリへのアクセスが実行される条件

What If ツールでは、条件付きアクセスのサービスの依存関係はテストされません。 たとえば、What If を使用して Microsoft Teams の条件付きアクセス ポリシーをテストする場合、Office 365 Exchange Online に適用されるポリシー (Microsoft Teams の条件付きアクセス サービスの依存関係) は、結果に考慮されません。

次の手順として、設定を評価するシミュレーションの実行を開始できます。 有効になっているポリシーのみが、評価実行の一部になります。

評価が完了すると、ツールは、影響を受けたポリシーのレポートを生成します。 条件付きアクセス ポリシーに関する詳細情報を収集するには、レポート専用モードのポリシーと現在有効なポリシーの詳細について「条件付きアクセスに関する分析情報とレポート」ワークブックを参照してください。

ツールの実行

What If ツールは、[Microsoft Entra 管理センター][保護][条件付きアクセス][ポリシー][What If] で確認できます。

[条件付きアクセス ポリシー] ページのスクリーンショット。ツールバーの [What if] 項目が強調表示されています。

What If ツールを実行する前に、評価する条件を指定する必要があります。

条件

必要な条件は、ユーザーまたはワークロード ID の選択のみです。 その他の条件はすべて省略可能です。 これらの条件の定義については、「条件付きアクセス ポリシーの構築」という記事を参照してください。

条件を入力する準備ができている、[What If] ページのスクリーンショット。

評価

[What If] をクリックして評価を開始します。 以下で構成されるレポートによって評価結果が示されます。

  • 環境内にクラシック ポリシーが存在するかどうかを示すインジケーター。
  • ユーザーまたはワークロード ID に適用されるポリシー。
  • ユーザーまたはワークロード ID には適用されないポリシー。

選択したクラウド アプリに適用されるクラシック ポリシーが存在する場合は、インジケーターが表示されます。 インジケーターをクリックすると、クラシック ポリシー ページにリダイレクトされます。 クラシック ポリシー ページで、クラシック ポリシーを移行したり、単に無効にしたりできます。 このページを閉じることで、評価結果に戻ることができます。

What If ツールのポリシー評価の例を示すスクリーンショット。適用されるポリシーが表示されています。

適用されるポリシーの一覧で、満たす必要がある許可コントロールセッション コントロールの一覧も確認できます。

適用されないポリシーの一覧では、これらのポリシーが適用されない理由を確認できます。 表示されている各ポリシーの理由は、満たされていない最初の条件を表します。