Hibaelhárítás a feltételes hozzáférés Lehetőségelemzési eszközével

A feltételes hozzáférés az Azure Active Directory (Azure AD) képessége, amely lehetővé teszi annak szabályozását, hogy a jogosult felhasználók hogyan férnek hozzá a felhőalkalmazásokhoz. Honnan tudja, hogy mire számíthat a környezet feltételes hozzáférési szabályzataitól? A kérdés megválaszolásához használhatja a feltételes hozzáférés lehetőségelemzési eszközét.

Ez a cikk azt ismerteti, hogyan használhatja ezt az eszközt a feltételes hozzáférési szabályzatok teszteléséhez.

Leírás

A feltételes hozzáférés lehetőségelemzési szabályzat eszközével megismerheti a feltételes hozzáférési szabályzatok környezetre gyakorolt hatását. Ahelyett, hogy manuálisan több bejelentkezéssel teszteli a szabályzatokat, ez az eszköz lehetővé teszi egy felhasználó szimulált bejelentkezésének kiértékelését. A szimuláció megbecsüli a bejelentkezésnek a szabályzatokra gyakorolt hatását, és létrehoz egy szimulációs jelentést. A jelentés nem csak az alkalmazott feltételes hozzáférési szabályzatokat sorolja fel, hanem a klasszikus szabályzatokat is, ha léteznek.

A What If eszköz lehetővé teszi az adott felhasználóra vonatkozó szabályzatok gyors meghatározását. Az információkat például akkor használhatja, ha hibaelhárításra van szüksége.

Működés

A Feltételes hozzáférés Lehetőségelemzés eszközében először konfigurálnia kell a szimulálni kívánt bejelentkezési forgatókönyv beállításait. Ezek a beállítások többek között:

  • A tesztelni kívánt felhasználó
  • Azok a felhőalkalmazások, amelyekhez a felhasználó megpróbál hozzáférni
  • A konfigurált felhőalkalmazásokhoz való hozzáférés feltételei

A következő lépésben elindíthat egy szimulációs futtatásokat, amelyek kiértékelik a beállításokat. Csak az engedélyezett szabályzatok részei a próbafuttatásnak.

Ha az értékelés befejeződött, az eszköz jelentést készít az érintett szabályzatokról. A feltételes hozzáférési szabályzatokkal kapcsolatos további információk gyűjtéséhez a feltételes hozzáférési megállapítások és a jelentéskészítési munkafüzet további részleteket adhat meg a csak jelentési módban és a jelenleg engedélyezett szabályzatokról.

Az eszköz futtatása

A Lehetőségelemzés eszköz az Azure Portal Feltételes hozzáférés – Szabályzatok lapján található.

Az eszköz elindításához a szabályzatok listájának tetején lévő eszköztáron kattintson a Lehetőségelemzés elemre.

Screenshot of the Conditional Access - Policies page in the Azure portal. In the toolbar, the What if item is highlighted.

A kiértékelés futtatása előtt konfigurálnia kell a beállításokat.

Beállítások

Ez a szakasz a szimuláció futtatásának beállításaival kapcsolatos információkat tartalmaz.

Screenshot of the Azure portal What If page, with fields for a user, cloud apps, an I P address, a device platform, a client app, and a sign-in risk.

Felhasználó

Csak egy felhasználót jelölhet ki. Ez az egyetlen kötelező mező.

Felhőalkalmazások

Ennek a beállításnak az alapértelmezett értéke a Minden felhőalkalmazás. Az alapértelmezett beállítás kiértékeli a környezetben elérhető összes szabályzatot. Az egyes felhőalkalmazásokat érintő szabályzatokra szűkítheti a hatókört.

Megjegyzés

A What If eszköz használatakor nem teszteli a feltételes hozzáférési szolgáltatás függőségeit. Ha például a What If függvényt használja a Microsoft Teams feltételes hozzáférési szabályzatának teszteléséhez, az eredmény nem veszi figyelembe az Office 365 Exchange Online-ra, a Microsoft Teams feltételes hozzáférési szolgáltatásfüggőségére vonatkozó szabályzatot.

IP-cím

Az IP-cím egyetlen IPv4-cím a helyfeltétel utánzásához. A cím annak az eszköznek az internetes címét jelöli, amelyet a felhasználó a bejelentkezéshez használ. Az eszköz IP-címének ellenőrzéséhez például navigáljon a Mi az IP-címem elemre.

Eszközplatformok

Ez a beállítás utánozza az eszközplatformok feltételét, és a Minden platform megfelelőjének felel meg (a nem támogatottakat is beleértve).

Ügyfélalkalmazások

Ez a beállítás az ügyfélalkalmazások feltételét utánozza. Alapértelmezés szerint ez a beállítás az összes olyan szabályzat kiértékelését eredményezi, amelynek böngésző - vagy mobilalkalmazásai, illetve asztali ügyfelei egyenként vagy mindkettővel vannak kiválasztva. Emellett észleli az Exchange ActiveSyncet (EAS) kényszerítő szabályzatokat is. Ezt a beállítást a következő elemet választva szűkítheti le:

  • Böngésző az összes olyan szabályzat kiértékeléséhez, amelyekben legalább a Browser van kiválasztva.
  • Mobilalkalmazások és asztali ügyfelek az összes olyan szabályzat kiértékeléséhez, amelyekben legalább a Mobilalkalmazások és az asztali ügyfelek vannak kiválasztva.

Bejelentkezési kockázat

Ez a beállítás a bejelentkezési kockázati feltételt utánozza.

Értékelés

A kiértékelést a What If (Lehetőségelemzés) gombra kattintva indíthatja el. A kiértékelési eredmény egy jelentést biztosít, amely a következőkből áll:

Screenshot of an evaluation report. Text indicates that at least one classic policy is configured. Tabs are available for viewing policies.

  • Annak jelzése, hogy léteznek-e klasszikus szabályzatok a környezetben
  • A felhasználóra vonatkozó szabályzatok
  • A felhasználóra nem érvényes szabályzatok

Ha klasszikus szabályzatok léteznek a kiválasztott felhőalkalmazásokhoz, megjelenik egy jelző. A mutatóra kattintva a rendszer átirányítja a klasszikus szabályzatok lapjára. A klasszikus szabályzatok lapon áttelepíthet egy klasszikus házirendet, vagy egyszerűen letilthatja azt. Az oldal bezárásával visszatérhet a kiértékelési eredményhez.

A kiválasztott felhasználóra vonatkozó szabályzatok listájában megtalálhatja a felhasználó által teljesítendő engedélyezési ésmunkamenet-vezérlők listáját is.

A felhasználóra nem érvényes szabályzatok listájában megtalálhatja azokat az okokat is, amelyek miatt ezek a szabályzatok nem érvényesek. Minden felsorolt szabályzat esetében az ok az első feltétel, amely nem teljesült. A nem alkalmazott szabályzatok lehetséges oka egy letiltott szabályzat, mert a rendszer nem értékeli tovább őket.

Következő lépések