Risoluzione dei problemi di Accesso condizionale tramite lo strumento What If

L'accesso condizionale è una funzionalità di Azure Active Directory (Azure AD) che consente di controllare il modo in cui gli utenti autorizzati accedono alle app cloud. Come si sa cosa aspettarsi dai criteri di accesso condizionale nell'ambiente? Per rispondere a questa domanda, è possibile usare lo strumento What If di accesso condizionale.

Questo articolo illustra come usare questo strumento per testare i criteri di accesso condizionale.

Che cos'è

Lo strumento di accesso condizionale What If consente di comprendere l'impatto dei criteri di accesso condizionale nell'ambiente. Anziché testare i criteri eseguendo più accessi in modo manuale, questo strumento consente di valutare un accesso simulato di un utente. La simulazione valuta l'impatto di questo accesso sui criteri e genera un report di simulazione. Il report non elenca solo i criteri di accesso condizionale applicati, ma anche i criteri classici se esistenti.

Lo strumento What If consente di determinare rapidamente i criteri che si applicano a un utente specifico. Queste informazioni possono essere usate, ad esempio, se è necessario risolvere un problema.

Funzionamento

Nello strumento What If (Accesso condizionale) è prima necessario configurare le impostazioni dello scenario di accesso da simulare. Le impostazioni includono:

  • L'utente da testare
  • Le app cloud a cui l'utente proverà ad accedere
  • Le condizioni in cui viene eseguito l'accesso alle app cloud configurate

Come passaggio successivo, è possibile avviare una simulazione per valutare le impostazioni. Una valutazione prende in esame solo i criteri abilitati.

Al termine della valutazione, lo strumento genera un report dei criteri interessati. Per raccogliere altre informazioni su un criterio di accesso condizionale, le informazioni dettagliate sull'accesso condizionale e la cartella di lavoro di creazione di report possono fornire dettagli aggiuntivi sui criteri in modalità di solo report e questi criteri attualmente abilitati.

Esecuzione dello strumento

È possibile trovare lo strumento What If nella pagina Accesso condizionale - Criteri nella portale di Azure.

Per avviare lo strumento, nella barra degli strumenti nella parte superiore dell'elenco dei criteri fare clic su What If(Cosa se).

Screenshot of the Conditional Access - Policies page in the Azure portal. In the toolbar, the What if item is highlighted.

Prima di eseguire una valutazione, è necessario configurare le impostazioni.

Impostazioni

Questa sezione fornisce informazioni sulle impostazioni della simulazione.

Screenshot of the Azure portal What If page, with fields for a user, cloud apps, an I P address, a device platform, a client app, and a sign-in risk.

User

È possibile selezionare un solo utente. Questo è l'unico campo obbligatorio.

App cloud

Il valore predefinito di questa impostazione è Tutte le app cloud. Con l'impostazione predefinita viene eseguita una valutazione di tutti i criteri disponibili nell'ambiente in uso. È possibile restringere l'ambito di valutazione ai criteri che interessano app cloud specifiche.

Nota

Quando si usa lo strumento What If, non viene testato per le dipendenze del servizio di accesso condizionale. Ad esempio, se si usa What If per testare un criterio di accesso condizionale per Microsoft Teams, il risultato non prende in considerazione alcun criterio che si applica a Office 365 Exchange Online, una dipendenza del servizio di accesso condizionale per Microsoft Teams.

Indirizzo IP

L'indirizzo IP è un singolo indirizzo IPv4 necessario per simulare la condizione di posizione. Rappresenta l'indirizzo per Internet del dispositivo usato dall'utente per eseguire l'accesso. È possibile verificare l'indirizzo IP di un dispositivo accedendo, ad esempio, al sito Web What is my IP address.

Piattaforme per dispositivi

Questa impostazione simula la condizione di piattaforme del dispositivo ed equivale all'opzione Tutte le piattaforme (incluse quelle non supportate).

App client

Questa impostazione simula la condizione di app client. Per impostazione predefinita, esegue la valutazione di tutti i criteri per i quali è selezionato Browser o App per dispositivi mobili e client desktop o sono selezionate entrambe le opzioni. Rileva anche i criteri che applicano Exchange ActiveSync (EAS). Per restringere l'ambito di questa impostazione, selezionare:

  • Browser per valutare tutti i criteri per i quali è selezionata almeno l'opzione Browser.
  • App per dispositivi mobili e client desktop per valutare tutti i criteri per i quali è selezionata almeno l'opzione App per dispositivi mobili e client desktop.

Rischio di accesso

Questa impostazione simula la condizione di rischio di accesso.

Valutazione

Si avvia una valutazione facendo clic su What If .You start an evaluation by click What If.You start an evaluation by click What If. Al termine della valutazione, viene generato un report contenente gli elementi seguenti:

Screenshot of an evaluation report. Text indicates that at least one classic policy is configured. Tabs are available for viewing policies.

  • Un indicatore che segnala l'eventuale presenza di criteri classici nell'ambiente in uso
  • I criteri che si applicano all'utente
  • I criteri che non si applicano all'utente

Se per le app cloud selezionate sono presenti criteri classici, viene visualizzato un indicatore. Facendo clic sull'indicatore, l'utente viene reindirizzato alla pagina relativa ai criteri classici. In questa pagina è possibile semplicemente disabilitare un criterio classico o eseguirne la migrazione. Chiudendo la pagina è possibile tornare ai risultati della valutazione.

Nell'elenco dei criteri che si applicano all'utente selezionato, è anche possibile trovare un elenco di controlli di concessione e controlli sessione che l'utente deve soddisfare.

Nell'elenco dei criteri che non si applicano all'utente è possibile trovare anche i motivi di tale inapplicabilità. Per ogni criterio elencato, il motivo rappresenta la prima condizione che non è stata soddisfatta. Un possibile motivo per cui un criterio non viene applicato è che sia stato disabilitato. In questo caso, il criterio non viene ulteriormente valutato.

Passaggi successivi