What If ツールを使用した条件付きアクセスのトラブルシューティング

条件付きアクセスの What If ツールは、あるポリシーが特定の状況でユーザーに適用されたりされなかったりした理由や、あるポリシーが既知の状態で適用されるかどうかを理解しようとしている場合の強力なツールです。

What If ツールは、[Azure portal]>[Azure Active Directory]>[セキュリティ]>[条件付きアクセス]>[What If] にあります。

Conditional Access What If tool at default state

情報の収集

What If ツールの使用を開始するために必要なのはユーザーまたはワークロード ID だけです。

次の追加情報はオプションですが、特定のケースで範囲を絞り込むのに役立ちます。

  • クラウド アプリ、アクション、または認証コンテキスト
  • IP アドレス
  • 国/リージョン
  • デバイスのプラットフォーム
  • クライアント アプリ
  • デバイスの状態
  • サインイン リスク
  • ユーザーのリスク レベル
  • サービス プリンシパル リスク (プレビュー)
  • デバイスのフィルター

これらの情報は、ユーザー、そのデバイス、または Azure AD サインイン ログから収集できます。

結果の生成

前のセクションで収集された条件を入力し、 [What If] を選択して結果の一覧を生成します。

いつでも、 [Reset] (リセット) を選択して条件の入力をすべてクリアし、既定の状態に戻ることができます。

結果の評価

[Policies that will apply] (適用されるポリシー)

この一覧は、条件が与えられたときに、どの条件付きアクセス ポリシーが適用されるかを示します。 一覧には、レポート専用モードのポリシーからのものを含めて、適用される許可とセッションの両方の制御が含まれます。 例として、特定のアプリケーションにアクセスするための多要素認証の要求があります。

[Policies that will not apply] (適用されないポリシー)

この一覧は、条件が適用された場合に適用されない条件付きアクセス ポリシーを示します。 一覧には、レポート専用モードのポリシーからのものを含めて、すべてのポリシーとそれらが適用されない理由が含まれます。 例として、ポリシーから除外される可能性があるユーザーやグループがあります。

使用事例

多くの組織では、ネットワークの場所、信頼できる場所の許可、およびアクセスが行われてはいけない場所のブロックに基づいてポリシーが作成されます。

構成が適切に作成されていることを検証するために、管理者は What If ツールを使用して、許可されるべき場所や拒否されるべき場所からアクセスを模倣できます。

What If tool showing results with Block access

この例では、Contoso が北朝鮮からのアクセスをブロックしたため、ユーザーはその場所への旅行ですべてのクラウド アプリへのアクセスをブロックされます。

このテストは、範囲を絞り込むための他のデータ ポイントを組み込むように拡張できます。

次のステップ