What If ツールを使用した条件付きアクセスのトラブルシューティング

条件付きアクセスは、承認されたユーザーによるクラウド アプリへのアクセスを制御できるようにする、Azure Active Directory (Azure AD) の機能です。 環境内で条件付きアクセス ポリシーから予期される事柄を知るにはどうすればよいでしょうか。 この質問に答えるために、条件付きアクセスの What If ツールを使用できます。

この記事では、このツールを使用して、条件付きアクセス ポリシーをテストする方法について説明します。

説明

条件付きアクセスの What If ポリシー ツールによって、条件付きアクセス ポリシーが環境に与える影響を理解することができます。 複数のサインインを手動で実行することでポリシーの適用をテストする代わりに、このツールを使用して、ユーザーのシミュレートされたサインインを評価できます。 シミュレーションでは、サインインがポリシーに与える影響を推定し、シミュレーション レポートが生成されます。 レポートには、適用された条件付きアクセス ポリシーだけではなく、クラシック ポリシーが存在する場合はそれらも一覧表示されます。

What If ツールは、特定のユーザーに適用されるポリシーをすばやく判断する方法も提供します。 この情報は、たとえば問題をトラブルシューティングする必要がある場合に使用できます。

しくみ

条件付きアクセスの What If ツールでは、シミュレートするサインイン シナリオの設定を最初に構成する必要があります。 これらの設定には、以下が含まれます。

  • テストするユーザー
  • ユーザーがアクセスを試みるクラウド アプリ
  • 構成されたクラウド アプリへのアクセスが実行される条件

次の手順として、設定を評価するシミュレーションの実行を開始できます。 有効になっているポリシーのみが、評価実行の一部になります。

評価が完了すると、ツールは、影響を受けたポリシーのレポートを生成します。 条件付きアクセス ポリシーに関する詳細情報を収集するには、レポート専用モードのポリシーと現在有効なポリシーの詳細について「条件付きアクセスに関する分析情報とレポート」ワークブックを参照してください。

ツールの実行

What If ツールは、Azure portal の [条件付きアクセス - ポリシー] ページで見つけることができます。

ツールを起動するには、ポリシーの一覧の上部にあるツール バーで、 [What If] をクリックします。

Screenshot of the Conditional Access - Policies page in the Azure portal. In the toolbar, the What if item is highlighted.

評価を実行する前に、設定を構成する必要があります。

設定

このセクションでは、シミュレーションの実行の設定について説明します。

Screenshot of the Azure portal What If page, with fields for a user, cloud apps, an I P address, a device platform, a client app, and a sign-in risk.

User

ユーザーは 1 人だけ選択できます。 これは唯一の必須フィールドです。

クラウド アプリ

この設定の既定値は [すべてのクラウド アプリ] です。 既定の設定では、環境内で使用可能なすべてのポリシーの評価が実行されます。 特定のクラウド アプリに影響する範囲のポリシーに絞り込むことができます。

Note

What If ツールを使用する場合、条件付きアクセスのサービスの依存関係はテストされません。 たとえば、What If を使用して Microsoft Teams の条件付きアクセス ポリシーをテストする場合、Office 365 Exchange Online に適用されるポリシー (Microsoft Teams の条件付きアクセス サービスの依存関係) は、結果に考慮されません。

IP アドレス

IP アドレスは、場所の条件を模倣するための 1 つの IPv4 アドレスです。 このアドレスは、ユーザーがサインインするために使用するデバイスのインターネット アドレスを表します。 デバイスの IP アドレスは、たとえば What is my IP address に移動することで確認できます。

デバイス プラットフォーム

この設定は、デバイス プラットフォームの条件を模倣し、 [すべてのプラットフォーム (サポート対象外を含む)] に相当します。

クライアント アプリ

この設定は、クライアント アプリの条件を模倣します。 既定では、この設定は、 [ブラウザー] または [モバイル アプリとデスクトップ クライアント] のどちらかが選択されているか両方が選択されているすべてのポリシーを評価します。 [Exchange ActiveSync (EAS)] を適用するポリシーも検出されます。 以下を選択することで、この設定を絞り込むことができます。

  • 少なくとも [ブラウザー] が選択されているすべてのポリシーのみを評価するには [ブラウザー] を選択。
  • 少なくとも [モバイルアプリとデスクトップ クライアント] が選択されているすべてのポリシーのみを評価するには [モバイル アプリとデスクトップ クライアント] を選択。

サインイン リスク

この設定は、サインイン リスクの条件を模倣します。

評価

[What If] をクリックして評価を開始します。 以下で構成されるレポートによって評価結果が示されます。

Screenshot of an evaluation report. Text indicates that at least one classic policy is configured. Tabs are available for viewing policies.

  • 環境内にクラシック ポリシーが存在するかどうかを示すインジケーター
  • ユーザーに適用されるポリシー
  • ユーザーに適用されないポリシー

選択したクラウド アプリに適用されるクラシック ポリシーが存在する場合は、インジケーターが表示されます。 インジケーターをクリックすると、クラシック ポリシー ページにリダイレクトされます。 クラシック ポリシー ページで、クラシック ポリシーを移行したり、単に無効にしたりできます。 このページを閉じることで、評価結果に戻ることができます。

選択したユーザーに適用されるポリシーの一覧で、ユーザーが満たす必要がある許可コントロールセッション コントロールの一覧も確認できます。

ユーザーに適用されないポリシーの一覧では、これらのポリシーが適用されない理由も確認できます。 表示されている各ポリシーの理由は、満たされていない最初の条件を表します。 ポリシーは、これ以上評価されないために無効なポリシーであるという理由で、適用されない場合があります。

次のステップ