What If ツールを使用して条件付きアクセス ポリシーのトラブルシューティングを行う

  • [アーティクル]

条件付きアクセスの What If ポリシー ツールを使用すると、条件付きアクセス ポリシーが環境に与える結果を理解することができます。 複数のサインインを手動で実行することでポリシーの適用をテストする代わりに、このツールを使用して、ユーザーのシミュレートされたサインインを評価できます。 シミュレーションでは、サインインがポリシーに与える結果を推定し、レポートが生成されます。

What If ツールは、特定のユーザーに適用されるポリシーをすばやく判断する方法も提供します。 この情報は、たとえば問題をトラブルシューティングする必要がある場合に使用できます。

しくみ

条件付きアクセスの What If ツールでは、シミュレートするサインイン シナリオの条件を最初に構成する必要があります。 これらの設定には、以下のようなものが含まれます。

  • テストするユーザー
  • ユーザーがアクセスを試みるクラウド アプリ
  • 構成されたクラウド アプリへのアクセスが実行される条件

What If ツールでは、条件付きアクセスのサービスの依存関係はテストされません。 たとえば、What If を使用して Microsoft Teams の条件付きアクセス ポリシーをテストする場合、Office 365 Exchange Online に適用されるポリシー (Microsoft Teams の条件付きアクセス サービスの依存関係) は、結果に考慮されません。

次の手順として、設定を評価するシミュレーションの実行を開始できます。 有効になっているポリシーのみが、評価実行の一部になります。

評価が完了すると、ツールは、影響を受けたポリシーのレポートを生成します。 条件付きアクセス ポリシーに関する詳細情報を収集するには、レポート専用モードのポリシーと現在有効なポリシーの詳細について「条件付きアクセスに関する分析情報とレポート」ワークブックを参照してください。

ツールの実行

What If ツールは、[Microsoft Entra 管理センター][保護][条件付きアクセス][ポリシー][What If] で確認できます。

Screenshot of the Conditional Access Policies page. In the toolbar, the What if item is highlighted.

What If ツールを実行する前に、評価する条件を指定する必要があります。

条件

必要な条件は、ユーザーまたはワークロード ID の選択のみです。 その他の条件はすべて省略可能です。 これらの条件の定義については、「条件付きアクセス ポリシーの構築」という記事を参照してください。

Screenshot of the What If page ready for conditions to be entered.

評価

[What If] をクリックして評価を開始します。 以下で構成されるレポートによって評価結果が示されます。

  • 環境内にクラシック ポリシーが存在するかどうかを示すインジケーター。
  • ユーザーまたはワークロード ID に適用されるポリシー。
  • ユーザーまたはワークロード ID には適用されないポリシー。

選択したクラウド アプリに適用されるクラシック ポリシーが存在する場合は、インジケーターが表示されます。 インジケーターをクリックすると、クラシック ポリシー ページにリダイレクトされます。 クラシック ポリシー ページで、クラシック ポリシーを移行したり、単に無効にしたりできます。 このページを閉じることで、評価結果に戻ることができます。

Screenshot of an example of the policy evaluation in the What If tool showing policies that would apply.

適用されるポリシーの一覧で、満たす必要がある許可コントロールセッション コントロールの一覧も確認できます。

適用されないポリシーの一覧では、これらのポリシーが適用されない理由を確認できます。 表示されている各ポリシーの理由は、満たされていない最初の条件を表します。

次のステップ