Устранение неполадок с условным доступом с помощью средства What If

С помощью условного доступа Azure Active Directory (Azure AD) можно контролировать доступ авторизованных пользователей к облачным приложениям. Как узнать, чего ожидать от политик условного доступа в своей среде? Чтобы ответить на этот вопрос, можно использовать инструмент What If для условного доступа.

В этой статье объясняется, как использовать этот инструмент для тестирования политик условного доступа.

Назначение элемента

С помощью инструмента What If для политик условного доступа можно понять, как политики условного доступа влияют на рабочую среду. Вместо того, чтобы тестировать политики, выполняя несколько входов вручную, можно воспользоваться данным инструментом, чтобы имитировать вход пользователя. При имитации оценивается влияние входа на политики и создается отчет об имитации. Этот отчет содержит не только примененные политики условного доступа, но и классические политики, если они существуют.

Инструмент What If также позволяет быстро определить политики, применяемые к определенному пользователю. Эти сведения можно использовать, например, если необходимо устранить проблему.

Принцип работы

В инструменте What If для условного доступа необходимо сначала настроить параметры сценария входа, который требуется имитировать. Эти параметры включают:

  • пользователь, которого необходимо проверить;
  • облачные приложения, к которым пользователь попытается получить доступ;
  • условия, при которых осуществляется доступ к настроенным облачным приложениям.

В качестве следующего шага можно запустить имитацию, чтобы проверить выбранные параметры. В оценке участвуют только включенные политики.

По завершении оценки инструмент создает отчет о задействованных политиках. Чтобы получить дополнительные сведения о политике условного доступа, см. статью Аналитические сведения и отчеты условного доступа, которая содержит сведения о политиках в режиме "только отчет" и о включенных в данный момент политиках.

Запуск инструмента

Инструмент What If можно найти на странице Условный доступ — политики на портале Azure.

Чтобы запустить этот инструмент, на панели инструментов в верхней части списка политик щелкните What If.

Screenshot of the Conditional Access - Policies page in the Azure portal. In the toolbar, the What if item is highlighted.

Прежде чем можно будет выполнить оценку, необходимо настроить параметры.

Параметры

В этом разделе приводятся сведения о параметрах имитации.

Screenshot of the Azure portal What If page, with fields for a user, cloud apps, an I P address, a device platform, a client app, and a sign-in risk.

Пользователь

Можно выбрать только одного пользователя. Это единственное обязательное поле.

Облачные приложения

Значение по умолчанию для этого параметра — Все облачные приложения. При значении по умолчанию выполняется оценка всех доступных политик в вашей среде. Можно сузить область оценки до политик, влияющих на конкретные облачные приложения.

Примечание

Если используется инструмент What If, он не проверяет зависимости службы условного доступа. Например, если вы используете What If для тестирования политики условного доступа для Microsoft Teams, результат не будет учитывать политику, которая будет применяться к Office 365 Exchange Online, зависимой службе условного доступа для Microsoft Teams.

IP-адрес

IP-адрес — это отдельный IPv4-адрес, необходимый для имитации условия расположения. Адрес представляет веб-адрес устройства, используемого пользователем для входа. Можно проверить IP-адрес устройства, например, перейдя по ссылке What is my IP address (Определить мой IP-адрес).

Платформы устройств

Этот параметр имитирует условие платформы устройства и представляет эквивалент параметра Все платформы (в том числе и неподдерживаемые).

Клиентские приложения

Этот параметр имитирует условие клиентских приложений. По умолчанию этот параметр вызывает оценку всех политик, для которых выбран параметр Браузер или Мобильные приложения и настольные клиенты (или оба эти параметра). Он также позволяет обнаружить политики, которые принудительно используют Exchange ActiveSync (EAS). Область этого параметра можно сузить, выбрав:

  • Браузер для оценки всех политик, для которых выбран по крайней мере параметр Браузер;
  • Мобильные приложения и настольные клиенты для оценки всех политик, для которых выбран по крайней мере параметр Мобильные приложения и настольные клиенты.

Риск при входе

Этот параметр имитирует условие риска при входе.

Оценка

Запустите оценку, щелкнув What If. После оценки предоставляется отчет, содержащий:

Screenshot of an evaluation report. Text indicates that at least one classic policy is configured. Tabs are available for viewing policies.

  • индикатор существования классических политик в вашей среде;
  • политики, которые применяются к вашему пользователю;
  • политики, которые не применяются к вашему пользователю.

Если для выбранных облачных приложений существуют классические политики, то отчет содержит соответствующий индикатор. Щелкнув этот индикатор, можно перейти на страницу классических политик. На странице классических политик можно перенести классическую политику или просто отключить ее. Закрыв эту страницу, можно вернуться к результату оценки.

В списке политик, применяемых к выбранному пользователю, можно найти список элементов управления предоставлением разрешений и элементов управления сеансами, значениям которых должен соответствовать пользователь.

В списке политик, которые не применяются к пользователю, можно также найти причины, по которым эти политики не применяются. Для каждой из перечисленных политик причина представляет первое условие, которое не было выполнено. Возможной причиной для политики, которая не применяется, является отключение политики ввиду того, что она в дальнейшем не оценивается.

Дальнейшие действия