使用 What If 工具对条件访问进行故障排除

当试图了解为什么在特定情况下将策略应用于用户或未应用于用户时,或者策略将以已知状态应用时,条件访问中的 What If 工具非常有用。

What If 工具位于“Microsoft Entra 管理中心”>“保护”>“条件访问”>“策略”>“What If”中。

Conditional Access What If tool at default state

收集信息

What If 工具只需要用户工作负载标识即可开始使用。

以下附加信息是可选的,但将有助于缩小特定情况的范围。

  • 云应用、操作或身份验证上下文
  • IP 地址
  • 国家/地区
  • 设备平台
  • 客户端应用
  • 设备状态
  • 登录风险
  • 用户风险级别
  • 服务主体风险(预览)
  • 设备筛选器

此信息可从用户、用户设备或 Microsoft Entra 登录日志中收集。

生成结果

输入上一部分中收集的条件,然后选择“What If”以生成结果列表。

随时可以选择“重置”清除输入的所有条件并返回默认状态。

评估结果

要应用的策略

此列表将显示给定条件适用的条件访问策略。 此列表将包含适用的授权控制和会话控制,包括仅限报告模式下的策略所应用的各项控制。 例如,需要多重身份验证才能访问特定的应用程序。

不适用的策略

此列表显示在应用条件的情况下将不适用的条件访问策略。 此列表将包含不适用的所有策略及具体原因,包括仅限报告模式下的策略。 示例包括可从策略中排除的用户和组。

用例

许多组织都基于网络位置创建策略,允许受信任的位置并阻止无权访问的位置。

若要验证是否已正确配置,管理员可以使用 What If 工具来模拟从应允许的位置和从应拒绝的位置进行的访问。

What If tool showing results with Block access

在这种情况下,由于 Contoso 已阻止从该位置进行访问,因此该用户在朝鲜旅行期间将被禁止访问任何云应用。

可以扩展此测试以合并其他数据点,从而缩小范围。

后续步骤