조건부 액세스 What If 정책 도구를 사용하면 사용자 환경에서 조건부 액세스 정책의 결과를 이해할 수 있습니다. 일반적이지 않은 시나리오를 시뮬레이션할 때 유용할 수 있으므로 보다 포괄적인 보안 정책을 설계할 수 있습니다. 이 도구는 여러 로그인으로 정책을 수동으로 테스트하는 대신 사용자 또는 서비스 주체에 대한 로그인을 시뮬레이션하는 데 도움이 됩니다. 시뮬레이션은 정책이 이 로그인에 미치는 영향을 예측하고 보고서를 생성합니다.
What If 도구 및 API를 사용하면 특정 사용자 또는 단일 테넌트 서비스 주체에 적용되는 정책을 신속하게 결정할 수 있습니다. 이 정보를 사용하여 문제를 해결하고, 특정 로그인 조건에 적용되는 정책을 이해하고, 복잡한 로그인 시나리오를 테스트합니다.
작동 원리
조건부 액세스 What If 도구는 What If Evaluation API를 통해 제공됩니다. 이 도구를 사용하려면 먼저 시뮬레이션하려는 로그인 시나리오의 조건을 구성합니다. 구성에는 다음이 포함되어야 합니다.
- 테스트하려는 사용자 또는 단일 테넌트 서비스 주체 계정입니다.
- 클라우드 앱, 사용자가 수행하려고 하는 작업, 또는 인증 컨텍스트로 보호된 민감한 데이터에 대한 액세스를 시도하려는 경우.
- 액세스를 시도할 로그인 조건입니다.
중요합니다
What If 도구는 조건부 액세스 서비스 종속성을 테스트하지 않습니다. 예를 들어 What If 를 사용하여 Microsoft Teams에 대한 조건부 액세스 정책을 테스트하는 경우 결과는 Microsoft Teams의 조건부 액세스 서비스 종속성인 Office 365 Exchange Online에 적용되는 정책을 고려하지 않습니다.
다음으로, 설정을 평가하는 시뮬레이션 실행을 시작합니다. 사용하도록 설정되거나 보고서 전용 모드인 정책만 평가 실행에 포함됩니다.
평가가 완료되면 이 도구는 영향을 받는 정책에 대한 보고서를 생성합니다. 조건부 액세스 정책에 대한 자세한 정보를 수집하려면 정책별 조건부 액세스 보고 또는 조건부 액세스 인사이트 및 보고 통합 문서를 사용하여 보고서 전용 모드 또는 현재 사용하도록 설정된 정책에 대한 세부 정보를 확인합니다.
What If 도구 실행
What If 도구는 Microsoft Entra 관리 센터의 >조건부 액세스>에서 찾을 수 있습니다.
What If 평가를 실행하려면 평가하려는 조건을 제공합니다.
조건
ID, 대상 리소스, 디바이스 플랫폼 및 클라이언트 앱과 같은 조건이 필요합니다. 다른 모든 조건은 선택 사항이며 값이 제공되지 않으면 기본적으로 없음 으로 설정됩니다. 이러한 조건에 대한 정의는 조건부 액세스 정책 빌드 문서를 참조하세요.
평가
What If를 클릭하여 평가를 시작합니다. 평가 결과는 다음으로 구성된 보고서를 제공합니다.
- 클래식 정책이 사용자 환경에 존재하는지 여부를 보여 주는 표시기입니다.
- 사용자 또는 워크로드 ID에 적용되는 정책
- 사용자 또는 워크로드 ID에 적용되지 않는 정책
적용되는 정책 목록에는 충족해야 하는 권한 부여 컨트롤 및 세션 컨트롤 도 포함됩니다.
적용되지 않는 정책 목록에는 이러한 정책이 적용되지 않는 이유가 포함됩니다. 나열된 각 정책에 대해 이유는 충족되지 않은 첫 번째 조건을 나타냅니다.
정책에 사용자 지정 보안 특성을 사용하는 앱 필터가 있는지 여부를 나타내는 필터가 있습니다.
What If 평가 API와 레거시 환경 간의 주요 차이점
What If Evaluation API는 조건부 액세스 환경에서 호출되는 Microsoft Graph API입니다. What If Evaluation API에서 제공하는 What If 도구는 현재 공개 미리 보기로 제공됩니다. API는 몇 가지 방법으로 레거시 What If 평가와 다릅니다.
- What-if API는 공용이며 완전히 지원되는 API입니다(API가 일반 공급되면). API는 조건부 액세스 UX 및 MS Graph API를 통해 사용할 수 있습니다.
- 논리는 더 정확한 정책 평가를 제공하기 위해 로그인하는 동안 사용되는 인증 논리와 일치합니다.
- What-if API는 평가에서 가장 정확한 결과를 제공하기 위해 모든 로그인 매개 변수를 정의해야 합니다. 테넌트에 특정 조건이 있는 정책이 있고 해당 조건에 대한 로그인 세부 정보가 제공되지 않는 경우 What If API는 해당 조건을 평가할 수 없습니다.
비고
애플리케이션 사양의 경우 앱 ID를 제공합니다. Office 365 또는 Microsoft 관리 포털과 같은 앱 그룹은 일치하지 않습니다.
예시
이 예제에서는 주요 차이점을 강조 표시합니다.
다음 구성을 사용하는 조건부 액세스 정책이 있다고 가정합니다.
- 사용자: 모든 사용자
- 리소스: Office 365
- 위치: 미국
- 로그인 위험: 높음
| 예시 | 매개 변수 | 레거시 What If 평가에 따른 결과 | 새 What If 평가 API를 기반으로 한 결과 |
|---|---|---|---|
| 1 | UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbbb" | 적용 | 해당하지 않음 |
| 2 | UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" ApplicationId = "00000003-0000-0ff1-ce00-000000000000" |
적용 | 해당하지 않음 |
| 3 | UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" ApplicationId = "00000003-0000-0ff1-ce00-000000000000" Location = "US" |
적용 | 적용 |
| 4 | UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" ApplicationId = "00000003-0000-0ff1-ce00-000000000000" Location = "US" 로그인 위험 = "높음" |
적용 | 적용 |
관련 콘텐츠
- 조건부 액세스 인사이트 및 보고에서 정책 보고서 전용 모드를 사용하여 조건부 액세스 정책 애플리케이션에 대해 자세히 알아봅니다.
- 사용자 환경에 대한 조건부 액세스 정책을 구성하려면 조건부 액세스 일반 정책을 참조하세요.