Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Narzędzie zasad dostępu warunkowego What If pomaga zrozumieć wynik zasad dostępu warunkowego w twoim środowisku. Może to być przydatne podczas symulowania nietypowych scenariuszy, co umożliwia projektowanie bardziej kompleksowych zasad zabezpieczeń. Zamiast ręcznie testować zasady przy użyciu wielu logów, to narzędzie ułatwia symulowanie logowania użytkownika, tożsamości agenta lub pojedynczej jednostki usługi dzierżawy. Symulacja szacuje, w jaki sposób zasady wpływają na to logowanie i generuje raport.
Narzędzie What If i interfejsy API umożliwiają szybkie określenie zasad, które mają zastosowanie do określonego użytkownika, tożsamości agenta lub pojedynczej jednostki usługi dzierżawy. Skorzystaj z tych informacji, aby rozwiązać problemy, zrozumieć, które zasady mają zastosowanie do określonych warunków logowania i przetestować złożone scenariusze logowania.
Jak to działa
Narzędzie analizy warunkowej "Co jeśli" jest obsługiwane przez interfejs API "Co jeśli". Aby użyć narzędzia, rozpocznij od skonfigurowania warunków scenariusza logowania, który chcesz symulować. Konfiguracja powinna obejmować następujące elementy:
- Użytkownik, tożsamość agenta (wersja zapoznawcza) lub pojedyncza jednostka usługi dzierżawy, którą chcesz przetestować.
- Aplikacje w chmurze, akcje użytkownika, które podejmą próbę wykonania, lub poufne dane chronione przez kontekst uwierzytelniania, do którego podejmą próbę uzyskania dostępu.
- Warunki logowania, w których będzie podejmowana próba uzyskania dostępu.
Ważne
Narzędzie What If nie testuje zależności usługi dostępu warunkowego. Jeśli na przykład używasz funkcji What If do testowania zasad dostępu warunkowego dla usługi Microsoft Teams, wynik nie uwzględnia żadnych zasad, które dotyczą usługi Office 365 Exchange Online, zależności usługi dostępu warunkowego dla usługi Microsoft Teams.
Następnie zainicjuj przebieg symulacji, który ocenia ustawienia. Tylko zasady, które są włączone lub w trybie tylko do raportowania, są uwzględniane w przebieg oceny.
Po zakończeniu oceny narzędzie generuje raport zasad, których dotyczy problem. Aby zebrać więcej informacji na temat polityki dostępu warunkowego, użyj raportowania na poziomie jednostkowej polityki lub skoroszytu analizy i raportowania dostępu warunkowego, aby uzyskać szczegółowe informacje na temat zasad w trybie tylko raportowania lub obecnie włączonych.
Uruchamianie narzędzia What If
Narzędzie What If można znaleźć w centrum administracyjnym Microsoft Entra>Entra ID>, w zasadach>dostępu warunkowego>What If.
Aby uruchomić ocenę warunkową, podaj warunki, które chcesz ocenić.
Warunki
Wymagane są następujące warunki: tożsamość, zasób docelowy, platforma urządzeń i aplikacja kliencka. Wszystkie inne warunki są opcjonalne i zakłada się, że domyślnie są ustawione na brak, jeśli nie zostanie podana żadna wartość. Aby uzyskać definicje tych warunków, zobacz artykuł Tworzenie zasad dostępu warunkowego.
Ocena
Rozpocznij ocenę, klikając pozycję Co jeśli. Wynik oceny zawiera raport składający się z następujących elementów:
- Wskaźnik pokazujący, czy w danym środowisku istnieją zasady klasyczne.
- Polityki dotyczące tożsamości użytkownika, agenta lub obciążenia roboczego.
- Zasady, które nie mają zastosowania do tożsamości użytkownika lub obciążenia.
Lista zasad, które mają zastosowanie, obejmuje również kontrole grantów i kontrole sesji , które muszą być spełnione.
Lista zasad, które nie mają zastosowania, zawiera przyczyny, dla których te zasady nie mają zastosowania. Dla każdej wymienionej zasady przyczyna reprezentuje pierwszy warunek, który nie został spełniony.
Posiada filtr wskazuje, czy polityka ma filtry aplikacji, które używają niestandardowych atrybutów zabezpieczeń.
Kluczowe różnice między interfejsem API oceny warunkowej a starszym środowiskiem
Interfejs API analizy warunkowej to interfejs API programu Microsoft Graph, który jest wywoływany przez środowisko dostępu warunkowego. Narzędzie What If, zasilane przez interfejs API What If Evaluation, jest obecnie dostępne w publicznej wersji zapoznawczej. Interfejs API różni się od starszej wersji oceny warunkowej na kilka sposobów:
- Interfejs API typu "co-jeżeli" jest publiczny i w pełni wspierany (gdy interfejs API jest ogólnie dostępny). Interfejs API może być używany za pomocą panelu dostępu warunkowego oraz interfejsu API MS Graph.
- Logika jest zgodna z logiką uwierzytelniania używaną podczas logowania, aby zapewnić dokładniejszą ocenę zasad.
- Interfejs API co-jeżeli oczekuje, że wszystkie parametry niezbędne do zalogowania są zdefiniowane w celu oceny dla uzyskania najdokładniejszych wyników. Jeśli dzierżawca ma polityki z określonymi warunkami, a szczegóły logowania dla tych warunków nie są podane, interfejs API "What If" nie może ocenić tych warunków.
Uwaga / Notatka
W przypadku specyfikacji aplikacji podaj identyfikator aplikacji. Grupy aplikacji, takich jak Office 365 lub Portale administracyjne firmy Microsoft, nie powodują dopasowania.
Przykłady
W tym przykładzie wyróżniono kluczowe różnice:
Załóżmy, że masz zasady dostępu warunkowego z następującą konfiguracją:
- Użytkownik: wszyscy użytkownicy
- Zasób: Office 365
- Lokalizacja: Stany Zjednoczone
- Ryzyko związane z logowaniem: wysokie
| Przykład | Parametry | Wynik oparty na starszej wersji oceny analizy warunkowej | Wynik oparty na nowym interfejsie API oceny analizy "co jeśli" |
|---|---|---|---|
| 1 | UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" | Dotyczy | Nie dotyczy |
| 2 | UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" ApplicationId = "00000003-0000-0ff1-ce00-0000000000000" |
Dotyczy | Nie dotyczy |
| 3 | UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" ApplicationId = "00000003-0000-0ff1-ce00-0000000000000" Location = "US" |
Dotyczy | Nie dotyczy |
| 4 | UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" ApplicationId = "00000003-0000-0ff1-ce00-0000000000000" Location = "US" Ryzyko logowania = "Wysoki" |
Dotyczy | Dotyczy |
Powiązana zawartość
- Dowiedz się więcej na temat zastosowania zasad dostępu warunkowego przy użyciu trybu tylko do raportowania w analizach i raportowaniu dostępu warunkowego.
- Aby skonfigurować zasady dostępu warunkowego dla środowiska, zobacz Typowe zasady dostępu warunkowego.