Устранение неполадок с условным доступом с помощью средства What If

Средство What If помогает определить, почему политика была или не была применена к пользователю в определенных обстоятельствах или почему она будет применена в известном состоянии.

Чтобы перейти к средству What If, выберите портал Azure>Azure Active Directory>Безопасность>Условный доступ>What If.

Conditional Access What If tool at default state

Сбор сведений

Чтобы начать работу, средству What If требуется только значение параметра Пользователь или Удостоверение рабочей нагрузки.

Хотя следующие дополнительные сведения являются необязательными, они позволяют ограничить область действия.

  • Облачные приложения, действия и контекст проверки подлинности
  • IP-адрес
  • Страна/регион
  • Платформа устройства
  • Клиентские приложения
  • Состояние устройства
  • Риск при входе
  • Уровень риска для пользователя
  • Риск субъекта-службы (предварительная версия)
  • Фильтр для устройств

Эти сведения можно получить от пользователя, с устройства или из журнала входов в Azure AD.

Создание результатов

Введите условия, перечисленные в предыдущем разделе, и выберите What If, чтобы создать список результатов.

В любой момент можно выбрать Reset (Сбросить), чтобы очистить введенные условия и вернуться к состоянию по умолчанию.

Оценка результатов

Политики, которые будут применяться

Этот список содержит политики условного доступа, которые будут применяться при заданных условиях. Список будет включать элементы управления, связанные с предоставлением разрешений и сеансами, включая элементы управления из политик в режиме "только отчет". Примеры включают требование пройти многофакторную проверку подлинности для получения доступа к конкретному приложению.

Политики, которые не будут применяться

Этот список содержит политики условного доступа, которые не будут применяться в заданных условиях. Список будет включать все политики и причину, по которой они не применяются, включая политики в режиме "только отчет". Например, некоторые пользователи и группы могут быть исключены из политики.

Вариант использования

Многие организации создают политики на основе сетевых расположений, разрешая надежные расположения и блокируя расположения, доступ к которым нужно запретить.

Для проверки правильности конфигурации администратор может использовать средство What If для имитации доступа из расположения, которое должно быть разрешено, и из расположения, которое должно быть запрещено.

What If tool showing results with Block access

В этом примере пользователю будет отказано в доступе к облачным приложениям во время пребывания в Северной Корее, так Contoso блокирует доступ из этого расположения.

Этот тест можно расширить, включив другие точки данных для ограничения области.

Дальнейшие действия