Поделиться через

Устранение неполадок политик условного доступа с помощью средства "Что если"

Средство моделирования политики условного доступа "Что если" помогает понять результат политик условного доступа в вашей среде. Это может быть полезно при имитации необычных сценариев, что позволяет создавать более комплексные политики безопасности. Вместо ручного тестирования ваших политик с несколькими аутентификациями это средство помогает вам имитировать аутентификацию для пользователя или учетной записи службы. Симуляция оценивает, как ваши политики влияют на этот вход в систему и создает отчет.

Средство «Что если» и API позволяют быстро определить политики, применяемые к конкретному пользователю или служебному принципалу с одним арендатором. Используйте эти сведения для устранения неполадок, понять, какие политики применяются к определенным условиям входа и протестировать сложные сценарии входа.

Принцип работы

Инструмент условного доступа работает на базе API оценки "Что если". Чтобы использовать средство, начните с настройки условий сценария входа, который вы хотите имитировать. В конфигурацию должны быть включены следующие элементы:

  • Пользователь или субъект-служба одного клиента, который требуется протестировать.
  • Облачные приложения, действия пользователя, которые они попытаются выполнить, или конфиденциальные данные, защищенные контекстом аутентификации, к которым они попытаются получить доступ.
  • Условия входа, при которых будет попытка получить доступ.

Это важно

Инструмент What If не проверяет зависимости службы условного доступа. Например, если вы используете What If, чтобы протестировать политику условного доступа для Microsoft Teams, результат не учитывает политику, которая применяется к Office 365 Exchange Online, являющуюся зависимым сервисом условного доступа для Microsoft Teams.

Затем инициируйте запуск моделирования, который оценивает параметры. В процессе оценки учитываются только политики, которые включены или находятся в режиме лишь для отчетов.

По завершении оценки средство создает отчет о затронутых политиках. Чтобы получить дополнительные сведения о политике условного доступа, используйте отчетность по политике условного доступа или книгу "Аналитика и отчеты по условному доступу" для получения сведений о политиках в режиме только для отчетов или которые в настоящее время включены.

Запустите средство Что если

Вы можете найти инструмент «Что если» в центре администрирования Microsoft Entra>, в разделе Entra ID>условного доступа>, в политиках> под вкладкой «Что если».

Снимок экрана: страница

Чтобы запустить оценку "Что если", укажите условия, которые необходимо оценить.

Условия

Требуются следующие условия: удостоверение, целевой ресурс, платформа устройства и клиентское приложение. Все остальные условия являются необязательными и по умолчанию предполагается, что они установлены на none, если значение не задано. Определения этих условий см. в статье "Создание политики условного доступа".

Снимок экрана: страница

Оценка

Запустите оценку, нажав кнопку "Что если". После оценки предоставляется отчет, содержащий:

  • Индикатор того, существуют ли классические политики в вашей среде.
  • Политики, применяемые к идентификатору пользователя или рабочей нагрузки.
  • Политики, которые не применяются к удостоверению пользователя или идентичности рабочей нагрузки.

Снимок экрана: пример оценки политики в инструменте What If с политиками, которые будут применяться.

Список политик, которые применяются, также включает контроль доступа и элементы управления сеансом, которые должны быть удовлетворены.

Список политик, которые не применяются, содержат причины, по которым эти политики не применяются. Для каждой из перечисленных политик причина представляет первое условие, которое не было выполнено.

Фильтр указывает, имеет ли политика фильтры приложений, использующие настраиваемые атрибуты безопасности.

Основные различия между API оценки "Что если" и устаревшим интерфейсом

API Оценки «Что Если» — это API Microsoft Graph, который вызывается в процессе работы с условным доступом. Инструмент "Что если", работающий на API оценки "Что если", в настоящее время находится в общедоступном предварительном просмотре. API отличается от устаревшей оценки "Что если" несколькими способами:

  1. API What-if является общедоступным и полностью поддерживаемым API (как только оно станет общедоступным). API можно использовать с помощью пользовательского интерфейса условного доступа и API MS Graph.
  2. Логика соответствует логике проверки подлинности, используемой во время входа, чтобы обеспечить более точную оценку политики.
  3. API What-if ожидает, что все параметры входа будут определены для оценки, чтобы обеспечить наиболее точные результаты. Если у клиента есть политики с определенными условиями и сведения о входе для этих условий не указаны, API What If не может оценить эти условия.

Замечание

Для спецификации приложения укажите идентификатор приложения. Группы приложений, таких как Office 365 или порталы администрирования Майкрософт, не приводят к совпадению.

Примеры

В этом примере выделены ключевые различия:

Предположим, что у вас есть политика условного доступа со следующей конфигурацией:

  • Пользователь: все пользователи
  • Ресурс: Office 365
  • Расположение: Соединенные Штаты
  • Риск входа: высокий
Пример Параметры Результат на основе устаревшей оценки "Что если" Результат на основе нового API оценки "Что если"
1 UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" Применяется Не применимо
2 UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
ApplicationId = "00000003-0000-0ff1-ce00-000000000000" 		Применяется Не применимо
3 UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
ApplicationId = "00000003-0000-0ff1-ce00-000000000000"
Location = "US"		 Применяется Применяется
4 UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
ApplicationId = "00000003-0000-0ff1-ce00-000000000000"
 Location = "US"
 Риск входа = "Высокий"
Применяется Применяется

Связанный контент