使用 What If 工具对条件访问策略进行故障排除

通过“条件访问 What If 策略工具”,你可以了解条件访问策略对环境的结果。 通过此工具,可以评估模拟的用户登录,而不是通过手动执行多个登录来驱动策略的测试。 该模拟会估计此登录对策略的结果并生成报表。

What If 工具提供了一种快速确定适用于特定用户的策略的方法。 如果需要解决问题等,则可以使用此信息。

工作原理

在“条件访问 What If 工具”中,首先需要配置想要模拟的登录方案的条件。 这些设置可能包括:

  • 想要测试的用户
  • 用户要尝试访问的云应用
  • 访问配置的云应用时存在的条件

What If 工具不会针对条件访问服务依赖项进行测试。 例如,如果使用 What If 来测试 Microsoft Teams 的条件访问策略,结果将不会考虑适用于 Office 365 Exchange Online(Microsoft Teams 的条件访问服务依赖项)的任何策略。

下一步,可以启动用于评估设置的模拟运行。 评估运行中仅包含启用的策略。

完成评估后,此工具将生成一份受影响策略的报表。 若要收集有关条件访问策略的详细信息,可参阅条件访问见解和报表工作簿,更详细了解“仅限报告”模式的策略以及那些目前已启用的策略。

运行此工具

可以在“Microsoft Entra 管理中心”>“保护”>“条件访问”>“策略”>“What If”中找到 What If 工具。

Screenshot of the Conditional Access Policies page. In the toolbar, the What if item is highlighted.

在运行 What If 工具之前,必须提供想要评估的条件。

条件

必须满足的唯一条件是选择用户或工作负载标识。 所有其他条件都是可选的。 有关这些条件的定义,请参阅文章生成条件访问策略

Screenshot of the What If page ready for conditions to be entered.

计算

通过单击 What If 启动评估。 评估结果提供包含以下内容的报表:

  • 一个指示器,指示环境中是否存在经典策略。
  • 应用于用户或工作负载标识的策略。
  • 不会应用于用户或工作负载标识的策略。

如果对于所选云应用,存在经典策略,则显示一个指示器。 通过单击该指示器,系统会重定向到经典策略页。 在经典策略页上,可以迁移经典策略或仅禁用该策略。 可以通过关闭此页返回到评估结果。

Screenshot of an example of the policy evaluation in the What If tool showing policies that would apply.

在应用的策略列表中,还可以找到必须满足的授权控件会话控件的列表。

在不应用的策略列表中,还可以找到不应用这些策略的原因。 对于每条列出的策略,列出来的原因表示不满足的首要条件。

后续步骤