使用 What If 工具对条件访问策略进行故障排除
通过“条件访问 What If 策略工具”,你可以了解条件访问策略对环境的结果。 通过此工具,可以评估模拟的用户登录,而不是通过手动执行多个登录来驱动策略的测试。 该模拟会估计此登录对策略的结果并生成报表。
What If 工具提供了一种快速确定适用于特定用户的策略的方法。 如果需要解决问题等,则可以使用此信息。
工作原理
在“条件访问 What If 工具”中,首先需要配置想要模拟的登录方案的条件。 这些设置可能包括:
- 想要测试的用户
- 用户要尝试访问的云应用
- 访问配置的云应用时存在的条件
What If 工具不会针对条件访问服务依赖项进行测试。 例如,如果使用 What If 来测试 Microsoft Teams 的条件访问策略,结果将不会考虑适用于 Office 365 Exchange Online(Microsoft Teams 的条件访问服务依赖项)的任何策略。
下一步,可以启动用于评估设置的模拟运行。 评估运行中仅包含启用的策略。
完成评估后,此工具将生成一份受影响策略的报表。 若要收集有关条件访问策略的详细信息,可参阅条件访问见解和报表工作簿,更详细了解“仅限报告”模式的策略以及那些目前已启用的策略。
运行此工具
可以在“Microsoft Entra 管理中心”>“保护”>“条件访问”>“策略”>“What If”中找到 What If 工具。
在运行 What If 工具之前,必须提供想要评估的条件。
条件
必须满足的唯一条件是选择用户或工作负载标识。 所有其他条件都是可选的。 有关这些条件的定义,请参阅文章生成条件访问策略。
计算
通过单击 What If 启动评估。 评估结果提供包含以下内容的报表:
- 一个指示器,指示环境中是否存在经典策略。
- 应用于用户或工作负载标识的策略。
- 不会应用于用户或工作负载标识的策略。
如果对于所选云应用,存在经典策略,则显示一个指示器。 通过单击该指示器,系统会重定向到经典策略页。 在经典策略页上,可以迁移经典策略或仅禁用该策略。 可以通过关闭此页返回到评估结果。
在应用的策略列表中,还可以找到必须满足的授权控件和会话控件的列表。
在不应用的策略列表中,还可以找到不应用这些策略的原因。 对于每条列出的策略,列出来的原因表示不满足的首要条件。