條件式存取 What If 原則工具可協助您瞭解環境中條件式存取原則的結果。 模擬不常見案例時,它很有用,可讓您設計更全面的安全策略。 相較於用多次登入手動測試您的原則,此工具可協助您模擬使用者或服務主體的登入。 模擬會預估您的原則如何影響此登入,併產生報告。
What If 工具和 API 可讓您快速判斷套用至特定使用者或單一租使用者服務主體的原則。 使用這項資訊來針對問題進行疑難解答、瞭解哪些原則適用於特定登入條件,以及測試複雜的登入案例。
運作方式
條件式存取 What If 工具是由 What If 評估 API 所提供。 若要使用此工具,請從設定您想要仿真的登入案例條件開始。 組態應包括:
- 您想要測試的使用者或單一租戶服務主體。
- 雲端應用程式、用戶嘗試執行的動作,或受驗證內容保護的敏感數據,他們可能會嘗試存取。
- 嘗試存取時所需的登入條件。
這很重要
What If 工具不會測試 條件式存取服務相依性。 例如,如果您使用 What If 來測試 Microsoft Teams 的條件式存取原則,則結果不會考慮適用於 Office 365 Exchange Online 的任何原則,這是適用於 Microsoft Teams 的條件式存取服務相依性。
接下來,起始評估設定的模擬執行。 評估回合只會包含已啟用或僅限報表模式的原則。
評估完成時,此工具會產生一份受影響原則的報告。 若要收集條件式存取原則的詳細資訊,請使用條件式存取 個別原則報告 或 條件式存取深入解析和報告活頁簿 ,以取得僅限報表模式或目前啟用之原則的詳細數據。
執行 What If 工具
您可以在 Microsoft Entra 系統管理中心 的 條件式存取>原則>
![[條件存取原則] 頁面的螢幕截圖,其中工具列中的「What If」工具已被突出顯示。](media/what-if-tool/portal-showing-location-of-what-if-tool.png#lightbox)
若要執行 What If 評估,請提供您想要評估的條件。
條件
需要下列條件:身分識別、目標資源、裝置平臺和用戶端應用程式。 所有其他條件都是選擇性的,如果未提供任何值,則預設會設定為 none 。 如需這些條件的定義,請參閱 建置條件式存取原則一文。
![顯示輸入條件欄位的 [What If] 頁面螢幕快照。](media/what-if-tool/supply-conditions-to-evaluate-in-the-what-if-tool.png#lightbox)
評估
按兩下 [假設] 以啟動評估。 評估結果所提供的報告中會包含:
- 指標,顯示傳統原則是否存在於您的環境中。
- 適用於您的使用者或工作負載身分識別的原則。
- 不適用於使用者或工作負載身分識別的政策。
不適用的原則清單包含這些原則不適用的原因。 對於各個列出的原則,原因各代表其第一個未符合的條件。
具有篩選 會指出原則是否有使用自定義安全性屬性的應用程式篩選。
What If 評估 API 與舊版體驗之間的主要差異
What If Evaluation API 是條件式存取體驗所呼叫的 Microsoft Graph API。 由 What If 評估 API 所提供的 What If 工具目前處於公開預覽狀態。 API 與舊版的 What If 評估有幾種不同:
- 假設 API 是公用且完全支援的 API(一旦 API 正式推出)。 API 可以透過條件式存取UX和 MS Graph API 使用。
- 邏輯會與登入期間所使用的驗證邏輯一致,以提供更精確的原則評估。
- What-if API 預期評估會定義所有登入參數,以提供最精確的結果。 如果您的租戶有具有特定條件的政策,而未提供這些條件的登入詳細資料,則 What If API 無法評估這些條件。
備註
針對應用程式規格,請提供應用程式識別碼。 應用程式群組,例如 Office 365 或 Microsoft系統管理入口網站,不會產生相符的結果。
範例
此範例會醒目提示主要差異:
假設您有具有下列設定的條件式存取原則:
- 使用者:所有使用者
- 資源:Office 365
- 位置:美國
- 登入風險:高
| 範例 | 參數 | 以舊版 What If 評估為基礎的結果 | 以新的 What If 評估 API 為基礎的結果 |
|---|---|---|---|
| 1 | UserId = “aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb” | 適用 | 不適用 |
| 2 | UserId = “aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb” ApplicationId = “00000003-0000-0ff1-ce00-000000000000” |
適用 | 不適用 |
| 3 | UserId = “aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb” ApplicationId = “00000003-0000-0ff1-ce00-000000000000” Location = “美國” |
適用 | 適用 |
| 4 | UserId = “aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb” ApplicationId = “00000003-0000-0ff1-ce00-000000000000” 地點 = “美國” 登入風險 = “高” |
適用 | 適用 |
相關內容
- 在 條件式存取深入解析和報告中使用僅限報告模式,以深入了解條件式存取原則的應用。
- 若要為您的環境設定條件式存取原則,請參閱 條件式存取一般原則。