Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La herramienta de directiva What If de acceso condicional le ayuda a comprender el resultado de las directivas de acceso condicional en su entorno. Puede ser útil al simular escenarios poco comunes, lo que le permite diseñar directivas de seguridad más completas. En lugar de probar manualmente las directivas con varios inicios de sesión, esta herramienta ayuda a simular un inicio de sesión para un usuario o una entidad de servicio. La simulación estima cómo tus directivas afectan este inicio de sesión y genera un informe.
La herramienta What If y las API le permiten determinar rápidamente las directivas que se aplican a un usuario específico o a una entidad de servicio de un solo inquilino. Use esta información para solucionar problemas, comprender qué directivas se aplican a condiciones de inicio de sesión específicas y probar escenarios de inicio de sesión complejos.
Funcionamiento
La herramienta What If de acceso condicional está basada en la API de evaluación What If. Para usar la herramienta, empiece por configurar las condiciones del escenario de inicio de sesión que desea simular. La configuración debe incluir:
- Usuario o entidad de servicio de inquilino único que se desea probar.
- Las aplicaciones en la nube, la acción del usuario que intentarían realizar o datos confidenciales protegidos por el contexto de autenticación al que intentarían acceder.
- Condiciones de inicio de sesión en las que se va a intentar el acceso.
Importante
La herramienta What If no prueba las dependencias del servicio de acceso condicional. Por ejemplo, si usa What If para probar una directiva de acceso condicional para Microsoft Teams, el resultado no tiene en cuenta ninguna directiva que se aplique a Office 365 Exchange Online, una dependencia del servicio de acceso condicional para Microsoft Teams.
A continuación, inicie una ejecución de simulación que evalúe la configuración. Solo las directivas habilitadas o en modo de solo informe se incluyen en una ejecución de evaluación.
Cuando la evaluación finaliza, la herramienta genera un informe de las directivas afectadas. Para recopilar más información sobre una directiva de acceso condicional, use los informes de acceso condicional por directiva o la información de acceso condicional y libro de informes para obtener más información sobre las directivas en modo de solo informe o habilitadas actualmente.
Ejecución de la herramienta What If
Encontrará la herramienta What If en el Centro de administración de Microsoft Entra>Entra ID>Acceso condicional>Directivas>What If.
Para ejecutar la evaluación What If, proporcione las condiciones que desea evaluar.
Condiciones
Se requieren las siguientes condiciones: identidad, recurso de destino, plataforma de dispositivo y aplicación cliente. Todas las demás condiciones son opcionales y se supone que se establecen en none de forma predeterminada si no se proporciona ningún valor. Para obtener definiciones de estas condiciones, consulte el artículo Creación de una directiva de acceso condicional.
Evaluación
Para iniciar una evaluación, haga clic en What If (What If). El resultado de la evaluación le brinda un informe que consta de:
- Indicador que muestra si existen directivas clásicas en su entorno.
- Directivas que se aplican a la identidad de usuario o carga de trabajo.
- Directivas que no se aplican a la identidad de usuario o carga de trabajo.
La lista de directivas que se aplican también incluye controles de concesión y controles de sesión que es preciso cumplir.
La lista de directivas que no se aplican incluye los motivos por los que estas directivas no se aplican. Para cada directiva de la lista, el motivo representa la primera condición que no se cumplió.
Tiene filtro indica si la directiva tiene filtros de aplicación que usan atributos de seguridad personalizados.
Diferencias clave entre la API de evaluación What If y la experiencia heredada
La API de evaluación de What If es una API de Microsoft Graph a la que llama la experiencia de acceso condicional. La herramienta What If impulsada por la API de evaluación What If está actualmente en versión preliminar pública. La API es diferente de la evaluación heredada What If de varias maneras:
- La API what-if es una API pública y totalmente compatible (una vez que la API está disponible con carácter general). La API se puede usar a través de la interfaz de usuario de acceso condicional y la MS Graph API.
- La lógica se alinea con la lógica de autenticación que se usa durante el inicio de sesión para proporcionar una evaluación de directivas más precisa.
- La API What-if espera que se definan todos los parámetros de inicio de sesión para que la evaluación proporcione los resultados más precisos. Si su cliente tiene políticas con condiciones específicas y no se proporcionan los detalles de inicio de sesión para esas condiciones, la API What If no puede evaluar esas condiciones.
Nota:
Para la especificación de la aplicación, proporcione el identificador de aplicación. Los grupos de aplicaciones, como Office 365 o Los portales de administración de Microsoft, no dan como resultado una coincidencia.
Ejemplos
En este ejemplo se resaltan las diferencias clave:
Supongamos que tiene una directiva de acceso condicional con la siguiente configuración:
- Usuario: Todos los usuarios
- Recurso: Office 365
- Ubicación: Estados Unidos
- Riesgo de inicio de sesión: alto
| Ejemplo | Parámetros | Resultado basado en la evaluación heredada de What If | Resultado basado en la nueva API de evaluación What If |
|---|---|---|---|
| 1 | UserId = “aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" | Se aplica | No aplicable |
| 2 | UserId = “aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" ApplicationId = "00000003-0000-0ff1-ce00-0000000000000" |
Se aplica | No aplicable |
| 3 | UserId = “aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" ApplicationId = "00000003-0000-0ff1-ce00-0000000000000" Ubicación = "US" |
Se aplica | Se aplica |
| 4 | UserId = “aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" ApplicationId = "00000003-0000-0ff1-ce00-0000000000000" Ubicación = "US" Riesgo de inicio de sesión = "Alto" |
Se aplica | Se aplica |
Contenido relacionado
- Para obtener más información sobre la aplicación de la directiva de acceso condicional, use el modo de solo informe de las directivas en Información detallada e informes de acceso condicional.
- Para configurar directivas de acceso condicional para su entorno, consulte Directivas comunes de acceso condicional.