条件付きアクセス What If ポリシー ツールは、環境内の条件付きアクセス ポリシーの結果を理解するのに役立ちます。 これは、一般的でないシナリオをシミュレートする場合に役立ち、より包括的なセキュリティ ポリシーを設計できます。 このツールは、複数のサインインを使用してポリシーを手動でテストする代わりに、ユーザーまたはサービス プリンシパルのサインインをシミュレートするのに役立ちます。 シミュレーションでは、ポリシーがこのサインインに与える影響を推定し、レポートを生成します。
What If ツールと API を使用すると、特定のユーザーまたはシングルテナントのサービス プリンシパルに適用されるポリシーをすばやく特定できます。 この情報を使用して、問題のトラブルシューティングを行い、特定のサインイン条件に適用されるポリシーを理解し、複雑なサインイン シナリオをテストします。
しくみ
条件付きアクセスの What If ツールは、What If 評価 APIを利用して動作します。 このツールを使用するには、まず、シミュレートするサインイン シナリオの条件を構成します。 構成には、次のものが含まれている必要があります。
- テストするユーザーまたは単一テナントのサービスプリンシパル。
- クラウド アプリ、実行しようとするユーザー アクション、またはアクセスを試みる認証コンテキストによって保護された機密データ。
- アクセスが試行されるサインイン条件。
重要
What If ツールでは、条件付きアクセスのサービスの依存関係はテストされません。 たとえば、 What If を使用してMicrosoft Teamsの条件付きアクセス ポリシーをテストする場合、結果では、Microsoft Teamsの条件付きアクセス サービスの依存関係である Office 365 Exchange Online に適用されるポリシーは考慮されません。
次に、設定を評価するシミュレーション実行を開始します。 評価実行には、有効になっているポリシーまたはレポート専用モードのポリシーのみが含まれます。
評価が完了すると、ツールは、影響を受けたポリシーのレポートを生成します。 条件付きアクセス ポリシーの詳細を収集するには、 ポリシーごとの条件付きアクセスレポート、 または 条件付きアクセスの分析情報とレポート ブックを 使用して、レポート専用モードまたは現在有効になっているポリシーの詳細を確認します。
What If ツールを実行する
What If ツールは、Microsoft Entra 管理センター>Entra ID>Conditional Access>Policies>Whatt If にあります。
![ツール バーの [What If] ツールが強調表示されている [条件付きアクセス ポリシー] ページのスクリーンショット。](media/what-if-tool/portal-showing-___location-of-what-if-tool.png#lightbox)
What If 評価を実行するには、評価する条件を指定します。
条件
ID、ターゲット リソース、デバイス プラットフォーム、クライアント アプリの条件が必要です。 その他の条件はすべて省略可能であり、値が指定されていない場合、既定では none に設定されていると見なされます。 これらの条件の定義については、 条件付きアクセス ポリシーの構築に関する記事を参照してください。
![条件を入力するためのフィールドが表示されている [What If] ページのスクリーンショット。](media/what-if-tool/supply-conditions-to-evaluate-in-the-what-if-tool.png#lightbox)
評価
[What If]\(What If\)をクリックして評価を開始します。 以下で構成されるレポートによって評価結果が示されます。
- 環境内にクラシック ポリシーが存在するかどうかを示すインジケーター。
- ユーザーまたはワークロード ID に適用されるポリシー。
- ユーザーまたはワークロード ID には適用されないポリシー。
適用されるポリシーの一覧には、満たす必要がある 許可コントロール と セッション制御 も含まれます。
適用されないポリシーの一覧には、これらのポリシーが適用されない理由が含まれます。 表示されている各ポリシーの理由は、満たされていない最初の条件を表します。
[フィルターあり] は 、ポリシーにカスタム セキュリティ属性を使用するアプリ フィルターがあるかどうかを示します。
What If 評価 API とレガシ エクスペリエンスの主な違い
What If Evaluation API は、条件付きアクセス エクスペリエンスによって呼び出される Microsoft Graph API です。 What If Evaluation API を利用した What If ツールは、現在パブリック プレビュー段階です。 API は、いくつかの点で従来の What If 評価とは異なります。
- What-if API はパブリックで完全にサポートされている API です (API が一般公開されると)。 この API は、条件付きアクセス UX と MS Graph API を使用して使用できます。
- このロジックは、より正確なポリシー評価を提供するために、サインイン時に使用される認証ロジックと一致します。
- What-if API では、最も正確な結果を得るために、評価のためにすべてのサインイン パラメーターが定義されることを想定しています。 テナントに特定の条件を持つポリシーがあり、それらの条件のサインインの詳細が指定されていない場合、What If API はこれらの条件を評価できません。
注
アプリケーションの仕様については、アプリ ID を指定します。 Office 365 や Microsoft 管理ポータルなどのアプリのグループは、一致しません。
例示
この例では、主な違いを強調しています。
次の構成の条件付きアクセス ポリシーがあるとします。
- ユーザー: すべてのユーザー
- リソース: Office 365
- 場所: 米国
- サインイン リスク: 高
| 例 | パラメーター | レガシ What If 評価に基づく結果 | 新しい What If 評価 API に基づく結果 |
|---|---|---|---|
| 1 | UserId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" | 適用 | 該当しません |
| 2 | ユーザーID = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" ApplicationId = "00000003-0000-0ff1-ce00-000000000000" |
適用 | 該当しません |
| 3 | ユーザーID = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" ApplicationId = "00000003-0000-0ff1-ce00-000000000000" Location = "US" |
適用 | 適用 |
| 4 | ユーザーID = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" ApplicationId = "00000003-0000-0ff1-ce00-000000000000" Location = "US" サインイン リスク = "高" |
適用 | 適用 |
関連するコンテンツ
- 条件付きアクセスの分析とレポートのポリシーのレポート専用モードを使用して、条件付きアクセスポリシーアプリケーションについての了解を深めてください。
- 環境の条件付きアクセス ポリシーを構成するには、「 条件付きアクセスの一般的なポリシー」を参照してください。