条件付きアクセスの What If ツール は、ポリシーが特定の状況でユーザーに適用された理由または適用されなかった理由、またはポリシーが既知の状態で適用されるかどうかを理解しようとしたときに強力です。
What If ツールはMicrosoft Entra 管理センター>Entra ID>Conditional Access>Policies>What Ifにあります。
情報の収集
What If ツールでは、作業を開始するために ユーザー ID または ワークロード ID のみが必要です。
次の追加情報はオプションですが、特定のケースで範囲を絞り込むのに役立ちます。
- クラウド アプリ、アクション、または認証コンテキスト
- IP アドレス
- 国/リージョン
- デバイスのプラットフォーム
- クライアント アプリ
- デバイスの状態
- サインイン リスク
- ユーザーのリスク レベル
- サービス プリンシパル リスク (プレビュー)
- デバイスのフィルター
これらの情報は、ユーザー、そのデバイス、または Microsoft Entra サインイン ログから収集できます。
結果の生成
前のセクションで収集した条件を入力し、[ What If ]\(What If\)を選択して結果の一覧を生成します。
任意の時点で[ リセット ]を選択すると、任意の条件入力をクリアし、既定の状態に戻ることができます。
結果の評価
[Policies that will apply] (適用されるポリシー)
この一覧は、条件が与えられたときに、どの条件付きアクセス ポリシーが適用されるかを示しています。 一覧には、レポート専用モードのポリシーを含めて、適用される許可とセッションの両方の制御が含まれます。 例として、特定のアプリケーションにアクセスするための多要素認証の要求があります。
適用されないポリシー
この一覧は、条件が適用された場合に適用されない条件付きアクセス ポリシーを示しています。 一覧には、レポート専用モードのポリシーを含めて、すべてのポリシーとそれらが適用されない理由が含まれます。 例として、ポリシーから除外される可能性があるユーザーやグループがあります。
利用事例
多くの組織では、ネットワークの場所、信頼できる場所の許可、およびアクセスが行われてはいけない場所のブロックに基づいてポリシーが作成されます。
構成が適切であることを検証するために、管理者は What If ツールを使用して、許可されるべき場所や拒否されるべき場所からアクセスを模倣できます。
![[アクセスをブロックする] の結果を示す What If ツール](media/troubleshoot-conditional-access-what-if/conditional-access-what-if-results.png#lightbox)
この例では、Contoso が北朝鮮からのアクセスをブロックしたため、ユーザーはその場所への旅行ですべてのクラウド アプリへのアクセスをブロックされます。
このテストは、範囲を絞り込むための他のデータ ポイントを組み込むように拡張できます。