使用 What If 工具对条件访问策略进行故障排除

  • 项目

通过“条件访问 What If 策略工具”,你可以了解条件访问策略对环境的结果。 通过此工具,可以评估模拟的用户登录,而不是通过手动执行多个登录来驱动策略的测试。 该模拟会估计此登录对策略的结果并生成报表。

What If 工具提供了一种快速确定适用于特定用户的策略的方法。 如果需要解决问题等,则可以使用此信息。

工作原理

在“条件访问 What If 工具”中,首先需要配置想要模拟的登录方案的条件。 这些设置可能包括:

  • 想要测试的用户
  • 用户要尝试访问的云应用
  • 访问配置的云应用时存在的条件

What If 工具不会针对条件访问服务依赖项进行测试。 例如,如果使用 What If 来测试 Microsoft Teams 的条件访问策略,结果将不会考虑适用于 Office 365 Exchange Online(Microsoft Teams 的条件访问服务依赖项)的任何策略。

下一步,可以启动用于评估设置的模拟运行。 评估运行中仅包含启用的策略。

完成评估后,此工具将生成一份受影响策略的报表。 若要收集有关条件访问策略的详细信息,可参阅条件访问见解和报表工作簿,更详细了解“仅限报告”模式的策略以及那些目前已启用的策略。

运行此工具

可以在“Microsoft Entra 管理中心”>“保护”>“条件访问”>“策略”>“What If”中找到 What If 工具。

屏幕截图为“条件访问策略”页面。在工具栏中,突出显示了“What if”项。

在运行 What If 工具之前,必须提供想要评估的条件。

条件

必须满足的唯一条件是选择用户或工作负载标识。 所有其他条件都是可选的。 有关这些条件的定义,请参阅文章生成条件访问策略

屏幕截图为可输入条件的“What If”页面。

计算

通过单击 What If 启动评估。 评估结果提供包含以下内容的报表:

  • 一个指示器,指示环境中是否存在经典策略。
  • 应用于用户或工作负载标识的策略。
  • 不会应用于用户或工作负载标识的策略。

如果对于所选云应用,存在经典策略,则显示一个指示器。 通过单击该指示器,系统会重定向到经典策略页。 在经典策略页上,可以迁移经典策略或仅禁用该策略。 可以通过关闭此页返回到评估结果。

What If 工具中策略评估示例的屏幕截图,其中显示了将应用的策略。

在应用的策略列表中,还可以找到必须满足的授权控件会话控件的列表。

在不应用的策略列表中,还可以找到不应用这些策略的原因。 对于每条列出的策略,列出来的原因表示不满足的首要条件。

相关内容