【 Get-MgIdentityConditionalAccessPolicy 】コマンドレット――Azure Active Directoryの条件付きアクセスポリシーを参照する:Windows PowerShell基本Tips(77)
本連載は、PowerShellコマンドレットについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は「Get-MgIdentityConditionalAccessPolicy」コマンドレットを解説します。
本連載では、Windows PowerShellの基本的なコマンドレットについて、基本的な書式からオプション、具体的な実行例までを分かりやすく紹介していきます。今回は、「Azure Active Directory」(Azure AD)に作成された条件付きアクセスポリシーの一覧を参照する「Get-MgIdentityConditionalAccessPolicy」コマンドレットです。
Get-MgIdentityConditionalAccessPolicyコマンドレットとは?
「Get-MgIdentityConditionalAccessPolicy」は、PowerShellを利用してAzure ADに作成された「条件付きアクセスポリシー」の一覧を参照するためのコマンドレットです。条件付きアクセスポリシーは、Azure ADのポータルサイトである「Microsoft Entra管理センター」でも参照できますが、設定をまとめて参照したいときなどに有効です。
なお、Get-MgIdentityConditionalAccessPolicyコマンドレットは、本連載第45回で解説した「Connect-MgGraph」コマンドレットで「Connect-MgGraph -Scopes "Policy.Read.All"」と実行して、Azure ADへの接続とアクセス許可を与えておくことが前提条件になります。
Get-MgIdentityConditionalAccessPolicyコマンドレットの主なオプション
| オプション | 意味 |
|---|---|
| -Filter | 特定の条件を満たす条件付きアクセスポリシーを参照する。省略可能 |
| -ConditionalAccessPolicyId | 特定の条件付きアクセスポリシーを参照する。省略可能 |
条件付きアクセスポリシーの一覧を参照する
Get-MgIdentityConditionalAccessPolicyコマンドレットをオプションを指定せずに実行すると、テナント内に作成された全てのポリシーの一覧を参照できます(画面1)。
コマンドレット実行例
Get-MgIdentityConditionalAccessPolicy
画面1 Get-MgIdentityConditionalAccessPolicyコマンドレットをオプションを指定せずに実行した場合、「ポリシーの名前(DisplayName)」「ポリシーの説明(Description)」「ポリシーのID(Id)」「作成日時(CreatedDateTime)」が表示される
有効な条件付きアクセスポリシーの一覧を参照する
作成済みの条件付きアクセスポリシーのうち、「有効」に設定されているポリシーだけを一覧表示したい場合は、「-Filter」オプションを使用します(画面2)。
コマンドレット実行例
Get-MgIdentityConditionalAccessPolicy -Filter "state eq 'Enabled'"
画面2 Get-MgIdentityConditionalAccessPolicyコマンドレットに続けて、-Filterオプションで表示する条件を指定している。「stateの値がEnabled」という条件を指定することで、有効なポリシーだけが表示される
特定の条件付きアクセスポリシーの設定を参照する
特定の条件付きアクセスポリシーに含まれる設定を参照する場合、オプションを指定しないで実行したGet-MgIdentityConditionalAccessPolicyコマンドレットの実行結果で得られたポリシーIDを、「ConditionalAccessPolicyId」オプションに続けて指定します。
実行結果から「Conditions」プロパティを指定するとポリシーの条件、「GrantControls」プロパティを指定するとアクセス許可/拒否の設定、「State」プロパティを指定するとポリシーの有効/無効をそれぞれ参照できます。また、これらの情報を完全な形で参照するためにJSON形式のデータに変換できます(画面3)。
コマンドレット実行例
(Get-MgIdentityConditionalAccessPolicy -ConditionalAccessPolicyId <ポリシーID>).GrantControls | ConvertTo-Json
画面3 Get-MgIdentityConditionalAccessPolicyコマンドレットに続けて、ConditionalAccessPolicyIdオプションを利用して画面1で調べたポリシーIDを入力した。コマンドレット全体を半角カッコ()で囲った後に、GrantControlsプロパティを指定することでポリシーに設定されたアクセスの許可/拒否の設定が表示されるように構成している。さらに、表示内容をJSON形式に変換するようConvertTo-Jsonコマンドレットを実行した
筆者紹介
国井 傑(くにい すぐる)
株式会社エストディアン代表取締役。1997年からマイクロソフト認定トレーナーとして、Azure Active DirectoryやMicrosoft 365 Defenderなど、クラウドセキュリティを中心としたトレーニングを提供している。2007年からMicrosoft MVPを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。
Copyright © ITmedia, Inc. All Rights Reserved.