【 Get-MgIdentityConditionalAccessPolicy 】コマンドレット――Azure Active Directoryの条件付きアクセスポリシーを参照するWindows PowerShell基本Tips(77)

本連載は、PowerShellコマンドレットについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は「Get-MgIdentityConditionalAccessPolicy」コマンドレットを解説します。

» 2023年07月21日 05時00分 公開
[国井傑株式会社エストディアン]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

「Windows PowerShell基本Tips」のインデックス

連載目次

 本連載では、Windows PowerShellの基本的なコマンドレットについて、基本的な書式からオプション、具体的な実行例までを分かりやすく紹介していきます。今回は、「Azure Active Directory」(Azure AD)に作成された条件付きアクセスポリシーの一覧を参照する「Get-MgIdentityConditionalAccessPolicy」コマンドレットです。

Get-MgIdentityConditionalAccessPolicyコマンドレットとは?

 「Get-MgIdentityConditionalAccessPolicy」は、PowerShellを利用してAzure ADに作成された「条件付きアクセスポリシー」の一覧を参照するためのコマンドレットです。条件付きアクセスポリシーは、Azure ADのポータルサイトである「Microsoft Entra管理センター」でも参照できますが、設定をまとめて参照したいときなどに有効です。

 なお、Get-MgIdentityConditionalAccessPolicyコマンドレットは、本連載第45回で解説した「Connect-MgGraph」コマンドレットで「Connect-MgGraph -Scopes "Policy.Read.All"」と実行して、Azure ADへの接続とアクセス許可を与えておくことが前提条件になります。

Get-MgIdentityConditionalAccessPolicyコマンドレットの書式

Get-MgIdentityConditionalAccessPolicy [オプション]


Get-MgIdentityConditionalAccessPolicyコマンドレットの主なオプション

オプション 意味
-Filter 特定の条件を満たす条件付きアクセスポリシーを参照する。省略可能
-ConditionalAccessPolicyId 特定の条件付きアクセスポリシーを参照する。省略可能

条件付きアクセスポリシーの一覧を参照する

 Get-MgIdentityConditionalAccessPolicyコマンドレットをオプションを指定せずに実行すると、テナント内に作成された全てのポリシーの一覧を参照できます(画面1)。

コマンドレット実行例

Get-MgIdentityConditionalAccessPolicy

画面1 画面1 Get-MgIdentityConditionalAccessPolicyコマンドレットをオプションを指定せずに実行した場合、「ポリシーの名前(DisplayName)」「ポリシーの説明(Description)」「ポリシーのID(Id)」「作成日時(CreatedDateTime)」が表示される

有効な条件付きアクセスポリシーの一覧を参照する

 作成済みの条件付きアクセスポリシーのうち、「有効」に設定されているポリシーだけを一覧表示したい場合は、「-Filter」オプションを使用します(画面2)。

コマンドレット実行例

Get-MgIdentityConditionalAccessPolicy -Filter "state eq 'Enabled'"

画面2 画面2 Get-MgIdentityConditionalAccessPolicyコマンドレットに続けて、-Filterオプションで表示する条件を指定している。「stateの値がEnabled」という条件を指定することで、有効なポリシーだけが表示される

特定の条件付きアクセスポリシーの設定を参照する

 特定の条件付きアクセスポリシーに含まれる設定を参照する場合、オプションを指定しないで実行したGet-MgIdentityConditionalAccessPolicyコマンドレットの実行結果で得られたポリシーIDを、「ConditionalAccessPolicyId」オプションに続けて指定します。

 実行結果から「Conditions」プロパティを指定するとポリシーの条件、「GrantControls」プロパティを指定するとアクセス許可/拒否の設定、「State」プロパティを指定するとポリシーの有効/無効をそれぞれ参照できます。また、これらの情報を完全な形で参照するためにJSON形式のデータに変換できます(画面3)。

コマンドレット実行例

(Get-MgIdentityConditionalAccessPolicy -ConditionalAccessPolicyId <ポリシーID>).GrantControls | ConvertTo-Json

画面3 画面3 Get-MgIdentityConditionalAccessPolicyコマンドレットに続けて、ConditionalAccessPolicyIdオプションを利用して画面1で調べたポリシーIDを入力した。コマンドレット全体を半角カッコ()で囲った後に、GrantControlsプロパティを指定することでポリシーに設定されたアクセスの許可/拒否の設定が表示されるように構成している。さらに、表示内容をJSON形式に変換するようConvertTo-Jsonコマンドレットを実行した

筆者紹介

国井 傑(くにい すぐる)

株式会社エストディアン代表取締役。1997年からマイクロソフト認定トレーナーとして、Azure Active DirectoryやMicrosoft 365 Defenderなど、クラウドセキュリティを中心としたトレーニングを提供している。2007年からMicrosoft MVPを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。