【 Get-MgIdentityConditionalAccessPolicy 】コマンドレット――Azure Active Directoryの条件付きアクセスポリシーを参照する：Windows PowerShell基本Tips（77）

本連載は、PowerShellコマンドレットについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は「Get-MgIdentityConditionalAccessPolicy」コマンドレットを解説します。

[国井傑，株式会社エストディアン]

連載目次

　本連載では、Windows PowerShellの基本的なコマンドレットについて、基本的な書式からオプション、具体的な実行例までを分かりやすく紹介していきます。今回は、「Azure Active Directory」（Azure AD）に作成された条件付きアクセスポリシーの一覧を参照する「Get-MgIdentityConditionalAccessPolicy」コマンドレットです。

目次

Get-MgIdentityConditionalAccessPolicyの概要 | 書式 | オプション

実行例

• 条件付きアクセスポリシーの一覧を参照する
• 有効な条件付きアクセスポリシーの一覧を参照する
• 特定の条件付きアクセスポリシーの設定を参照する

Get-MgIdentityConditionalAccessPolicyコマンドレットとは？

　「Get-MgIdentityConditionalAccessPolicy」は、PowerShellを利用してAzure ADに作成された「条件付きアクセスポリシー」の一覧を参照するためのコマンドレットです。条件付きアクセスポリシーは、Azure ADのポータルサイトである「Microsoft Entra管理センター」でも参照できますが、設定をまとめて参照したいときなどに有効です。

　なお、Get-MgIdentityConditionalAccessPolicyコマンドレットは、本連載第45回で解説した「Connect-MgGraph」コマンドレットで「Connect-MgGraph -Scopes "Policy.Read.All"」と実行して、Azure ADへの接続とアクセス許可を与えておくことが前提条件になります。

Get-MgIdentityConditionalAccessPolicyコマンドレットの書式

Get-MgIdentityConditionalAccessPolicy [オプション]

Get-MgIdentityConditionalAccessPolicyコマンドレットの主なオプション

オプション	意味
-Filter	特定の条件を満たす条件付きアクセスポリシーを参照する。省略可能
-ConditionalAccessPolicyId	特定の条件付きアクセスポリシーを参照する。省略可能

目次に戻る

条件付きアクセスポリシーの一覧を参照する

　Get-MgIdentityConditionalAccessPolicyコマンドレットをオプションを指定せずに実行すると、テナント内に作成された全てのポリシーの一覧を参照できます（画面1）。

コマンドレット実行例

Get-MgIdentityConditionalAccessPolicy

画面1　Get-MgIdentityConditionalAccessPolicyコマンドレットをオプションを指定せずに実行した場合、「ポリシーの名前（DisplayName）」「ポリシーの説明（Description）」「ポリシーのID（Id）」「作成日時（CreatedDateTime）」が表示される

目次に戻る

有効な条件付きアクセスポリシーの一覧を参照する

　作成済みの条件付きアクセスポリシーのうち、「有効」に設定されているポリシーだけを一覧表示したい場合は、「-Filter」オプションを使用します（画面2）。

コマンドレット実行例

Get-MgIdentityConditionalAccessPolicy -Filter "state eq 'Enabled'"

画面2　Get-MgIdentityConditionalAccessPolicyコマンドレットに続けて、-Filterオプションで表示する条件を指定している。「stateの値がEnabled」という条件を指定することで、有効なポリシーだけが表示される

目次に戻る

特定の条件付きアクセスポリシーの設定を参照する

　特定の条件付きアクセスポリシーに含まれる設定を参照する場合、オプションを指定しないで実行したGet-MgIdentityConditionalAccessPolicyコマンドレットの実行結果で得られたポリシーIDを、「ConditionalAccessPolicyId」オプションに続けて指定します。

　実行結果から「Conditions」プロパティを指定するとポリシーの条件、「GrantControls」プロパティを指定するとアクセス許可／拒否の設定、「State」プロパティを指定するとポリシーの有効／無効をそれぞれ参照できます。また、これらの情報を完全な形で参照するためにJSON形式のデータに変換できます（画面3）。

コマンドレット実行例

(Get-MgIdentityConditionalAccessPolicy -ConditionalAccessPolicyId <ポリシーID>).GrantControls | ConvertTo-Json

画面3　Get-MgIdentityConditionalAccessPolicyコマンドレットに続けて、ConditionalAccessPolicyIdオプションを利用して画面1で調べたポリシーIDを入力した。コマンドレット全体を半角カッコ（）で囲った後に、GrantControlsプロパティを指定することでポリシーに設定されたアクセスの許可／拒否の設定が表示されるように構成している。さらに、表示内容をJSON形式に変換するようConvertTo-Jsonコマンドレットを実行した

筆者紹介

国井 傑（くにい すぐる）

株式会社エストディアン代表取締役。1997年からマイクロソフト認定トレーナーとして、Azure Active DirectoryやMicrosoft 365 Defenderなど、クラウドセキュリティを中心としたトレーニングを提供している。2007年からMicrosoft MVPを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。