如何导出条件访问策略

如何导出条件访问策略？ Microsoft Entra 租户具有多个条件访问策略，并且设置的所有配置都可以完美运行。我们希望在另一个租户上创建相同的 CA 策略。创建 CA 策略需要时间，并且我们可能会错过配置。那么，如何备份条件访问策略并将其导入到另一个租户中？在本文中，您将了解如何使用 PowerShell 将条件访问策略（包括所有配置）导出到 JSON 文件。

检查 Microsoft Entra 管理中心中的条件访问策略

让我们检查条件访问策略及其在 Microsoft Entra 中的状态：

1. 登录 Microsoft Entra 管理中心

2. 展开身份 > 保护

3. 单击条件访问

4. 选择查看所有政策

在我们的示例中，我们有两个 CA 策略。其中一项策略已启用，另一项策略已禁用。

如果我们想导出条件访问策略怎么办？导出条件访问策略的唯一方法是使用 PowerShell。这是备份 CA 策略的绝佳方法，因此您可以在将来设置任何更改时查看配置，并且您想要返回默认配置。

在下一步中，我们将展示如何将所有条件访问策略备份到您的计算机。

安装 Microsoft Graph PowerShell

在我们进一步继续操作并从 Microsoft Entra 租户获取所有条件访问策略之前，我们需要安装 Microsoft Graph PowerShell。

以管理员身份启动 Windows PowerShell 并运行以下命令。

Install-Module Microsoft.Graph -Force

Install-Module Microsoft.Graph.Beta -AllowClobber -Force

重要提示：始终安装 Microsoft Graph PowerShell 和 Microsoft Graph Beta PowerShell 模块。这是因为某些 cmdlet 在最终版本中尚不可用，并且无法运行。在运行 cmdlet 或脚本之前将两个模块更新到最新版本，以防止出现错误和不正确的结果。

现在我们已经安装了 Microsoft Graph PowerShell SDK 模块，我们可以进入下一步。

准备 Export-CAPolicies PowerShell 脚本

在(C:)驱动器上创建两个文件夹：

Temp
Scripts

下载 Export-CAPolicies.ps1 PowerShell 脚本并将其放置在 C:\scripts 文件夹中。该脚本会将 JSON 文件导出到 C:\temp 文件夹。

确保文件未被阻止，以防止运行脚本时出现错误。请阅读文章运行 PowerShell 脚本时出现未数字签名错误来了解更多信息。

另一种选择是将以下代码复制并粘贴到记事本中。将其命名为 Export-CAPolicies.ps1 并将其放置在 C:\scripts 文件夹中。

<#
    .SYNOPSIS
    Export-CAPolicies.ps1

    .DESCRIPTION
    Export Conditional Access policies to JSON files for backup purposes.

    .LINK
    www.a-d.site/export-conditional-access-policies/

    .NOTES
    Written by: ALI TAJRAN
    Website:    www.a-d.site
    LinkedIn:   linkedin.com/in/a-d

    .CHANGELOG
    V1.00, 11/16/2023 - Initial version
#>

# Connect to Microsoft Graph API
Connect-MgGraph -Scopes 'Policy.Read.All'

# Export path for CA policies
$ExportPath = "C:\temp\"

try {
    # Retrieve all conditional access policies from Microsoft Graph API
    $AllPolicies = Get-MgIdentityConditionalAccessPolicy -All

    if ($AllPolicies.Count -eq 0) {
        Write-Host "There are no CA policies found to export." -ForegroundColor Yellow
    }
    else {
        # Iterate through each policy
        foreach ($Policy in $AllPolicies) {
            try {
                # Get the display name of the policy
                $PolicyName = $Policy.DisplayName
            
                # Convert the policy object to JSON with a depth of 6
                $PolicyJSON = $Policy | ConvertTo-Json -Depth 6
            
                # Write the JSON to a file in the export path
                $PolicyJSON | Out-File "$ExportPath$PolicyName.json" -Force
            
                # Print a success message for the policy backup
                Write-Host "Successfully backed up CA policy: $($PolicyName)" -ForegroundColor Green
            }
            catch {
                # Print an error message for the policy backup
                Write-Host "Error occurred while backing up CA policy: $($Policy.DisplayName). $($_.Exception.Message)" -ForegroundColor Red
            }
        }
    }
}
catch {
    # Print a generic error message
    Write-Host "Error occurred: $($_.Exception.Message)" -ForegroundColor Red
}

这就是它的样子。

运行导出条件访问策略 PowerShell 脚本

运行 Export-CAPolicies.ps1 PowerShell 脚本以获取所有策略并将其导出到临时文件夹中的 JSON 文件中。

C:\scripts\Export-CAPolicies.ps1

输出显示：

Successfully backed up CA policy: Block legacy authentication
Successfully backed up CA policy: Require multifactor authentication for all users

如果策略名称中存在特殊字符，则可能无法导出 CA 策略。我们建议不要在策略名称中使用特殊字符并保持名称尽可能简单。

打开条件访问策略 JSON 文件

Export-CAPolicies.ps1 PowerShell 脚本会将所有策略导出到 JSON 文件。在路径 C:\temp 中找到 JSON 文件。

使用您喜欢的应用程序打开 CA 策略 JSON 文件。例如，记事本、Notepad++ 或 Visual Studio Code。

CA 策略 JSON 文件看起来很棒。

这是否有助于您将条件访问策略备份到 JSON 文件？

了解更多：配置 Azure AD 多重身份验证 »

结论

您学习了如何使用 PowerShell 导出条件访问策略。首先，连接到 Microsoft Graph PowerShell 并运行 Export-CAPolicies PowerShell 脚本。之后，出于备份原因，所有条件访问策略配置都可以在 JSON 文件中使用。这也是将条件访问策略导入另一个 Microsoft Entra 租户的绝佳方法。

您喜欢这篇文章吗？您可能还喜欢从每用户 MFA 迁移到条件访问 MFA。不要忘记关注我们并分享这篇文章。