Microsoft Entra Conditional Access: All resources změna
Shrnutí
Microsoft změní od 27. března 2026 způsob vynucování Conditional Access v Entra ID: zásady cílené na „All resources“ se nově budou uplatňovat i u přihlášení, která dříve mohla kvůli omezeným OIDC nebo directory scopes obejít vyhodnocení, a to i pokud zásada obsahuje výjimky na prostředky. Je to důležité hlavně pro organizace, které mají CA politiky pro všechny cloudové aplikace s výjimkami, protože uživatelé mohou nově častěji narážet na MFA, kontrolu shody zařízení nebo další podmínky přístupu.
Úvod: proč je to důležité
Conditional Access (CA) je klíčová kontrola pro vynucování MFA, shody zařízení a omezení relací. Microsoft zpřísňuje vynucování CA v rámci iniciativy Secure Future Initiative, aby omezil scénáře, kdy se přihlášení mohou neúmyslně vyhnout vyhodnocení zásad—zejména u klientských aplikací, které požadují jen omezenou sadu scopes.
Co se mění
Dnes může vzniknout mezera, když zásada CA cílí na „All resources“ a zároveň obsahuje vyloučení prostředků. V určitých případech—když se uživatel přihlašuje přes klientskou aplikaci, která požaduje pouze OIDC scopes nebo omezenou sadu directory scopes—Microsoft uvádí, že tyto zásady „All resources“ nemusí být vynuceny.
S touto aktualizací:
- Zásady CA cílené na „All resources“ budou vynucovány i v případě, že jsou přítomna vyloučení prostředků pro tato přihlášení.
- Cílem je konzistentní vynucování CA bez ohledu na sadu scopes požadovanou aplikací.
- Uživatelé nyní mohou během přihlašovacích toků, které je dříve nespouštěly, obdržet výzvy CA (například: MFA, shoda zařízení nebo jiné řízení přístupu).
Harmonogram nasazení
- Začátek vynucování: 27. března 2026
- Model nasazení: postupně napříč všemi cloudy
- Okno dokončení: během několika týdnů až do června 2026
Koho se to týká
Dopad se týká pouze tenantů s následující konfigurací:
- Alespoň jedna zásada Conditional Access, která cílí na All resources (All cloud apps)
- Tatáž zásada má jedno nebo více vyloučení prostředků
Microsoft bude dotčené tenancy informovat prostřednictvím příspěvků v Microsoft 365 Message Center.
Dopad pro administrátory a koncové uživatele
Dopad pro administrátory
- Výsledky přihlášení u určitých klientských aplikací se mohou změnit, zejména tam, kde aplikace spoléhají na požadavek minimálních scopes.
- Zásady, které také explicitně cílí na Azure AD Graph (pokud je to ve vašem prostředí / historii zásad relevantní), mohou být podle nakonfigurovaných kontrol zapojeny do výsledných výzev.
Dopad pro koncové uživatele
- Uživatelé mohou při ověřování u dotčených aplikací vidět nové výzvy (MFA, požadavky na compliant device apod.)—tam, kde dříve mohl přístup proběhnout bez vynucení CA.
Doporučené kroky / další postup
- Většina organizací: Není vyžadována žádná akce.
- Většina aplikací požaduje širší scopes a už nyní podléhá vynucování CA.
- Pokud máte ve svém tenantu vlastní aplikace, které záměrně požadují pouze omezené scopes: Proveďte revizi a testování.
- Ověřte, že tyto aplikace dokážou správně zpracovat výzvy Conditional Access.
- Pokud ne, aktualizujte aplikaci podle vývojářských pokynů Microsoftu pro Conditional Access tak, aby byly autentizační toky (interaktivní výzvy, signály zařízení atd.) zpracovány korektně.
- Provozní připravenost:
- Sledujte oznámení v Message Center.
- Využijte sign-in logs a troubleshooting/audience reporting v Conditional Access k identifikaci toho, které aplikace a zásady během nasazení spouštějí nové výzvy.
Tato změna má uzavřít mezeru v přístupu defense-in-depth a zajistit, aby se zásady Conditional Access „All resources“ chovaly předvídatelněji—proto stojí za to proaktivně ověřit všechny vlastní aplikace s minimálními scopes ještě předtím, než vynucování dorazí do vašeho tenantu.
Potřebujete pomoc s Entra ID?
Naši odborníci vám pomohou implementovat a optimalizovat vaše Microsoft řešení.
Mluvte s odborníkemBuďte v obraze o technologiích Microsoft