Entra ID

Microsoft Entra Conditional Access og All resources

3 min læsning

Resumé

Microsoft ændrer håndhævelsen af Entra Conditional Access, så politikker, der målretter “All resources”, også bliver anvendt konsekvent i sign-ins, hvor klientapps kun anmoder om OIDC-scopes eller et begrænset sæt directory-scopes — selv hvis politikken har ressourceekskluderinger. Det er vigtigt, fordi det lukker et hul i sikkerheden og kan betyde, at flere brugere fra 27. marts 2026 vil blive mødt med MFA, enhedskrav eller andre adgangskontroller i flows, der tidligere kunne slippe uden om CA-politikker.

Brug for hjælp med Entra ID?Tal med en ekspert

Introduktion: hvorfor det betyder noget

Conditional Access (CA) er en central kontrol til håndhævelse af MFA, enhedsoverholdelse og sessionsbegrænsninger. Microsoft strammer CA-håndhævelsen som en del af Secure Future Initiative for at reducere scenarier, hvor sign-ins utilsigtet kan undgå politikevaluering—særligt for klientapps, der kun anmoder om et begrænset sæt scopes.

Hvad ændrer sig

I dag kan der opstå et hul, når en CA-politik målretter “All resources” men også indeholder ressourceekskluderinger. I specifikke tilfælde—når en bruger logger på via en klientapplikation, der anmoder om kun OIDC-scopes eller et begrænset sæt af directory-scopes—bemærker Microsoft, at disse “All resources”-politikker muligvis ikke bliver håndhævet.

Med denne opdatering:

  • CA-politikker, der målretter “All resources”, vil blive håndhævet selv når ressourceekskluderinger er til stede for disse sign-ins.
  • Målet er konsekvent CA-håndhævelse uanset hvilket scope-sæt applikationen anmoder om.
  • Brugere kan nu modtage CA-udfordringer (for eksempel: MFA, enhedsoverholdelse eller andre adgangskontroller) under sign-in flows, som tidligere ikke udløste dem.

Udrulningstidslinje

  • Håndhævelse starter: 27. marts 2026
  • Udrulningsmodel: gradvis på tværs af alle clouds
  • Færdiggørelsesperiode: over flere uger frem til juni 2026

Hvem er berørt

Kun tenants med følgende konfiguration er påvirket:

  • Mindst én Conditional Access-politik, der målretter All resources (All cloud apps)
  • Den samme politik har én eller flere ressourceekskluderinger

Microsoft vil informere berørte tenants via opslag i Microsoft 365 Message Center.

Konsekvens for administratorer og slutbrugere

Admin-konsekvens

  • Sign-in resultater for visse klientapplikationer kan ændre sig, især hvor apps er afhængige af at anmode om minimale scopes.
  • Politikker, der også eksplicit målretter Azure AD Graph (hvor det er relevant i dit miljø/din politikhistorik), kan indgå i de resulterende udfordringer afhængigt af dine konfigurerede kontroller.

Slutbrugerkonsekvens

  • Brugere kan se nye prompts (MFA, krav om compliant enhed osv.) ved godkendelse med berørte applikationer—hvor adgang tidligere kan være fortsat uden CA-håndhævelse.

Anbefalede handlinger / næste skridt

  • De fleste organisationer: Ingen handling kræves.
    • De fleste applikationer anmoder om bredere scopes og er allerede omfattet af CA-håndhævelse.
  • Hvis du har custom apps registreret i din tenant, der bevidst kun anmoder om de begrænsede scopes: Gennemgå og test.
    • Valider, at disse applikationer kan håndtere Conditional Access-udfordringer korrekt.
    • Hvis de ikke kan, så opdater appen ved hjælp af Microsofts udviklervejledning til Conditional Access, så godkendelsesflows (interaktive prompts, enhedssignaler osv.) håndteres korrekt.
  • Operationel parathed:
    • Overvåg notifikationer i Message Center.
    • Brug sign-in logs og Conditional Access troubleshooting/audience reporting til at identificere, hvilke apps og politikker der udløser nye udfordringer under udrulningen.

Denne ændring er designet til at lukke et defense-in-depth hul og få “All resources”-Conditional Access-politikker til at opføre sig mere forudsigeligt—så det er værd proaktivt at validere eventuelle minimal-scope custom apps, før håndhævelsen når din tenant.

Brug for hjælp med Entra ID?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Swaroop Krishnamurthy
Entra IDConditional AccessMFAOAuth scopesidentity security

Relaterede indlæg

Entra ID

Microsoft Entra Backup og gendannelse i preview

Microsoft har lanceret Microsoft Entra Backup og gendannelse i offentlig preview, hvilket giver organisationer en Microsoft-administreret måde at gendanne kritiske identitetsobjekter og konfigurationer til en kendt, velfungerende tilstand. Tjenesten hjælper IT-teams med at komme sig hurtigere efter utilsigtede administratorændringer, provisioneringsfejl og ondsindede ændringer, som ellers kunne forstyrre adgang og sikkerhed.

Entra ID

Microsoft Entra ekstern MFA nu generelt tilgængelig

Microsoft har annonceret generel tilgængelighed af ekstern MFA i Microsoft Entra ID, så organisationer kan integrere betroede tredjeparts MFA-leverandører via OpenID Connect. Funktionen gør det muligt for IT-teams at bevare Microsoft Entra ID som det centrale identitetskontrolplan, samtidig med at de fastholder Conditional Access, risikovurdering og samlet administration af godkendelsesmetoder.

Entra ID

Microsoft Entra sikkerhed på RSAC 2026: AI-agenter

Microsoft annoncerer på RSAC 2026 nye Entra-funktioner, der udvider identitetssikkerhed til også at omfatte AI-agenter, workloads og multi-tenant-miljøer. Det er vigtigt, fordi organisationer får stærkere governance, Conditional Access og risikobaserede kontroller til både agentidentiteter og medarbejderadgang, herunder beskyttelse mod Shadow AI, prompt injection og mere moderne passwordløse loginmetoder.

Entra ID

Microsoft Entra-rapport: AI ændrer enterprise-adgang

Microsofts nye Entra-rapport viser, at AI markant øger presset på virksomheders adgangssikkerhed: 97 % af organisationerne har haft en identity- eller network access-hændelse det seneste år, og 70 % knytter hændelser til AI-relateret aktivitet. Det er vigtigt, fordi generativ AI og autonome agenter skaber flere machine identities og mere kompleks adgangsstyring, hvilket får mange virksomheder til at søge mod konsoliderede, integrerede sikkerhedsplatforme.

Entra ID

Microsoft Entra Access Priorities: sikker AI-adgang

Microsoft lancerer Microsoft Entra Access Priorities Series, en webinarserie i fire dele, der hjælper IT-teams med at implementere sikker adgang i praksis til medarbejdere, apps, enheder og AI-agenter. Serien fokuserer på phishing-resistent godkendelse, adaptiv adgang, least privilege og en Access Fabric-tilgang, hvilket er vigtigt, fordi identitet i stigende grad er blevet det centrale kontrolpunkt for sikkerhed i AI-æraen.

Entra ID

Microsoft Entra Internet Access: Secure Web & AI Gateway

Microsoft har i public preview tilføjet en Secure Web & AI Gateway i Entra Internet Access, som giver virksomheder mulighed for at opdage og styre brugen af AI-tjenester direkte på netværkslaget. Nyhederne omfatter især Shadow AI Detection og Network File Filtering med Purview-integration, så organisationer kan identificere ikke-godkendte AI-værktøjer, blokere risikofyldte apps og forhindre deling af følsomme data. Det er vigtigt, fordi virksomheder får en mere samlet og identity-first tilgang til AI-sikkerhed uden at skulle ændre deres eksisterende apps.