Entra ID

Entra Conditional Access: All resources ab März 2026

3 Min. Lesezeit

Zusammenfassung

Microsoft verschärft ab dem 27. März 2026 die Durchsetzung von Entra Conditional Access: Richtlinien mit „All resources“ greifen künftig auch dann zuverlässig, wenn Ressourcenausschlüsse vorhanden sind und Anwendungen nur OIDC- oder wenige Directory-Scopes anfordern. Das ist wichtig, weil damit bisher mögliche Lücken in der Richtlinienauswertung geschlossen werden und Nutzer in mehr Anmeldeflows konsequent MFA, Geräte-Compliance oder andere Zugriffskontrollen auslösen können.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Entra ID?Mit einem Experten sprechen

Einführung: warum das wichtig ist

Conditional Access (CA) ist ein zentrales Kontrollinstrument zur Durchsetzung von MFA, Device Compliance und Sitzungsbeschränkungen. Microsoft verschärft die CA-Durchsetzung im Rahmen der Secure Future Initiative, um Szenarien zu reduzieren, in denen Anmeldungen unbeabsichtigt der Richtlinienauswertung entgehen können – insbesondere bei Client-Apps, die nur einen begrenzten Satz an Scopes anfordern.

Was sich ändert

Heute kann eine Lücke entstehen, wenn eine CA-Richtlinie „All resources“ adressiert (All cloud apps), aber auch Ressourcenausschlüsse enthält. In bestimmten Fällen – wenn sich ein Benutzer über eine Client-Anwendung anmeldet, die nur OIDC-Scopes oder einen begrenzten Satz von directory scopes anfordert – weist Microsoft darauf hin, dass diese „All resources“-Richtlinien möglicherweise nicht durchgesetzt werden.

Mit diesem Update gilt:

  • CA-Richtlinien, die „All resources“ adressieren, werden auch dann durchgesetzt, wenn Ressourcenausschlüsse vorhanden sind – für diese Anmeldungen.
  • Ziel ist eine konsistente CA-Durchsetzung unabhängig vom von der Anwendung angeforderten Scope-Set.
  • Benutzer können nun CA-Challenges (zum Beispiel: MFA, device compliance oder andere Zugriffskontrollen) in Anmeldeflows erhalten, die diese zuvor nicht ausgelöst haben.

Rollout-Zeitplan

  • Durchsetzung beginnt: 27. März 2026
  • Rollout-Modell: schrittweise über alle Clouds
  • Abschlusszeitraum: über mehrere Wochen bis Juni 2026

Wer betroffen ist

Betroffen sind nur Tenants mit folgender Konfiguration:

  • Mindestens eine Conditional Access Richtlinie, die All resources (All cloud apps) adressiert
  • Dieselbe Richtlinie hat einen oder mehrere Ressourcenausschlüsse

Microsoft informiert betroffene Tenants über Beiträge im Microsoft 365 Message Center.

Auswirkungen für Admins und Endbenutzer

Auswirkungen für Admins

  • Anmeldeergebnisse für bestimmte Client-Anwendungen können sich ändern, insbesondere dort, wo Apps darauf setzen, nur minimale Scopes anzufordern.
  • Richtlinien, die außerdem explizit Azure AD Graph adressieren (sofern in Ihrer Umgebung/Ihrem Richtlinienverlauf relevant), können je nach konfigurierten Kontrollen an den daraus resultierenden Challenges beteiligt sein.

Auswirkungen für Endbenutzer

  • Benutzer können bei der Authentifizierung mit betroffenen Anwendungen neue Aufforderungen (MFA, Anforderungen an ein compliant device usw.) sehen – wo der Zugriff zuvor möglicherweise ohne CA-Durchsetzung fortgesetzt wurde.

Empfohlene Maßnahmen / nächste Schritte

  • Die meisten Organisationen: Keine Aktion erforderlich.
    • Die meisten Anwendungen fordern breitere Scopes an und unterliegen bereits der CA-Durchsetzung.
  • Wenn Sie benutzerdefinierte Apps in Ihrem Tenant registriert haben, die bewusst nur die begrenzten Scopes anfordern: Prüfen und testen.
    • Validieren Sie, dass diese Anwendungen Conditional Access Challenges korrekt verarbeiten können.
    • Falls nicht, aktualisieren Sie die App mithilfe von Microsofts Conditional Access Developer Guidance, damit Authentifizierungsflüsse (interaktive Prompts, device signals usw.) korrekt gehandhabt werden.
  • Betriebliche Vorbereitung:
    • Message Center-Benachrichtigungen beobachten.
    • Sign-in logs sowie Conditional Access troubleshooting/audience reporting nutzen, um zu identifizieren, welche Apps und Richtlinien während des Rollouts neue Challenges auslösen.

Diese Änderung soll eine Defense-in-Depth-Lücke schließen und dafür sorgen, dass „All resources“-Conditional Access-Richtlinien vorhersehbarer funktionieren – daher lohnt es sich, alle minimal-scope custom apps proaktiv zu validieren, bevor die Durchsetzung Ihren Tenant erreicht.

Brauchen Sie Hilfe mit Entra ID?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Swaroop Krishnamurthy lesen
Entra IDConditional AccessMFAOAuth scopesidentity security

Verwandte Beiträge

Entra ID

Microsoft Entra Backup and Recovery in der Preview

Microsoft hat Microsoft Entra Backup and Recovery in der Public Preview gestartet und bietet Organisationen damit eine von Microsoft verwaltete Möglichkeit, kritische Identitätsobjekte und Konfigurationen in einen bekannten, funktionsfähigen Zustand zurückzuversetzen. Der Dienst hilft IT-Teams, sich schneller von versehentlichen Admin-Änderungen, Provisioning-Fehlern und böswilligen Modifikationen zu erholen, die sonst Zugriff und Sicherheit beeinträchtigen könnten.

Entra ID

Microsoft Entra externe MFA jetzt allgemein verfügbar

Microsoft hat die allgemeine Verfügbarkeit von externer MFA in Microsoft Entra ID angekündigt. Damit können Organisationen vertrauenswürdige Drittanbieter für MFA über OpenID Connect integrieren. Die Funktion ermöglicht IT-Teams, Microsoft Entra ID als zentrale Identitätssteuerung beizubehalten und gleichzeitig Conditional Access, Risikobewertung und die einheitliche Verwaltung von Authentifizierungsmethoden zu nutzen.

Entra ID

Microsoft Entra RSAC 2026: Schutz für AI-Identitäten

Microsoft hat auf der RSAC 2026 neue Entra-Funktionen vorgestellt, um neben Benutzern und Geräten auch AI-Agenten, Workloads und Multi-Tenant-Umgebungen besser abzusichern. Im Fokus stehen Entra Agent ID mit Governance- und Conditional-Access-Erweiterungen sowie neue Schutzmechanismen wie Shadow-AI-Erkennung und Prompt-Injection-Schutz. Das ist wichtig, weil Unternehmen ihre Identitätssicherheit im AI-Zeitalter auf ein Zero-Trust-Modell ausweiten müssen, das Risiken in Echtzeit bewertet und Zugriffe dynamisch steuert.

Entra ID

Microsoft Entra-Bericht 2026: AI erzwingt Umdenken beim Zugriff

Der Microsoft Entra-Bericht 2026 zeigt, dass KI den Druck auf Identity- und Netzwerkzugriffe massiv erhöht: 97 % der befragten Organisationen meldeten Vorfälle in diesem Bereich, 70 % sogar mit direktem KI-Bezug. Das ist wichtig, weil generative KI und autonome Agents neue Machine Identities mit weitreichenden Rechten schaffen und damit klassische, verstreute Sicherheitsmodelle an ihre Grenzen bringen – weshalb viele Unternehmen nun auf konsolidierte, integrierte Zugriffsplattformen setzen.

Entra ID

Microsoft Entra Access Priorities: Sichere AI-Zugriffe

Microsoft startet mit der „Entra Access Priorities Series“ eine vierteilige Webinarreihe, die IT-Teams konkrete Hilfen wie Demos, Vorlagen und Checklisten für moderne Zugriffs- und Identitätssicherheit bietet. Im Fokus stehen phishing-resistente Authentifizierung, adaptive Zugriffskontrollen, Zero Trust und die Absicherung von AI-Services – wichtig, weil Identitäten zunehmend die zentrale Sicherheits- und Steuerungsebene für Mitarbeitende, Anwendungen, Geräte und AI-Agenten werden.

Entra ID

Microsoft Entra Internet Access: Secure Web & AI Gateway

Microsoft erweitert Entra Internet Access in der Public Preview um ein „Secure Web & AI Gateway“, das KI-Nutzung direkt auf Netzwerkebene absichert. Neu sind unter anderem Shadow-AI-Erkennung für nicht genehmigte KI-Tools sowie Datei- und Inhaltsfilterung mit Purview-Integration, um Datenabfluss und riskante KI-Zugriffe zu verhindern. Das ist relevant, weil Unternehmen generative KI schneller einführen als passende Sicherheitskontrollen – und Microsoft hier Identität als zentrale Steuerungsebene für sicheren KI-Zugriff positioniert.