Entra ID

Entra Conditional Access: All resources muuttuu 2026

3 min lukuaika

Yhteenveto

Microsoft muuttaa Entra ID:n Conditional Accessin toimintaa niin, että ”All resources” -kohdistetut käytännöt pannaan vuodesta 2026 alkaen johdonmukaisesti täytäntöön myös kirjautumisissa, joissa asiakassovellus pyytää vain OIDC- tai rajattuja directory-scopeja ja vaikka käytännössä olisi resurssipoissulkuja. Tämä on tärkeää, koska aiemmin osa kirjautumisista saattoi ohittaa CA-arvioinnin, mutta muutoksen jälkeen organisaatioiden on syytä testata vaikutukset etukäteen, sillä käyttäjille voi alkaa ilmestyä uusia MFA-, laitevaatimustenmukaisuus- ja muita käyttöoikeushaasteita.

Tarvitsetko apua Entra ID-asioissa?Keskustele asiantuntijan kanssa

Johdanto: miksi tällä on merkitystä

Conditional Access (CA) on keskeinen ohjauskeino MFA:n, laitevaatimustenmukaisuuden ja istuntorajoitusten pakottamisessa. Microsoft tiukentaa CA:n täytäntöönpanoa osana Secure Future Initiative -ohjelmaa vähentääkseen tilanteita, joissa kirjautumiset voivat tahattomasti välttää käytäntöarvioinnin—erityisesti asiakassovelluksissa, jotka pyytävät vain rajatun joukon scopeja.

Mitä muuttuu

Tällä hetkellä voi syntyä aukko, kun CA-käytäntö kohdistuu ”All resources” mutta sisältää myös resurssipoissulkuja. Tietyissä tapauksissa—kun käyttäjä kirjautuu sisään asiakassovelluksen kautta, joka pyytää vain OIDC-scopeja tai rajatun joukon directory-scopeja—Microsoft toteaa, että nämä ”All resources” -käytännöt eivät välttämättä tule pakotetuiksi.

Tämän päivityksen myötä:

  • ”All resources” -kohdistusta käyttävät CA-käytännöt pannaan täytäntöön myös silloin, kun resurssipoissulkuja on määritetty näissä kirjautumisissa.
  • Tavoitteena on johdonmukainen CA:n täytäntöönpano riippumatta siitä, minkä scope-joukon sovellus pyytää.
  • Käyttäjät voivat nyt saada CA-haasteita (esimerkiksi: MFA, device compliance tai muita käyttöoikeusohjauksia) kirjautumisvirroissa, jotka aiemmin eivät käynnistäneet niitä.

Käyttöönoton aikataulu

  • Täytäntöönpano alkaa: 27. maaliskuuta 2026
  • Käyttöönoton malli: asteittainen kaikissa pilvissä
  • Valmistumisikkuna: useiden viikkojen aikana kesäkuuhun 2026 asti

Keihin tämä vaikuttaa

Vaikutus koskee vain tenantteja, joilla on seuraava määritys:

  • Vähintään yksi Conditional Access -käytäntö, joka kohdistuu All resources (All cloud apps)
  • Samassa käytännössä on yksi tai useampi resurssipoissulku

Microsoft ilmoittaa vaikutuksen piirissä oleville tenantteille Microsoft 365 Message Center -julkaisujen kautta.

Vaikutus järjestelmänvalvojille ja loppukäyttäjille

Vaikutus järjestelmänvalvojille

  • Tiettyjen asiakassovellusten kirjautumistulokset voivat muuttua, erityisesti jos sovellukset nojaavat minimaalisten scopejen pyytämiseen.
  • Käytännöt, jotka myös nimenomaisesti kohdistuvat Azure AD Graph -palveluun (siltä osin kuin se on relevanttia ympäristössäsi/käytäntöhistoriassasi), voivat olla mukana syntyvissä haasteissa määrittämistäsi ohjauskeinoista riippuen.

Vaikutus loppukäyttäjille

  • Käyttäjät voivat nähdä uusia kehotteita (MFA, vaatimustenmukainen laite -vaatimukset jne.) todennettaessa vaikutuksen alaisilla sovelluksilla—kun aiemmin käyttö saattoi jatkua ilman CA:n täytäntöönpanoa.

Suositellut toimet / seuraavat askeleet

  • Useimmat organisaatiot: Toimenpiteitä ei tarvita.
    • Useimmat sovellukset pyytävät laajempia scopeja ja ovat jo CA:n täytäntöönpanon piirissä.
  • Jos tenantissasi on mukautettuja sovelluksia, jotka tarkoituksella pyytävät vain rajattuja scopeja: Tarkista ja testaa.
    • Varmista, että nämä sovellukset osaavat käsitellä Conditional Access -haasteita oikein.
    • Jos eivät, päivitä sovellus Microsoftin Conditional Access -kehittäjäohjeistuksen mukaisesti, jotta todennusvirrat (interaktiiviset kehotteet, laitesignaalit jne.) käsitellään oikein.
  • Operatiivinen valmius:
    • Seuraa Message Center -ilmoituksia.
    • Hyödynnä sign-in logs -lokeja sekä Conditional Access -vianmääritystä/audience reporting -raportointia tunnistaaksesi, mitkä sovellukset ja käytännöt käynnistävät uusia haasteita käyttöönoton aikana.

Tämän muutoksen tarkoituksena on sulkea defense-in-depth -mallin aukko ja saada ”All resources” -Conditional Access -käytännöt toimimaan ennustettavammin—joten on järkevää validoida ennakoivasti kaikki minimal-scope-mukautetut sovellukset ennen kuin täytäntöönpano saavuttaa tenanttisi.

Tarvitsetko apua Entra ID-asioissa?

Asiantuntijamme auttavat sinua toteuttamaan ja optimoimaan Microsoft-ratkaisusi.

Keskustele asiantuntijan kanssa

Pysy ajan tasalla Microsoft-teknologioista

Lue alkuperäinen artikkeli kirjoittajalta Swaroop Krishnamurthy
Entra IDConditional AccessMFAOAuth scopesidentity security

Aiheeseen liittyvät

Entra ID

Microsoft Entra Backup and Recovery Enters Preview

Microsoft has launched Microsoft Entra Backup and Recovery in public preview, giving organizations a Microsoft-managed way to restore critical identity objects and configurations to a known-good state. The service helps IT teams recover faster from accidental admin changes, provisioning errors, and malicious modifications that could otherwise disrupt access and security.

Entra ID

Microsoft Entra External MFA Now Generally Available

Microsoft has announced general availability of external MFA in Microsoft Entra ID, allowing organizations to integrate trusted third-party MFA providers using OpenID Connect. The feature lets IT teams keep Microsoft Entra ID as the central identity control plane while maintaining Conditional Access, risk evaluation, and unified authentication method management.

Entra ID

Microsoft Entra RSAC 2026 Identity Security Updates

At RSAC 2026, Microsoft announced major Microsoft Entra updates aimed at securing not only users and devices but also AI agents, workloads, and modern multi-tenant environments. The new capabilities—such as expanded Entra Agent ID governance, shadow AI detection, prompt injection protection, passkey enhancements, and adaptive risk-based access—matter because they strengthen Zero Trust identity security as organizations adopt AI and face more dynamic access risks.

Entra ID

Microsoft Entra Secure Access Report 2026 on AI Risk

Microsoft’s Entra Secure Access Report 2026 says AI adoption is significantly increasing identity and network access risk, with 97% of organizations reporting an access-related incident in the past year and 70% tying incidents to AI activity. The report argues that fragmented identity and network tools are making the problem worse, which matters because more organizations are now moving toward consolidated access platforms to better secure AI tools, agents, and machine identities.

Entra ID

Microsoft Entra Access Priorities -webinaarisarja 2026

Microsoft julkaisee vuonna 2026 neliosaisen Entra Access Priorities -webinaarisarjan, joka auttaa IT-tiimejä viemään identity- ja käyttöoikeusstrategiat käytäntöön demojen, mallien ja tarkistuslistojen avulla. Sarja painottaa phishing-resistant-autentikointia, adaptiivista pääsynhallintaa, Zero Trust -valmiuksia ja AI-aikakauden käyttöoikeuksien suojaamista, mikä on tärkeää, koska identiteetistä on tullut keskeinen tietoturvan ohjauspiste käyttäjille, sovelluksille, laitteille ja AI-työkuormille.

Entra ID

Microsoft Entra Internet Accessin AI-suojaus Preview

Microsoft toi Entra Internet Accessiin Public Preview -vaiheessa secure web & AI gatewayn, joka lisää AI-tietoisen valvonnan ja käytäntöjen toimeenpanon verkkokerrokseen osana SASE-ratkaisua. Uutuudet, kuten Shadow AI Detection ja Purview-integraatioon perustuva tiedostosuodatus, auttavat yrityksiä tunnistamaan luvattomat AI-työkalut, estämään arkaluonteisen datan vuotoa ja hallitsemaan AI:n käyttöä identiteettilähtöisesti ilman sovellusten uudelleenkirjoitusta.