Entra ID

Microsoft Entra Conditional Access: novità All resources

3 min di lettura

Riepilogo

Microsoft aggiornerà Entra Conditional Access dal 27 marzo 2026 per garantire che i criteri impostati su “All resources” vengano applicati anche quando esistono esclusioni di risorse, eliminando una lacuna che poteva lasciare fuori alcune autenticazioni con soli scope OIDC o directory limitati. La novità è importante perché rende l’enforcement di MFA, conformità del dispositivo e altri controlli più coerente e sicuro, ma può anche introdurre nuove challenge di accesso per utenti e applicazioni che prima non le ricevevano.

Hai bisogno di aiuto con Entra ID?Parla con un esperto

Introduzione: perché è importante

Conditional Access (CA) è un controllo fondamentale per applicare MFA, la conformità del dispositivo e le restrizioni di sessione. Microsoft sta rafforzando l’applicazione di CA nell’ambito della Secure Future Initiative per ridurre gli scenari in cui le autenticazioni possono involontariamente evitare la valutazione dei criteri—soprattutto per le app client che richiedono solo un set limitato di scope.

Cosa cambia

Oggi può verificarsi una lacuna quando un criterio CA ha come destinazione “All resources” ma include anche esclusioni di risorse. In casi specifici—quando un utente esegue l’accesso tramite un’applicazione client che richiede solo scope OIDC o un set limitato di directory scopes—Microsoft osserva che questi criteri “All resources” potrebbero non essere applicati.

Con questo aggiornamento:

  • I criteri CA che hanno come destinazione “All resources” verranno applicati anche in presenza di esclusioni di risorse per queste autenticazioni.
  • L’obiettivo è un’applicazione coerente di CA indipendentemente dal set di scope richiesto dall’applicazione.
  • Gli utenti potrebbero ora ricevere challenge di CA (ad esempio: MFA, conformità del dispositivo o altri controlli di accesso) durante flussi di accesso che in precedenza non le attivavano.

Timeline di rollout

  • Inizio applicazione: 27 marzo 2026
  • Modello di rollout: progressivo su tutti i cloud
  • Finestra di completamento: nell’arco di diverse settimane fino a giugno 2026

Chi è interessato

Sono interessati solo i tenant con la seguente configurazione:

  • Almeno un criterio di Conditional Access che ha come destinazione All resources (All cloud apps)
  • Lo stesso criterio ha una o più esclusioni di risorse

Microsoft notificherà i tenant interessati tramite post nel Microsoft 365 Message Center.

Impatto per admin e utenti finali

Impatto per gli admin

  • Gli esiti di accesso per alcune applicazioni client potrebbero cambiare, soprattutto dove le app si basano sulla richiesta di scope minimi.
  • I criteri che includono anche in modo esplicito Azure AD Graph (ove applicabile nel tuo ambiente/nella cronologia dei criteri) potrebbero essere coinvolti nelle challenge risultanti a seconda dei controlli configurati.

Impatto per gli utenti finali

  • Gli utenti potrebbero visualizzare nuovi prompt (MFA, requisiti di dispositivo conforme, ecc.) durante l’autenticazione con applicazioni interessate—dove in precedenza l’accesso poteva proseguire senza l’applicazione di CA.

Azioni consigliate / prossimi passi

  • La maggior parte delle organizzazioni: nessuna azione richiesta.
    • La maggior parte delle applicazioni richiede scope più ampi ed è già soggetta all’applicazione di CA.
  • Se hai app personalizzate registrate nel tenant che richiedono intenzionalmente solo scope limitati: rivedi e testa.
    • Verifica che queste applicazioni siano in grado di gestire correttamente le challenge di Conditional Access.
    • Se non lo sono, aggiorna l’app seguendo la developer guidance di Microsoft su Conditional Access, in modo che i flussi di autenticazione (prompt interattivi, segnali del dispositivo, ecc.) vengano gestiti correttamente.
  • Preparazione operativa:
    • Monitora le notifiche nel Message Center.
    • Usa i sign-in logs e gli strumenti di troubleshooting/reporting di Conditional Access per identificare quali app e criteri stanno attivando nuove challenge durante il rollout.

Questa modifica è pensata per chiudere una lacuna defense-in-depth e rendere i criteri di Conditional Access “All resources” più prevedibili—quindi vale la pena validare in modo proattivo eventuali app personalizzate a scope minimo prima che l’applicazione raggiunga il tuo tenant.

Hai bisogno di aiuto con Entra ID?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Swaroop Krishnamurthy
Entra IDConditional AccessMFAOAuth scopesidentity security

Articoli correlati

Entra ID

Microsoft Entra Backup e Recovery in anteprima

Microsoft ha lanciato Microsoft Entra Backup and Recovery in anteprima pubblica, offrendo alle organizzazioni un modo gestito da Microsoft per ripristinare oggetti e configurazioni di identità critici a uno stato noto e valido. Il servizio aiuta i team IT a recuperare più rapidamente da modifiche amministrative accidentali, errori di provisioning e modifiche dannose che altrimenti potrebbero compromettere accesso e sicurezza.

Entra ID

Microsoft Entra external MFA ora disponibile GA

Microsoft ha annunciato la disponibilità generale di external MFA in Microsoft Entra ID, consentendo alle organizzazioni di integrare provider MFA di terze parti affidabili tramite OpenID Connect. La funzionalità permette ai team IT di mantenere Microsoft Entra ID come piano di controllo centrale per le identità, preservando Conditional Access, la valutazione del rischio e la gestione unificata dei metodi di autenticazione.

Entra ID

Microsoft Entra RSAC 2026: protezione AI agent e tenant

Al RSAC 2026 Microsoft ha annunciato importanti novità per Entra, estendendo la protezione delle identità a AI agent, workload e scenari multi-tenant con controlli come Agent ID, Conditional Access avanzato e decisioni basate sul rischio in tempo reale. Questi aggiornamenti contano perché aiutano i team IT e sicurezza ad applicare un modello identity-first e Zero Trust anche nell’era dell’AI, riducendo i rischi legati a accessi non autorizzati, Shadow AI e nuovi vettori di attacco.

Entra ID

Microsoft Entra report 2026: AI e accesso enterprise

Il report Microsoft Entra 2026 evidenzia come la rapida adozione di AI generativa e agenti autonomi stia mettendo sotto pressione i modelli tradizionali di gestione di identità e accessi: il 97% delle organizzazioni ha registrato incidenti legati a identità o accesso di rete, e il 70% ne ha subiti di collegati ad attività AI. La notizia è importante perché mostra che le nuove identità macchina create dall’AI ampliano la superficie di attacco, spingendo sempre più aziende a consolidare strumenti frammentati verso piattaforme integrate di Identity and Access Management.

Entra ID

Microsoft Entra Access Priorities: webinar AI e accesso

Microsoft ha annunciato la nuova Entra Access Priorities Series, una serie di quattro webinar pensata per aiutare i team IT a implementare in modo pratico le strategie di accesso sicuro in Entra ID, con focus su Access Fabric, Zero Trust, autenticazione resistente al phishing e protezione dell’accesso nell’era dell’AI. È rilevante perché mostra come Microsoft stia spostando l’identità al centro della sicurezza moderna, offrendo linee guida, demo e checklist utili per proteggere utenti, applicazioni, dispositivi e workload AI.

Entra ID

Microsoft Entra Internet Access: Secure Web & AI Gateway

Microsoft has added a Secure Web & AI Gateway to Entra Internet Access in public preview, bringing AI-aware network inspection and policy enforcement into its SASE platform. The update helps organizations detect and control shadow AI usage, filter risky file transfers, and apply identity-driven protections with tools like Conditional Access, Defender for Cloud Apps, and Purview—important for reducing data leakage and prompt-injection risks as enterprise AI adoption accelerates.