Microsoft Entra Conditional AccessのAll resources変更

Introduction: why this matters

Conditional Access (CA) は、MFA、デバイス準拠、セッション制限を強制するための中核的な制御です。Microsoft は Secure Future Initiative の一環として CA の強制を強化し、サインインが意図せずポリシー評価を回避できてしまうシナリオ—特に、限定されたスコープのみを要求するクライアント アプリ—を減らそうとしています。

What’s changing

現在、CA ポリシーが「All resources」 を対象としている一方で リソース除外 も含む場合に、ギャップが生じることがあります。特定のケース—ユーザーが、OIDC スコープのみ、または限定的なディレクトリ スコープ だけを要求するクライアント アプリケーション経由でサインインする場合—では、Microsoft によると、これらの「All resources」ポリシーが 強制されない 可能性があります。

この更新以降は次のとおりです:

• 「All resources」を対象とする CA ポリシーは、リソース除外が存在していても、これらのサインインに対して強制されます。
• 目的は、アプリケーションが要求するスコープ セットに関係なく、一貫して CA を強制すること です。
• これまでトリガーされなかったサインイン フローでも、サインイン中に CA チャレンジ（例: MFA、デバイス準拠、その他のアクセス制御）を受ける可能性があります。

Rollout timeline

• 強制開始: 2026年3月27日
• 展開モデル: 全クラウドで段階的に展開
• 完了時期: 2026年6月 までの数週間で完了

Who is affected

影響を受けるのは、次の構成を持つテナントのみです:

• All resources（All cloud apps）を対象とする Conditional Access ポリシーが少なくとも1つ存在する
• 同一ポリシーに 1つ以上のリソース除外 がある

Microsoft は、影響を受けるテナントに対して Microsoft 365 Message Center の投稿で通知します。

Impact for admins and end users

Admin impact

• 特定のクライアント アプリケーションのサインイン結果が変わる可能性があります。特に、最小限のスコープ要求に依存しているアプリで影響が出やすくなります。
• 結果として発生するチャレンジには、構成している制御内容に応じて、（環境/ポリシー履歴に該当がある場合）Azure AD Graph を明示的に対象とするポリシーが関係することがあります。

End-user impact

• 影響を受けるアプリケーションで認証する際に、これまで CA が強制されずに進んでいたケースでも、新しいプロンプト（MFA、準拠デバイス要件など）が表示される可能性があります。

Recommended actions / next steps

• ほとんどの組織: 対応不要です。
  • 多くのアプリケーションはより広いスコープを要求しており、すでに CA 強制の対象です。
• テナントに登録したカスタム アプリが、意図的に限定スコープのみを要求している場合: 確認とテストを実施してください。
  • これらのアプリケーションが Conditional Access チャレンジを適切に処理できることを検証します。
  • 処理できない場合は、Microsoft の Conditional Access 開発者向けガイダンスに従ってアプリを更新し、認証フロー（対話型プロンプト、デバイス シグナルなど）を正しく扱えるようにしてください。
• 運用面の備え:
  • Message Center の通知を監視します。
  • サインイン ログと Conditional Access のトラブルシューティング/対象者レポートを用いて、展開中に新たなチャレンジを引き起こしているアプリとポリシーを特定します。

この変更は、多層防御のギャップを埋め、「All resources」Conditional Access ポリシーをより予測可能に動作させることを目的としています。そのため、強制がテナントに到達する前に、最小スコープのカスタム アプリがあれば事前に検証しておく価値があります。