Entra ID

Entra Conditional Access: ‘All resources’ in 2026

3 min leestijd

Samenvatting

Microsoft past Entra Conditional Access in 2026 aan zodat beleid dat op ‘All resources’ is gericht voortaan ook wordt afgedwongen bij aanmeldingen via apps die alleen OIDC- of beperkte directory-scopes aanvragen, zelfs als er resource-uitsluitingen zijn geconfigureerd. Dit is belangrijk omdat hiermee een bestaande handhavingskloof wordt gedicht, waardoor organisaties consistenter MFA, apparaatcompliance en andere toegangscontroles kunnen afdwingen; de gefaseerde uitrol start op 27 maart 2026 en loopt naar verwachting door tot juni 2026.

Hulp nodig met Entra ID?Praat met een expert

Introductie: waarom dit belangrijk is

Conditional Access (CA) is een kernmaatregel om MFA, apparaatcompliance en sessiebeperkingen af te dwingen. Microsoft scherpt CA-handhaving aan als onderdeel van de Secure Future Initiative om scenario’s te verkleinen waarin aanmeldingen onbedoeld aan beleids-evaluatie kunnen ontsnappen—met name bij client-apps die slechts een beperkte set scopes aanvragen.

Wat er verandert

Vandaag kan er een gat ontstaan wanneer een CA-beleid is gericht op ‘All resources’ maar ook resource-uitsluitingen bevat. In specifieke gevallen—wanneer een gebruiker zich aanmeldt via een client-applicatie die alleen OIDC-scopes of een beperkte set directory-scopes aanvraagt—merkt Microsoft op dat deze ‘All resources’-beleidsregels mogelijk niet worden afgedwongen.

Met deze update:

  • CA-beleid dat is gericht op ‘All resources’ wordt afgedwongen, zelfs wanneer resource-uitsluitingen aanwezig zijn voor deze aanmeldingen.
  • Het doel is consistente CA-handhaving, ongeacht de scope-set die door de applicatie wordt aangevraagd.
  • Gebruikers kunnen nu CA-uitdagingen krijgen (bijvoorbeeld: MFA, device compliance of andere toegangscontroles) tijdens aanmeldflows die deze eerder niet activeerden.

Uitroltijdlijn

  • Handhaving start: 27 maart 2026
  • Uitrolmodel: progressief over alle clouds
  • Afrondingsvenster: over meerdere weken tot en met juni 2026

Wie wordt geraakt

Alleen tenants met de volgende configuratie worden beïnvloed:

  • Minstens één Conditional Access-beleid dat is gericht op All resources (All cloud apps)
  • Datzelfde beleid heeft één of meerdere resource-uitsluitingen

Microsoft informeert betrokken tenants via posts in Microsoft 365 Message Center.

Impact voor admins en eindgebruikers

Impact voor admins

  • Aanmeldresultaten voor bepaalde client-applicaties kunnen veranderen, vooral waar apps afhankelijk zijn van het aanvragen van minimale scopes.
  • Beleidsregels die ook expliciet zijn gericht op Azure AD Graph (waar van toepassing in jouw omgeving/beleidshistorie) kunnen onderdeel zijn van de resulterende uitdagingen, afhankelijk van de door jou geconfigureerde controls.

Impact voor eindgebruikers

  • Gebruikers kunnen nieuwe prompts zien (MFA, vereisten voor een compliant device, enz.) bij authenticatie met getroffen applicaties—waar toegang eerder mogelijk doorging zonder CA-handhaving.

Aanbevolen acties / volgende stappen

  • De meeste organisaties: geen actie vereist.
    • De meeste applicaties vragen bredere scopes aan en vallen al onder CA-handhaving.
  • Als je custom apps hebt geregistreerd in je tenant die bewust alleen de beperkte scopes aanvragen: review en test.
    • Valideer dat deze applicaties Conditional Access-uitdagingen correct kunnen afhandelen.
    • Als dat niet kan, werk de app bij met Microsoft’s Conditional Access developer guidance, zodat authenticatieflows (interactieve prompts, device-signalen, enz.) correct worden verwerkt.
  • Operationele gereedheid:
    • Monitor Message Center-meldingen.
    • Gebruik sign-in logs en Conditional Access troubleshooting/audience reporting om te bepalen welke apps en beleidsregels tijdens de uitrol nieuwe uitdagingen triggeren.

Deze wijziging is bedoeld om een defense-in-depth-lek te dichten en ‘All resources’ Conditional Access-beleid voorspelbaarder te laten werken—dus het is de moeite waard om eventuele minimal-scope custom apps proactief te valideren voordat de handhaving jouw tenant bereikt.

Hulp nodig met Entra ID?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Swaroop Krishnamurthy
Entra IDConditional AccessMFAOAuth scopesidentity security

Gerelateerde artikelen

Entra ID

Microsoft Entra Backup en Recovery in preview

Microsoft heeft Microsoft Entra Backup and Recovery gelanceerd in public preview en geeft organisaties daarmee een door Microsoft beheerde manier om kritieke identiteitsobjecten en configuraties te herstellen naar een bekende, goede status. De service helpt IT-teams sneller te herstellen van onbedoelde adminwijzigingen, provisioningfouten en kwaadaardige aanpassingen die anders toegang en beveiliging kunnen verstoren.

Entra ID

Microsoft Entra externe MFA nu algemeen beschikbaar

Microsoft heeft de algemene beschikbaarheid aangekondigd van externe MFA in Microsoft Entra ID, waarmee organisaties vertrouwde MFA-providers van derden kunnen integreren via OpenID Connect. Met deze functie kunnen IT-teams Microsoft Entra ID als centraal identity control plane behouden, terwijl Conditional Access, risicobeoordeling en uniform beheer van verificatiemethoden behouden blijven.

Entra ID

Microsoft Entra RSAC 2026: AI-beveiliging en MFA

Microsoft kondigde op RSAC 2026 nieuwe Entra-beveiligingsfuncties aan om niet alleen gebruikers en apparaten, maar ook AI-agents, workloads en multi-tenant-omgevingen beter te beschermen. Belangrijke updates zijn uitgebreid identiteitsbeheer voor AI-agents, detectie van ongeautoriseerde AI-apps, bescherming tegen prompt injection en bredere inzet van passkeys en MFA, wat organisaties helpt om Zero Trust-toegang consistenter en in real time af te dwingen.

Entra ID

Microsoft Entra AI-toegang dwingt enterprise herziening

Microsofts nieuwste Entra-onderzoek laat zien dat de snelle inzet van generatieve AI en autonome agents de druk op identity- en netwerktoegang sterk verhoogt: 97% van de organisaties meldde het afgelopen jaar een incident, waarvan 70% AI-gerelateerd. Dit is belangrijk omdat AI niet alleen meer menselijke toegang vraagt, maar ook veel nieuwe machine-identiteiten met brede rechten creëert, waardoor bedrijven hun versnipperde toegangsmodellen moeten consolideren naar geïntegreerde identity- en accessplatforms.

Entra ID

Microsoft Entra Access Priorities: veilige AI-toegang

Microsoft introduceert de Entra Access Priorities Series: een webinarreeks van vier sessies die IT-teams helpt om identity, netwerktoegang en AI-beveiliging praktisch in te richten met demo’s, templates en checklists. Dit is relevant omdat identity steeds meer het centrale controlepunt wordt voor veilige toegang van medewerkers, apps, devices en AI-agents, en organisaties hiermee concreet stappen kunnen zetten richting Zero Trust en een toekomstbestendige Access Fabric.

Entra ID

Microsoft Entra Secure Web & AI Gateway preview

Microsoft introduceert in preview een Secure Web & AI Gateway binnen Entra Internet Access, waarmee organisaties AI-verkeer op netwerkniveau kunnen inspecteren en afdwingen zonder applicaties aan te passen. Belangrijke nieuwe functies zijn onder meer Shadow AI Detection voor het opsporen en blokkeren van niet-goedgekeurde AI-tools en Network File Filtering met Purview-integratie om gevoelige data-uitwisseling te beperken. Dit is relevant omdat het bedrijven helpt AI sneller en veiliger te gebruiken met identity-first controles tegen datalekken, prompt-injection en versnipperd beveiligingsbeleid.