Entra ID

Microsoft Entra Conditional Access: „All resources” 2026

3 min czytania

Podsumowanie

Microsoft zmieni sposób egzekwowania zasad Conditional Access w Entra ID: od 27 marca 2026 polityki ustawione na „All resources” będą stosowane także w scenariuszach logowania, które wcześniej mogły omijać ocenę zasad, nawet jeśli zawierają wykluczenia zasobów. To ważne, bo może spowodować pojawienie się nowych wyzwań dostępu, takich jak MFA czy wymóg zgodności urządzenia, dlatego organizacje powinny wcześniej przejrzeć swoje polityki i przygotować się na wpływ na logowania użytkowników oraz aplikacje klienckie.

Potrzebujesz pomocy z Entra ID?Porozmawiaj z ekspertem

Wprowadzenie: dlaczego to ma znaczenie

Conditional Access (CA) to kluczowy mechanizm kontroli do wymuszania MFA, zgodności urządzeń oraz ograniczeń sesji. Microsoft zaostrza egzekwowanie CA w ramach Secure Future Initiative, aby zmniejszyć liczbę scenariuszy, w których logowania mogą niezamierzenie unikać oceny zasad — szczególnie w przypadku aplikacji klienckich, które żądają tylko ograniczonego zestawu zakresów.

Co się zmienia

Obecnie może wystąpić luka, gdy zasada CA jest skierowana na „All resources” (Wszystkie zasoby), ale jednocześnie zawiera wykluczenia zasobów. W określonych przypadkach — gdy użytkownik loguje się przez aplikację kliencką, która żąda wyłącznie zakresów OIDC lub ograniczonego zestawu zakresów katalogu — Microsoft wskazuje, że takie zasady „All resources” mogą nie być egzekwowane.

Wraz z tą aktualizacją:

  • Zasady CA kierowane na „All resources” będą egzekwowane nawet wtedy, gdy występują wykluczenia zasobów dla tych logowań.
  • Celem jest spójne egzekwowanie CA niezależnie od zestawu zakresów żądanych przez aplikację.
  • Użytkownicy mogą teraz otrzymywać wyzwania CA (na przykład: MFA, zgodność urządzenia lub inne mechanizmy kontroli dostępu) podczas przepływów logowania, które wcześniej ich nie uruchamiały.

Harmonogram wdrożenia

  • Początek egzekwowania: 27 marca 2026
  • Model wdrożenia: stopniowo we wszystkich chmurach
  • Okno zakończenia: przez kilka tygodni do czerwca 2026

Kogo to dotyczy

Zmiana dotyczy wyłącznie tenantów z następującą konfiguracją:

  • Co najmniej jedna zasada Conditional Access kierowana na All resources (All cloud apps)
  • Ta sama zasada ma jedno lub więcej wykluczeń zasobów

Microsoft powiadomi dotknięte tenanty poprzez wpisy w Microsoft 365 Message Center.

Wpływ na administratorów i użytkowników końcowych

Wpływ na administratorów

  • Wyniki logowania dla niektórych aplikacji klienckich mogą się zmienić, szczególnie tam, gdzie aplikacje polegają na żądaniu minimalnych zakresów.
  • Zasady, które dodatkowo jawnie obejmują Azure AD Graph (jeśli ma to zastosowanie w Twoim środowisku/historii zasad), mogą być powiązane z wyzwaniami wynikającymi z konfiguracji zastosowanych mechanizmów kontroli.

Wpływ na użytkowników końcowych

  • Użytkownicy mogą zobaczyć nowe monity (MFA, wymagania dotyczące zgodności urządzenia itp.) podczas uwierzytelniania w aplikacjach objętych zmianą — tam, gdzie wcześniej dostęp mógł być realizowany bez egzekwowania CA.

Zalecane działania / kolejne kroki

  • Większość organizacji: nie są wymagane żadne działania.
    • Większość aplikacji żąda szerszych zakresów i już podlega egzekwowaniu CA.
  • Jeśli masz aplikacje niestandardowe zarejestrowane w Twoim tenancie, które celowo żądają tylko ograniczonych zakresów: przejrzyj i przetestuj.
    • Zweryfikuj, że te aplikacje potrafią poprawnie obsłużyć wyzwania Conditional Access.
    • Jeśli nie, zaktualizuj aplikację, korzystając z wytycznych deweloperskich Microsoft dotyczących Conditional Access, aby przepływy uwierzytelniania (interaktywne monity, sygnały urządzenia itp.) były obsługiwane prawidłowo.
  • Gotowość operacyjna:
    • Monitoruj powiadomienia w Message Center.
    • Korzystaj z dzienników logowania oraz narzędzi do rozwiązywania problemów Conditional Access/raportowania odbiorców, aby zidentyfikować, które aplikacje i zasady wyzwalają nowe monity podczas wdrożenia.

Ta zmiana ma na celu domknięcie luki w modelu defense-in-depth i sprawienie, by zasady Conditional Access „All resources” działały bardziej przewidywalnie — dlatego warto proaktywnie zweryfikować wszelkie niestandardowe aplikacje o minimalnych zakresach, zanim egzekwowanie dotrze do Twojego tenanta.

Potrzebujesz pomocy z Entra ID?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Swaroop Krishnamurthy
Entra IDConditional AccessMFAOAuth scopesidentity security

Powiązane artykuły

Entra ID

Microsoft Entra Backup and Recovery w wersji Preview

Microsoft uruchomił publiczną wersję preview usługi Microsoft Entra Backup and Recovery, dając organizacjom zarządzany przez Microsoft sposób przywracania krytycznych obiektów tożsamości i konfiguracji do znanego, poprawnego stanu. Usługa pomaga zespołom IT szybciej odzyskiwać sprawność po przypadkowych zmianach administracyjnych, błędach provisioningu i złośliwych modyfikacjach, które mogłyby zakłócić dostęp i bezpieczeństwo.

Entra ID

Microsoft Entra external MFA już ogólnie dostępne

Microsoft ogłosił ogólną dostępność external MFA w Microsoft Entra ID, umożliwiając organizacjom integrację zaufanych zewnętrznych dostawców MFA przy użyciu OpenID Connect. Funkcja pozwala zespołom IT zachować Microsoft Entra ID jako centralną płaszczyznę kontroli tożsamości, jednocześnie utrzymując Conditional Access, ocenę ryzyka i ujednolicone zarządzanie metodami uwierzytelniania.

Entra ID

Microsoft Entra RSAC 2026: nowe zabezpieczenia AI

Microsoft na RSAC 2026 zapowiedział nowe funkcje Microsoft Entra, które rozszerzają ochronę tożsamości na agentów AI, workloady i środowiska wielodzierżawne, wzmacniając model Zero Trust oparty na ciągłej ocenie ryzyka. To ważne dla firm, ponieważ wraz z rosnącym wykorzystaniem AI potrzebują one narzędzi do wykrywania shadow AI, ochrony przed prompt injection oraz egzekwowania spójnych zasad dostępu dla użytkowników i agentów działających w ich imieniu.

Entra ID

Microsoft Entra: AI zmienia dostęp w przedsiębiorstwach

Raport Microsoft Entra pokazuje, że rozwój AI znacząco zwiększa ryzyko związane z tożsamością i dostępem w firmach: 97% organizacji odnotowało incydenty w tym obszarze, a 70% wiąże je z aktywnością AI. To ważne, ponieważ generatywna AI i agenci tworzą nowe tożsamości maszynowe oraz zwiększają złożoność środowisk IT, co skłania firmy do konsolidacji narzędzi i wyboru zintegrowanych platform bezpieczeństwa.

Entra ID

Microsoft Entra Access Priorities: bezpieczny dostęp do AI

Microsoft uruchamia serię czterech praktycznych webinarów „Entra Access Priorities”, które pokazują, jak budować bezpieczny dostęp oparty na tożsamości w erze AI — od phishing-resistant authentication i Zero Trust po adaptive access oraz least privilege. To ważne, ponieważ pomaga działom IT przełożyć strategię Access Fabric na konkretne wdrożenia chroniące użytkowników, aplikacje, urządzenia i rosnącą liczbę workloadów oraz agentów AI.

Entra ID

Microsoft Entra Internet Access z Secure Web & AI Gateway

Microsoft rozszerza Entra Internet Access o funkcję Secure Web & AI Gateway w public preview, dodając kontrolę ruchu webowego i AI na poziomie sieci w ramach podejścia SASE. Nowości, takie jak wykrywanie Shadow AI i filtrowanie plików z integracją Purview, pomagają firmom ograniczać wycieki danych, blokować ryzykowne narzędzia AI i egzekwować polityki bezpieczeństwa bez przebudowy aplikacji — co ma kluczowe znaczenie przy rosnącym wykorzystaniu generatywnej AI w organizacjach.