Entra ID

Microsoft Entra: Conditional Access «All resources» в 2026

3 мин. чтения

Кратко

Microsoft изменит поведение Conditional Access в Entra ID: с 27 марта 2026 года политики, нацеленные на «All resources», начнут применяться даже при наличии исключений ресурсов в сценариях входа, где раньше проверка могла не сработать из-за только OIDC или ограниченных directory scopes. Это важно, потому что закрывает потенциальный пробел в безопасности и может привести к тому, что пользователи чаще будут видеть требования MFA, проверки соответствия устройства и другие меры доступа там, где ранее их не было.

Аудио-сводка

0:00--:--
Нужна помощь с Entra ID?Поговорить с экспертом

Introduction: why this matters

Conditional Access (CA) — ключевой механизм для применения MFA, соответствия устройств и ограничений сеанса. Microsoft усиливает применение CA в рамках инициативы Secure Future Initiative, чтобы сократить сценарии, при которых входы могут непреднамеренно избегать оценки политик — особенно для клиентских приложений, запрашивающих только ограниченный набор scopes.

What’s changing

Сегодня может возникать разрыв, когда политика CA нацелена на “All resources”, но также содержит исключения ресурсов. В отдельных случаях — когда пользователь выполняет вход через клиентское приложение, которое запрашивает только OIDC scopes или ограниченный набор directory scopes — Microsoft отмечает, что такие политики “All resources” могут не применяться.

С выходом этого обновления:

  • Политики CA, нацеленные на “All resources”, будут применяться даже при наличии исключений ресурсов для таких входов.
  • Цель — последовательное применение CA независимо от набора scopes, запрашиваемых приложением.
  • Пользователи могут начать получать запросы CA (например: MFA, соответствие устройства, или другие элементы управления доступом) в сценариях входа, которые ранее не вызывали их.

Rollout timeline

  • Начало применения: 27 марта 2026 г.
  • Модель развертывания: постепенно во всех облаках
  • Окно завершения: в течение нескольких недель до июня 2026 г.

Who is affected

Затронуты только те арендаторы (tenants), у которых есть следующая конфигурация:

  • Как минимум одна политика Conditional Access, нацеленная на All resources (All cloud apps)
  • В этой же политике указано одно или несколько исключений ресурсов

Microsoft уведомит затронутых арендаторов через публикации в Microsoft 365 Message Center.

Impact for admins and end users

Admin impact

  • Результаты входа для некоторых клиентских приложений могут измениться, особенно если приложения полагаются на запрос минимальных scopes.
  • Политики, которые также явно нацелены на Azure AD Graph (если применимо в вашей среде/истории политик), могут участвовать в возникающих запросах в зависимости от настроенных вами элементов управления.

End-user impact

  • Пользователи могут видеть новые запросы (MFA, требования к соответствию устройства и т. п.) при аутентификации в затронутых приложениях — там, где ранее доступ мог предоставляться без применения CA.
  • Для большинства организаций: никаких действий не требуется.
    • Большинство приложений запрашивают более широкие scopes и уже подпадают под применение CA.
  • Если у вас есть пользовательские приложения, зарегистрированные в вашем tenant, которые намеренно запрашивают только ограниченные scopes: выполните проверку и тестирование.
    • Убедитесь, что эти приложения корректно обрабатывают запросы Conditional Access.
    • Если нет — обновите приложение, используя рекомендации Microsoft для разработчиков по Conditional Access, чтобы потоки аутентификации (интерактивные запросы, сигналы устройства и т. д.) обрабатывались корректно.
  • Операционная готовность:
    • Отслеживайте уведомления в Message Center.
    • Используйте журналы входа и средства устранения неполадок Conditional Access/отчётность по аудитории, чтобы определить, какие приложения и политики вызывают новые запросы в ходе развертывания.

Это изменение призвано закрыть пробел defense-in-depth и сделать поведение политик Conditional Access “All resources” более предсказуемым — поэтому стоит заранее проверить любые пользовательские приложения с минимальными scopes до того, как применение будет включено в вашем tenant.

Нужна помощь с Entra ID?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Swaroop Krishnamurthy
Entra IDConditional AccessMFAOAuth scopesidentity security

Похожие статьи

Entra ID

Microsoft Entra Backup and Recovery в preview

Microsoft запустила Microsoft Entra Backup and Recovery в публичной preview, предоставив организациям управляемый Microsoft способ восстанавливать критически важные объекты идентификации и конфигурации до заведомо корректного состояния. Сервис помогает ИТ-командам быстрее восстанавливаться после случайных изменений администраторов, ошибок provisioning и вредоносных модификаций, которые иначе могли бы нарушить доступ и безопасность.

Entra ID

Microsoft Entra external MFA стала общедоступной

Microsoft объявила о выходе в общую доступность external MFA в Microsoft Entra ID, что позволяет организациям интегрировать доверенных сторонних провайдеров MFA с помощью OpenID Connect. Эта возможность помогает ИТ-командам сохранить Microsoft Entra ID как центральную плоскость управления идентификацией, одновременно поддерживая Conditional Access, оценку рисков и единое управление методами аутентификации.

Entra ID

Microsoft Entra RSAC 2026: защита AI-агентов и MFA

На RSAC 2026 Microsoft представила крупные обновления Entra, расширив защиту идентичностей на AI-агентов, рабочие нагрузки и мультиарендные среды. Компания добавила новые механизмы Agent ID, защиту от Shadow AI и prompt injection, а также усилила безпарольную аутентификацию и MFA, что важно для организаций, переходящих к модели identity-first и Zero Trust в условиях роста AI-рисков.

Entra ID

Microsoft Entra: как AI меняет корпоративный доступ

Исследование Microsoft Entra показало, что с ростом использования генеративного AI и AI-агентов компании сталкиваются с резким увеличением рисков в сфере удостоверений и сетевого доступа: 97% организаций уже пережили такие инциденты, а 70% — случаи, связанные с AI. Это важно, потому что AI создает множество новых machine identities и усложняет управление правами, поэтому бизнес все активнее отказывается от разрозненных решений в пользу единой интегрированной платформы доступа и идентификации.

Entra ID

Microsoft Entra Access Priorities: вебинары по AI и доступу

Microsoft запустила серию из четырёх практических вебинаров Microsoft Entra Access Priorities, посвящённых построению современной модели доступа: от phishing-resistant authentication и adaptive access до Zero Trust, least privilege и защиты AI-сервисов. Это важно, потому что идентичность становится ключевым уровнем управления безопасностью для сотрудников, приложений, устройств и AI-агентов, а серия помогает ИТ-командам внедрять стратегию Access Fabric с готовыми демонстрациями, шаблонами и чек-листами.

Entra ID

Microsoft Entra Internet Access: Secure Web & AI Gateway

Microsoft представила в публичной превью Secure Web & AI Gateway в Entra Internet Access — новый сетевой уровень защиты для контроля использования веб- и AI-сервисов по принципу identity-first. Решение помогает выявлять Shadow AI, применять политики доступа через Conditional Access и блокировать передачу чувствительных данных с интеграцией Purview, что важно для безопасного внедрения генеративного ИИ без переработки приложений.