Microsoft Entra Conditional Access“所有资源”策略变更指南

引言：为什么这很重要

Conditional Access (CA) 是强制执行 MFA、设备符合性与会话限制的核心控制。作为 Secure Future Initiative 的一部分，Microsoft 正在收紧 CA 的强制执行，以减少登录在无意中规避策略评估的场景——尤其是针对只请求一组有限 scopes 的客户端应用。

有哪些变化

当前，当 某个 CA 策略以“所有资源”作为目标，但同时包含 资源排除项 时，可能会出现一个缺口。在特定情况下——当用户通过某个客户端应用登录，而该应用 仅请求 OIDC scopes 或有限的一组 directory scopes——Microsoft 指出这些“所有资源”策略可能 不会被强制执行。

随着此次更新：

• 对于这些登录，即使存在资源排除项，目标为“所有资源”的 CA 策略也将被强制执行。
• 目标是 无论应用请求的 scope 集合如何，都能一致地执行 CA。
• 用户现在可能会在以往不会触发的登录流程中收到 CA 质询（例如：MFA、设备符合性或其他访问控制）。

推出时间表

• **开始强制执行：**2026 年 3 月 27 日
• **推出模型：**在所有云环境中逐步推进
• **完成窗口：**在数周内完成，直至 2026 年 6 月

谁会受影响

仅当租户具备以下配置时才会受到影响：

• 至少有一个 Conditional Access 策略以 All resources（All cloud apps）为目标
• 同一策略包含 一个或多个资源排除项

Microsoft 将通过 Microsoft 365 Message Center 帖子通知受影响的租户。

对管理员与最终用户的影响

对管理员的影响

• 某些客户端应用的登录结果可能发生变化，尤其是依赖请求最小 scopes 的应用。
• 同时显式以 Azure AD Graph 为目标的策略（如适用于你的环境/策略历史）可能会参与并触发相应质询，具体取决于你配置的控制项。

对最终用户的影响

• 用户在使用受影响应用进行身份验证时，可能会看到 新的提示（MFA、符合性设备要求等）——而之前访问可能在未执行 CA 的情况下继续。

建议操作 / 后续步骤

• **大多数组织：**无需采取任何操作。
  • 大多数应用会请求更广泛的 scopes，并且已经受到 CA 强制执行约束。
• **如果你的租户中有刻意只请求有限 scopes 的自定义已注册应用：**请审查并测试。
  • 验证这些应用是否能够正确处理 Conditional Access 质询。
  • 如果不能，请参考 Microsoft 的 Conditional Access 开发者指南更新应用，确保身份验证流程（交互式提示、设备信号等）能够被正确处理。
• 运营准备：
  • 监控 Message Center 通知。
  • 使用登录日志与 Conditional Access 故障排除/受众报告，识别在推出期间哪些应用与策略正在触发新的质询。

此变更旨在补齐纵深防御中的一个缺口，并让“所有资源” Conditional Access 策略的行为更可预测——因此，建议在强制执行到达你的租户之前，主动验证任何最小 scope 的自定义应用。