Aktualisiert am 20. März 2026: Wir haben den Zeitplan und den Inhalt aktualisiert. Vielen Dank für Ihre Geduld.
Sie erhalten diese Nachricht, weil unsere Telemetriedaten darauf hinweisen, dass Sie mindestens eine Conditional Access-Richtlinie haben, die Alle Ressourcen anspricht und eine oder mehrere Ressourcenausschlüsse enthält.
Wie in diesem Microsoft Entra Blogbeitrag beschrieben, verbessern wir die Durchsetzung von Conditional Access-Richtlinien, die Alle Ressourcen ansprechen und Ressourcenausschlüsse für eine begrenzte Anzahl von Authentifizierungsflüssen enthalten. Dies ist eine proaktive Sicherheitsmaßnahme im Einklang mit Microsofts fortlaufendem Bekenntnis zu Defense-in-Depth.
Was ändert sich?
Heute werden Conditional Access-Richtlinien, die Alle Ressourcen ansprechen, nicht durchgesetzt, wenn die Richtlinie eine oder mehrere Ressourcenausschlüsse enthält, wenn sich ein Benutzer über eine Clientanwendung anmeldet, die nur OIDC-Scopes oder eine begrenzte Menge von Verzeichnis-Scopes anfordert.
Nach dieser Änderung werden Conditional Access-Richtlinien, die Alle Ressourcen ansprechen, für diese Anmeldungen auch dann durchgesetzt, wenn Ressourcenausschlüsse vorhanden sind. Lesen Sie mehr zu dieser Änderung.
Zudem erhalten Kunden, deren Szenarien von dieser Änderung betroffen sein könnten, die Möglichkeit, das aktuelle Verhalten beizubehalten, während sie Auswirkungen prüfen und auf die empfohlene Conditional Access-Durchsetzung umstellen. Weitere Details und Anleitungen zu dieser Möglichkeit werden in einem zukünftigen Update kommuniziert.
Wann wird diese Änderung sichtbar?
Die Durchsetzung beginnt ab dem 13. Mai 2026 und wird über mehrere Wochen schrittweise ausgerollt.
Wie wirkt sich das auf Ihre Organisation aus?
Wenn sich ein Benutzer über eine Clientanwendung anmeldet, die nur die oben genannten Scopes anfordert, kann es nun vorkommen, dass Benutzer Conditional Access-Herausforderungen (wie MFA oder Geräte-Compliance) erhalten, wo zuvor der Zugriff ohne Durchsetzung erlaubt wurde. Die genaue Herausforderung hängt von den Zugriffskontrollen ab, die in Ihren Richtlinien konfiguriert sind, welche Alle Ressourcen oder explizit Azure AD Graph als Ressource ansprechen.
Was müssen Sie zur Vorbereitung tun?
In den meisten Fällen ist keine Aktion erforderlich, da die meisten Clientanwendungen weitere Scopes neben den oben genannten anfordern und bereits Conditional Access-Durchsetzungen unterliegen. In diesen Fällen ändert sich das Verhalten nicht.
Falls Sie benutzerdefinierte Anwendungen haben, die ausschließlich die oben genannten Scopes anfordern, prüfen Sie, ob sie mit Conditional Access-Herausforderungen wie MFA oder Geräte-Compliance umgehen können.
- Wenn sie bereits mit Conditional Access-Herausforderungen umgehen können: sind keine Änderungen erforderlich.
- Wenn sie nicht damit umgehen können, sind möglicherweise Updates nötig. Weitere Informationen finden Sie in der Microsoft Conditional Access-Entwickleranleitung zur angemessenen Aktualisierung Ihrer Anwendung.
Weitere Informationen:
- Conditional Access-Verhalten bei einer Richtlinie für alle Ressourcen mit App-Ausschluss | Conditional Access | Microsoft Learn
- OpenID Connect-Scopes – Scopes und Berechtigungen auf der Microsoft Identity Platform | Microsoft Entra | Microsoft Learn
- Anstehende Änderung bei Conditional Access: Verbesserte Durchsetzung für Richtlinien mit Ressourcenausschlüssen | Microsoft Entra Blog
[Compliance-Überlegungen]
Es wurden keine Compliance-Bedenken identifiziert. Bitte prüfen Sie dies entsprechend für Ihre Organisation.
