Wir haben den Inhalt am 30. Januar 2026 aktualisiert. Vielen Dank für Ihre Geduld.
Sie erhalten diese Nachricht, weil unsere Telemetrie anzeigt, dass Sie mindestens eine Conditional Access-Richtlinie haben, die auf Alle Ressourcen abzielt und eine oder mehrere Ressourcenausschlüsse enthält.
Wie in diesem Microsoft Entra Blogbeitrag beschrieben, verbessern wir die Durchsetzung von Conditional Access-Richtlinien, die Alle Ressourcen adressieren und Ressourcenausschlüsse für einen engen Satz von Authentifizierungsabläufen enthalten. Dies ist eine proaktive Sicherheitsmaßnahme im Einklang mit dem fortlaufenden Engagement von Microsoft für Defense-in-Depth.
Was ändert sich?
Heute werden Conditional Access-Richtlinien, die Alle Ressourcen adressieren, nicht durchgesetzt, wenn die Richtlinie eine oder mehrere Ressourcenausschlüsse hat, sofern sich ein Benutzer über eine Clientanwendung anmeldet, die nur OIDC-Scopes oder einen begrenzten Satz von Verzeichnis-Scopes anfordert.
Nach dieser Änderung werden Conditional Access-Richtlinien, die Alle Ressourcen adressieren, bei diesen Anmeldungen auch dann durchgesetzt, wenn Ressourcenausschlüsse vorhanden sind. Weitere Informationen zu dieser Änderung finden Sie hier.
Ab wann wird diese Änderung wirksam?
Microsoft Entra ID beginnt mit der Durchsetzung dieser Änderung ab dem 27. März 2026. Die Rollout-Phase erstreckt sich schrittweise über mehrere Wochen bis Juni 2026.
Wie wirkt sich das auf Ihre Organisation aus?
Wenn sich ein Benutzer über eine Clientanwendung anmeldet, die nur die oben genannten Scopes anfordert, können nun Conditional Access-Herausforderungen (wie MFA oder Geräte-Compliance) auftreten, während zuvor der Zugriff ohne Durchsetzung erlaubt war. Die genaue Herausforderung hängt von den in Ihren Richtlinien festgelegten Zugriffskontrollen ab, die auf Alle Ressourcen abzielen oder die explizit Azure AD Graph als Ressource adressieren.
Was müssen Sie zur Vorbereitung tun?
In den meisten Fällen sind keine Maßnahmen erforderlich, da die meisten Clientanwendungen zusätzliche Scopes über die oben genannten hinaus anfordern und bereits der Conditional Access-Durchsetzung unterliegen. In diesen Fällen ändert sich das Verhalten nicht.
Wenn Sie benutzerdefinierte Anwendungen haben, die absichtlich nur die oben genannten Scopes anfordern, evaluieren Sie, ob sie mit Conditional Access-Herausforderungen wie MFA oder Geräte-Compliance umgehen können.
- Wenn sie bereits mit Conditional Access-Herausforderungen umgehen, sind keine Änderungen erforderlich.
- Wenn sie nicht damit umgehen, sind möglicherweise Updates erforderlich. Lesen Sie die Microsoft Conditional Access Entwickleranleitung für Hinweise zur entsprechenden Aktualisierung Ihrer Anwendung.
Weitere Informationen:
- Conditional Access Verhalten, wenn eine Alle-Ressourcen-Richtlinie einen Ausschluss für eine Anwendung hat | Conditional Access | Microsoft Learn
- OpenID Connect Scopes - Bereiche und Berechtigungen in der Microsoft Identity-Plattform | Microsoft Entra | Microsoft Learn
- Anstehende Änderung bei Conditional Access: Verbesserte Durchsetzung bei Richtlinien mit Ressourcenausschlüssen | Microsoft Entra Blog
[Compliance-Überlegungen]
Es wurden keine Compliance-Überlegungen identifiziert. Bitte prüfen Sie dies gegebenenfalls für Ihre Organisation.
