Aktualisiert am 13. Mai 2026: Wir haben den Zeitplan aktualisiert. Vielen Dank für Ihre Geduld.
Sie erhalten diese Nachricht, weil unsere Telemetrie anzeigt, dass Sie mindestens eine Conditional Access-Richtlinie haben, die alle Ressourcen mit einem oder mehreren Ressourcenausschlüssen umfasst.
Wie in diesem Microsoft Entra Blogbeitrag beschrieben, verbessern wir die Durchsetzung von Conditional Access-Richtlinien, die alle Ressourcen anvisieren und Ressourcenausschlüsse enthalten, für einen eng begrenzten Satz von Authentifizierungsflüssen. Dies ist eine proaktive Sicherheitsmaßnahme im Einklang mit Microsofts fortlaufendem Engagement für Defense-in-Depth.
Was ändert sich?
Heute werden Conditional Access-Richtlinien, die alle Ressourcen anvisieren, nicht durchgesetzt, wenn sich eine Anmeldung über eine Clientanwendung ereignet, die nur OIDC-Berechtigungsbereiche oder eine begrenzte Menge an Verzeichnisbereichen anfordert, sofern die Richtlinie einen oder mehrere Ressourcenausschlüsse enthält.
Nach dieser Änderung werden Conditional Access-Richtlinien, die alle Ressourcen anvisieren, bei diesen Anmeldungen durchgesetzt, auch wenn Ressourcenausschlüsse vorhanden sind. Lesen Sie hier mehr über diese Änderung.
Zusätzlich haben Kunden mit Szenarien, die von dieser Änderung betroffen sein könnten, die Möglichkeit, das aktuelle Verhalten beizubehalten, während sie die Auswirkungen bewerten und auf die empfohlene Conditional Access-Durchsetzung umstellen. Weitere Details und Hinweise zu dieser Möglichkeit werden in einem zukünftigen Update kommuniziert.
Wann wird diese Änderung wirksam?
Die Durchsetzung beginnt nun ab dem 15. Juni 2026 (zuvor 13. Mai) und wird schrittweise über mehrere Wochen ausgerollt.
Wie wirkt sich das auf Ihre Organisation aus?
Wenn sich ein Benutzer über eine Clientanwendung anmeldet, die nur die oben genannten Berechtigungsbereiche anfordert, kann es jetzt sein, dass Benutzer Conditional Access-Herausforderungen (wie MFA oder Gerätecompliance) erhalten, wo ihnen zuvor ein Zugriff ohne Durchsetzung ermöglich wurde. Die genaue Herausforderung hängt von den Zugriffskontrollen ab, die in Ihren Richtlinien konfiguriert sind und alle Ressourcen oder explizit das Azure AD Graph als Ressource anvisieren.
Was müssen Sie zur Vorbereitung tun?
In den meisten Fällen ist keine Aktion erforderlich, da die meisten Clientanwendungen über die oben genannten Bereiche hinaus weitere Bereiche anfordern und bereits Conditional Access unterliegen. In solchen Fällen ändert sich das Verhalten nicht.
Wenn Sie benutzerdefinierte Anwendungen haben, die bewusst nur die oben genannten Bereiche anfordern, prüfen Sie, ob diese Anwendungen Conditional Access-Herausforderungen wie MFA oder Gerätecompliance verarbeiten können.
- Wenn sie bereits Conditional Access-Herausforderungen verarbeiten: sind keine Änderungen erforderlich.
- Wenn sie dies nicht tun, können Aktualisierungen notwendig sein. Nutzen Sie die Microsoft Conditional Access-Entwickleranleitungen, um Ihre Anwendung entsprechend zu aktualisieren.
Zusätzliche Anleitungen sind jetzt verfügbar, um Kunden bei der Vorbereitung auf diese Änderung zu unterstützen. Eine neue Konfiguration steht ebenfalls zur Verfügung, die betroffene Szenarien unterstützt und es Kunden ermöglicht, Auswirkungen zu bewerten und auf die empfohlene Conditional Access-Durchsetzung umzusteigen. Weitere Details finden Sie in den untenstehenden Links.
- Zusätzliche Anleitungen: https://aka.ms/BaselineScopesSettings
- URL zum Zugriff auf die Konfiguration: https://aka.ms/BaselineScopesSettingsUX
Mehr erfahren:
- Conditional Access-Verhalten bei einer Richtlinie für alle Ressourcen mit einer Anwendungsausschluss | Conditional Access | Microsoft Learn
- OpenID Connect-Berechtigungsbereiche - Berechtigungen in der Microsoft-Identitätsplattform | Microsoft Entra | Microsoft Learn
- Anstehende Änderung bei Conditional Access: Verbesserte Durchsetzung für Richtlinien mit Ressourcenausschlüssen | Microsoft Entra Blog
[Compliance-Überlegungen]
Es wurden keine Compliance-Bedenken festgestellt. Bitte überprüfen Sie dies bei Bedarf für Ihre Organisation.
