Sie erhalten diese Nachricht, weil unsere Telemetrie darauf hinweist, dass Sie mindestens eine Conditional Access-Richtlinie besitzen, die alle Ressourcen mit einer oder mehreren Ressourcenausschlüssen adressiert.
Wie in diesem Microsoft Entra Blog-Beitrag beschrieben, verbessern wir die Durchsetzung von Conditional Access-Richtlinien, die alle Ressourcen adressieren und Ressourcenausschlüsse für eine enge Auswahl an Authentifizierungsabläufen enthalten. Dies ist eine proaktive Sicherheitsmaßnahme im Einklang mit Microsofts fortlaufendem Engagement für Defense-in-Depth.
Was ändert sich?
Heute wird eine Conditional Access-Richtlinie, die alle Ressourcen adressiert, nicht durchgesetzt, wenn sie eine oder mehrere Ressourcenausschlüsse enthält, wenn ein Benutzer sich über eine Clientanwendung anmeldet, die nur OIDC-Scopes oder eine begrenzt definierte Directory-Scopes anfordert.
Nach dieser Änderung werden Conditional Access-Richtlinien, die alle Ressourcen adressieren, trotz vorhandener Ressourcenausschlüsse bei diesen Anmeldungen durchgesetzt. Lesen Sie mehr über diese Änderung.
Zusätzlich erhalten Kunden mit Szenarien, die durch diese Änderung betroffen sein könnten, die Möglichkeit, das aktuelle Verhalten beizubehalten, während sie die Auswirkungen bewerten und auf die empfohlene Conditional Access-Durchsetzung umstellen. Weitere Details und Anleitungen zu dieser Funktion werden in einem zukünftigen Update bereitgestellt.
Wann tritt diese Änderung in Kraft?
Die Durchsetzung beginnt ab dem 15. Juni 2026 (vorher 13. Mai) und wird schrittweise über mehrere Wochen hinweg ausgerollt. Sie erhalten zwei Wochen vor dem Rollout sowie nach dessen Abschluss eine weitere Benachrichtigung in Ihrem Mandanten.
Wie wirkt sich dies auf Ihre Organisation aus?
Wenn sich ein Benutzer über eine Clientanwendung anmeldet, die nur die oben genannten Scopes anfordert, können Benutzer nun Conditional Access-Herausforderungen (wie MFA oder Gerätecompliance) erhalten, wo zuvor der Zugriff ohne Durchsetzung ermöglicht wurde. Die genaue Herausforderung hängt von den Zugriffskontrollen ab, die in Ihren Richtlinien konfiguriert sind, welche alle Ressourcen adressieren oder explizit Azure AD Graph als Ressource ansprechen.
Was müssen Sie tun, um sich vorzubereiten?
In den meisten Fällen ist keine Aktion erforderlich, da die meisten Clientanwendungen zusätzliche Scopes über die oben genannten hinaus anfordern und bereits der Conditional Access-Durchsetzung unterliegen. In solchen Fällen ändert sich das Verhalten nicht.
Haben Sie jedoch benutzerdefinierte Anwendungen, die absichtlich nur die oben genannten Scopes anfordern, prüfen Sie, ob diese Conditional Access-Herausforderungen wie MFA oder Gerätecompliance verarbeiten können.
- Wenn sie bereits Conditional Access-Herausforderungen verarbeiten: sind keine Änderungen erforderlich.
- Falls nicht, sind möglicherweise Aktualisierungen notwendig. Konsultieren Sie die Microsoft Conditional Access Entwickleranleitung zur richtigen Aktualisierung Ihrer Anwendung.
Zusätzliche Leitfäden stehen nun zur Verfügung, um Kunden bei der Vorbereitung auf diese Änderung zu unterstützen. Eine neue Konfiguration ist ebenfalls verfügbar, die betroffene Szenarien unterstützt, sodass Kunden die Auswirkungen beurteilen und auf die empfohlene Conditional Access-Durchsetzung umstellen können. Weitere Details finden Sie über die folgenden Links.
- Zusätzliche Anleitungen: https://aka.ms/BaselineScopesSettings
- URL zum Zugriff auf die Konfiguration: https://aka.ms/BaselineScopesSettingsUX
Weitere Informationen:
- Verhalten von Conditional Access, wenn eine Richtlinie alle Ressourcen mit App-Ausschluss hat | Conditional Access | Microsoft Learn
- OpenID Connect-Scopes – Scopes und Berechtigungen in der Microsoft-Identitätsplattform | Microsoft Entra | Microsoft Learn
- Anstehende Änderung bei Conditional Access: Verbesserte Durchsetzung für Richtlinien mit Ressourcenausschlüssen | Microsoft Entra Blog
[Compliance-Überlegungen]
Keine Compliance-relevanten Punkte identifiziert. Bitte prüfen Sie dies entsprechend für Ihre Organisation.
