Bevorstehende Änderung des Conditional Access in Ihrem Mandanten
Sie erhalten diese Benachrichtigung, weil Ihr Mandant mindestens eine Conditional Access-Richtlinie besitzt, die Alle Ressourcen mit Ressourcenausschlüssen als Ziel hat. Wie im Microsoft Entra Blogbeitrag und in früheren Nachrichten im Admin Center angekündigt, verbessert Microsoft die Durchsetzung dieser Richtlinien für einen Teil der Authentifizierungsabläufe. Dieses Update erhöht die Sicherheit, indem eine konsistentere Durchsetzung im Rahmen der Secure Future Initiative von Microsoft gewährleistet wird. Diese Änderung wird in Ihrem Mandanten im Laufe der nächsten 2 Wochen aktiviert. Nach Abschluss des Rollouts in Ihrem Mandanten erhalten Sie eine weitere Benachrichtigung.
Was ändert sich?
Heute werden Conditional Access-Richtlinien, die Alle Ressourcen ansprechen – speziell bei bestimmten Anmeldungen, wenn Client-Anwendungen nur Baseline-Berechtigungen anfordern (OIDC-Berechtigungen oder eine begrenzte Auswahl an Verzeichnisberechtigungen) – nicht durchgesetzt, wenn Ressourcenausschlüsse vorhanden sind.
Nach dieser Änderung werden Conditional Access-Richtlinien, die Alle Ressourcen ansprechen, bei diesen Anmeldungen auch dann angewendet, wenn Ressourcenausschlüsse vorhanden sind.
Wie wirkt sich das auf Ihre Organisation aus?
Nach diesem Update können Benutzer, die sich über eine Client-Anwendung anmelden, die nur die Baseline-Berechtigungen anfordert, Conditional Access-Herausforderungen (z. B. MFA oder Geräte-Compliance) erhalten, während ihnen zuvor ohne Durchsetzung Zugriff gewährt wurde. Die konkrete Herausforderung hängt von den in Ihren Richtlinien konfigurierten Zugriffskontrollen ab, die Alle Ressourcen oder explizit Azure AD Graph als Ressource adressieren.
Erforderliche Maßnahmen
Microsoft empfiehlt, auf das aktualisierte Durchsetzungsverhalten umzustellen. Wenn Ihre Organisation jedoch spezielle Szenarien hat, in denen das Legacy-Verhalten beibehalten werden muss, können Sie mit den Baseline-Berechtigungseinstellungen:
- von dieser Änderung abwählen oder
- das Durchsetzungsverhalten pro Richtlinie anpassen
Wenn Sie sich für einen Opt-out entscheiden, wird Ihr Mandant nicht in den bevorstehenden Rollout einbezogen. Ein Opt-out wird nicht empfohlen und sollte nur als vorübergehende Maßnahme betrachtet werden, bis Sie die empfohlene Durchsetzung aktivieren können. Wenn Sie das Durchsetzungsverhalten anpassen, bleibt die konfigurierte Einstellung aktiv, bis Sie sie ändern. Diese Einstellungen können Sie jederzeit aktualisieren. Weitere Anleitungen und Konfigurationsoptionen finden Sie in den nachfolgenden Links.
