この記事の内容
こんにちは、Azure Identity サポート チームの 成田 です。
本記事では、2026 年 5 月 13 日 より展開が予定されている、条件付きアクセス (CA) ポリシーの「ベースライン スコープ」に関する動作変更について解説いたします。
警告
この変更は 2026 年 5 月 13 日 から段階的に展開される予定です。「すべてのリソースを対象」かつ「特定のリソースを対象外」とする条件付きアクセス ポリシーをお持ちの組織では、展開開始日までに影響の確認と必要な対処を完了いただくことをお勧めします。
公開情報:
- リソースの除外による条件付きアクセス ポリシーの適用の強化 - Microsoft Entra ID | Microsoft Learn
- 今後の条件付きアクセスの変更 リソース除外を含むポリシーの適用強化 - Japan Azure Identity Support Blog
1. この変更は何か
概要
条件付きアクセス ポリシーを 「対象: すべてのリソース」 かつ 「対象外: 特定のリソース」 の構成で運用しているテナントにおいて、以前は「ベースライン スコープ」のみを要求する認証リクエストが自動的にポリシーの適用対象から除外されていました。
今回の変更により、この自動除外が廃止 され、ベースライン スコープのみを要求するリクエストにも条件付きアクセス ポリシーが適用されるようになります。
ベースライン スコープとは
ベースライン スコープとは、以下の低い特権スコープの総称です。
| 種類 | スコープ |
|---|---|
| OpenID Connect (OIDC) スコープ | email, offline_access, openid, profile |
| ベースライン ディレクトリ スコープ | User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden |
これらのスコープは、サインイン時にユーザーの基本的なプロフィール情報やグループ メンバーシップを取得するために多くのアプリケーションが要求するものです。
このスコープと、特定のリソースの関係性については後述する「3. 新しい動作の仕組み」にて「条件付きアクセスのリソース評価の仕組み」の項にてご説明します。
2. なぜこの変更が行われたのか
従来は、「対象: すべてのリソース / 対象外: 特定のリソース」構成のポリシーにおいて、アプリケーションがベースライン スコープのみを要求した場合、そのリクエストは CA ポリシーの適用対象外 として扱われていました。
これは、多くのアプリケーションがサインイン処理の一部としてこれらのスコープを要求するため、意図しないアクセス ブロックを防ぐための配慮でした。
今回の変更により、この配慮した動作が廃止されます。結果として、セキュリティがより高まる方向に動作変更されます。
3. 新しい動作の仕組み
変更後の動作を理解するために、まず技術的な背景を整理します。
条件付きアクセスのリソース評価の仕組み
条件付きアクセスは、認証リクエストにおいてアクセス先の 「リソース (Audience)」 に基づいてポリシーの適用を判断します。たとえば、アプリケーションが Mail.Read スコープを要求した場合、リソースは Exchange Online として評価され、Exchange Online を対象とする CA ポリシーが適用されます。
ベースライン スコープ (User.Read や openid など) は、Windows Azure Active Directory (アプリ ID: 00000002-0000-0000-c000-000000000000) をリソースとして評価されます。ここで重要なのは、Windows Azure Active Directory というリソースにはベースライン スコープだけでなく、Directory.ReadWrite.All や Application.ReadWrite.All のような 高い特権を持つスコープも含まれている という点です。つまり、同じ「Windows Azure Active Directory」というリソースの中に、低特権のスコープと高特権のスコープが混在しています。
新しい動作のポイント
変更後は、ベースライン スコープのみを要求する認証リクエストも、リソースとして Windows Azure Active Directory にマップされ、CA ポリシーの適用対象として評価されるようになりました。
重要
影響の具体例:
「すべてのリソースを対象 / Exchange Online を対象外 / MFA 必須」という CA ポリシーがある場合:
従来: openid + profile のみを要求する VS Code へのサインイン → MFA 不要 (暗黙的に対象外になる)
変更後: 同じサインイン → MFA が 要求される (対象外にならない)
4. 影響を受ける条件
以下の すべて に該当する場合に影響を受けます。
- すべてのリソース を対象とする条件付きアクセス ポリシーが 1 つ以上ある
- それらのポリシーに 1 つ以上の リソース除外 が設定されている
- テナント内のユーザーが ベースライン スコープのみ を要求するアプリケーションを使用してサインインする
Note
影響を受けないケース:
・「すべてのリソースを対象」でリソース除外が ない ポリシーのみ運用している場合
・アプリケーションがベースライン スコープに加えて他のスコープ (Mail.Read など) も要求している場合 (これらは既に CA の適用対象)
5. 従来の動作を維持したい場合の対処手順
以前 (2026 年 2 月) の記事公開後、お客様より多くのフィードバックをいただき、Entra ID 側の設定変更で従来の動作を維持する方法を提供する運びとなりました。
ただし、本変更は Microsoft セキュア フューチャー イニシアティブ に基づくプロアクティブなセキュリティ対策であるため、従来の動作を維持し続けることを積極的にお勧めするものではありません。
影響の確認やアプリケーションの動作検証、さらにはアプリケーション側の改修といったお客様側の対応にも一定の時間を要することから、暫定的な猶予期間として、あるいはどうしても対応が難しいアプリケーション向けの措置としてご活用いただくことを想定しています。
新しい適用モデルへの移行が推奨されますが、既存のアプリケーションの動作を維持する必要がある場合は、「ベースライン スコープ設定」 を使用して従来の動作を保持できます。
仕組みとしては、テナント内にカスタム アプリケーションを登録し、それをベースライン スコープのターゲット リソースとして設定します。ベースライン スコープのみを要求する認証リクエストは、Windows Azure Active Directory の代わりに このカスタム アプリケーションをリソースとして評価 されるようになります。そのうえで、CA ポリシーの対象外にこのカスタム アプリケーションを追加することで、従来と同じ除外動作を実現します。
考え方のイメージ
【従来の動作】 |
Note
なぜ Windows Azure Active Directory を直接除外しないのか?
Windows Azure Active Directory をリソースとして CA ポリシーの対象外に追加した場合、ベースライン スコープだけでなく Directory.ReadWrite.All などの 高い特権スコープも含めて除外 されてしまいます。
これはセキュリティ上好ましくありません。 カスタム アプリケーションを「身代わり」のターゲット リソースとして設定することで、ベースライン スコープのリクエストのみを選択的に除外 しつつ、高い特権スコープの要求には引き続き CA ポリシーを適用できます。
6. 具体的な設定手順
以下の 3 つのステップで設定を行います。
ステップ 1: カスタム アプリケーションの登録
- Azure portal (https://portal.azure.com) もしくは Microsoft Entra 管理センター (https://entra.microsoft.com) に、アプリケーションを登録可能な管理者アカウントでサインインします。
- [Microsoft Entra ID] > [アプリの登録] に遷移し、[+ 新規登録] をクリックします。
- 以下の設定でアプリケーションを登録します。
- 名前: 任意の分かりやすい名前 (例:
CA_BaselineScopes_TargetResource)
※ ベースライン スコープ設定で利用する組織にとって重要なアプリケーションになりますため、用途が明確に分かる名前をお勧めします。 - サポートされているアカウントの種類: 「この組織ディレクトリのみに含まれるアカウント (シングル テナント)」
- リダイレクト URI: 設定は必須ではありません。設定する場合は、プラットフォームに “Web” を選択し、URL 欄に任意の URL を入力してください (ダミーで構いません)。
- 名前: 任意の分かりやすい名前 (例:
- [登録] をクリックし、アプリケーションを作成します。
ステップ 2: 条件付きアクセス ポリシーの対象外に追加
- 条件付きアクセス管理者以上の権限を持つアカウントで [Microsoft Entra ID] > [セキュリティ] > [条件付きアクセス] に遷移します。
- 「すべてのリソースを対象 / 特定のリソースを対象外」の構成となっている条件付きアクセス ポリシーを選択します。
- [ターゲット リソース] > [対象外] タブを開き、ステップ 1 で作成したカスタム アプリケーションを追加します。
- [保存] をクリックします。
重要
対象のポリシーが複数ある場合は、すべてのポリシーに対してこの手順を実施してください。
ステップ 3: ベースライン スコープ設定でカスタム ターゲット リソースを構成
- 以下の URL にアクセスし、条件付きアクセスのベースライン スコープ設定画面を開きます。現在はこの URL からのみアクセスが可能です。
https://aka.ms/BaselineScopesSettingsUX - 条件付きアクセス管理者以上の権限を持つアカウントでサインインします。
- [カスタム ターゲット リソース: カスタム ターゲット リソースを選択する (Custom target resource: Select a custom target resource)] を選択し、ステップ 1 で作成したカスタム アプリケーションを選択します。
- [保存 (Save)] をクリックして設定を保存します。
Note
この設定により、ベースライン スコープのみを要求する認証リクエストにおいて、条件付きアクセスのリソース評価で Windows Azure Active Directory の代わりに指定したカスタム アプリケーションが使用されるようになります。
ステップ 2 でこのカスタム アプリケーションを CA ポリシーの対象外に設定済みのため、結果として従来と同等の除外動作が実現されます。 なお、発行されるトークンの audience (aud クレーム) 自体は Windows Azure Active Directory や Microsoft Graph のままであり、アプリケーションの動作に影響はありません。
重要
カスタム ターゲット リソースによるオプトアウトはあくまで暫定措置です
上記の手順で特定したアプリケーションについては、カスタム ターゲット リソースによる除外で従来の動作を維持している間に、アプリケーション側の改修をご検討ください。
新しい既定の動作では、ベースライン スコープのみを要求するサインインにも CA ポリシーが適用されます。そのため、アプリケーションが条件付きアクセス チャレンジ (MFA やデバイス コンプライアンスなど) を適切にハンドルできるよう改修することが、中長期的には推奨されます。
具体的には、アプリケーションが CA チャレンジを受けた際に、ユーザーに対して正しくリダイレクトや再認証のフローを提示できるようにする必要があります。
実装方法の詳細については、以下の公開情報をご参照ください。
条件付きアクセス開発者向けガイダンス - Microsoft identity platform | Microsoft Learn
7. まとめ
| 項目 | 内容 |
|---|---|
| 変更内容 | 「すべてのリソース / 対象外あり」の CA ポリシーにおいて、ベースライン スコープのみの認証リクエストが自動除外されなくなった |
| 影響 | ベースライン スコープのみを要求するアプリへのサインイン時に、MFA やデバイス コンプライアンスなどの CA チャレンジが発生する可能性がある |
| 推奨対応 | 新しい適用モデルに合わせることが推奨。やむを得ない場合はカスタム ターゲット リソースで従来の動作を維持 |
| 必要な手順 (従来の動作を維持する場合) | 1. カスタム アプリケーションの登録 / 2. CA ポリシーの対象外に追加 / 3. ベースライン スコープ設定にカスタム ターゲット リソースを構成 |
参考情報
- リソースの除外による条件付きアクセス ポリシーの適用の強化 - Microsoft Entra ID | Microsoft Learn
- 条件付きアクセス: ターゲット リソース - Microsoft Entra ID | Microsoft Learn
- ベースライン スコープ設定画面
上記内容が少しでも参考となりますと幸いです。製品動作に関する正式な見解や回答については、お客様環境などを把握したうえでサポート部門より提供させていただきますので、ぜひ弊社サポート サービスをご利用ください。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。