こんにちは、Azure & Identity サポート チームの長谷川です。本記事は、2026 年 1 月 28 日に米国の Microsoft Entra Blog で公開された Upcoming Conditional Access change: Improved enforcement for policies with resource exclusions を意訳したものになります。ご不明点はサポート チームまでお問い合わせください。
Microsoft Entra 条件付きアクセスが適用される認証フローを限定的に強化し、セキュリティ態勢の向上を図ります。
Microsoft セキュア フューチャー イニシアティブ に基づき、多層防御のための以下のプロアクティブなセキュリティ対策を実施します。変更内容を確認し、必要な準備を実施ください。
何が変更されるのか
- 現在、クライアント アプリケーションが OIDC スコープ または 限定的なディレクトリ スコープ のみ を要求してユーザーがサインインした場合、ポリシーに 1 つ以上の除外となるリソースが含まれていると、「すべてのリソース」を対象とする条件付きアクセス ポリシーは、そのサインインに対して適用されません。
- この変更後は、リソースの除外が設定されている場合でも、これらのサインインに対して「すべてのリソース」を対象とする条件付きアクセスポリシーが適用されます。これにより、アプリケーションによって要求されたスコープに関係なく、ポリシーが一貫して適用されるようになります。この変更の詳細についてはこちらをご覧ください。
この変更はいつ反映されるか
Microsoft Entra ID は、この変更の適用を 2026 年 3 月 27 日から開始します。すべてのクラウド環境に段階的に展開され、2026 年 6 月まで数週間かけてロールアウトされる予定です。
この変更の影響を受けるのは誰か
この変更は、「すべてのリソース」を対象とし、かつ 1 つ以上のリソース除外を含む 条件付きアクセス ポリシーを設定しているテナントにのみ影響します。これらのテナントには、M365 メッセージセンター を通じて通知が行われます。この構成のポリシーを持たないテナントには影響はありません。
この変更はお客様の組織にどのような影響を与えるか
ユーザーが上記のスコープのみを要求するクライアント アプリケーションを通じてサインインする場合、これまでは適用されずにアクセスできていた状況でも、今回の変更により条件付きアクセスのチャレンジ(MFA やデバイス準拠など)が求められる可能性があります。具体的にどのような制御が要求されるかは、「すべてのリソース」を対象とするポリシー、またはリソースとして Azure AD Graph を明示的に対象とするポリシーに設定されているアクセス制御の内容に依存します。
何を準備する必要があるか
ほとんどのお客様: 特に対応は不要です
ほとんどのアプリケーションは、上記のスコープ以外に追加のスコープを要求しており、すでに条件付きアクセスの適用対象となっています。このような場合、動作に変更はありません。また、アプリケーションが条件付きアクセスの要求を適切に処理できるようにするため、更新が必要となる可能性がある主要なソフトウェア ベンダーと協力して対応を進めています。
テナントに登録されていて、これらのスコープのみを要求するアプリ: 確認を推奨
上記のスコープ のみ を要求するよう意図的に設計されたカスタム アプリケーションがある場合、それらのアプリが MFA やデバイス準拠などの条件付きアクセスの制御に対応できるかどうかを評価ください。すでに条件付きアクセスの制御に対応している場合 は特に変更は不要です。対応していない場合は 更新が必要になる可能性があります。アプリケーションを適切に更新する方法については、Microsoft Entra 条件付きアクセスの開発者向けガイダンス を参照ください。
-Swaroop Krishnamurthy
補足リソース
- 条件付きアクセス: ターゲット リソース
- Microsoft Entra 条件付きアクセスの開発者向けガイダンス
- Microsoft ID プラットフォームでのスコープとアクセス許可
- 条件付きアクセスでのサインインに関する問題のトラブルシューティング
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。