Microsoft Entra IDが、「全クラウドアプリ対象+一部リソース除外」という構成のConditional Access(条件付きアクセス)ポリシーを特定の認証フローで回避できていたセキュリティ上の抜け穴を修正し、2026年3月27日から段階的な展開を開始した。OIDC(OpenID Connect)スコープのみを使用する認証リクエストも含め、ポリシーが正しく評価されるようになる。

何が問題だったのか

Conditional Accessポリシーを「すべてのクラウドアプリ(All cloud apps)」を対象にしつつ、特定アプリを除外(Exclude)する設定にしている場合、アプリケーションが openidprofileemail などのOIDCスコープや、Microsoft Graphの User.Read のような限定的なスコープのみをリクエストするケースでは、これまでConditional Accessが適用されていなかった。

認証リクエストが「特定のリソース」を明示的にターゲットしない形式であるため、ポリシーエンジンが評価をスキップしていたのが原因だ。結果として、MFAや端末コンプライアンスの要件を満たさないままサインインが成立してしまう状況が生じていた。

修正後の挙動

改修後は、OIDCスコープや限定的なGraphスコープのみを使うリクエストに対しても、「全クラウドアプリ対象」ポリシーが漏れなく評価されるようになる。除外設定の有無にかかわらず、該当ポリシーに設定されたMFA要件・端末コンプライアンス・承認済みアプリ条件などが強制適用される。

Microsoftはこの変更を「Secure Future Initiative(SFI)」の一環として位置付けており、テナント管理者にはMicrosoft 365メッセージセンターおよびEntra管理センター経由で事前通知が送られる。

影響を受けるテナントの確認方法

影響が出るのは、以下の条件を満たすConditional Accessポリシーを持つテナントに限られる:

  • ターゲットリソースに「すべてのクラウドアプリ(All cloud apps)」を選択している
  • かつ「除外 > 対象外クラウドアプリを選択」で1つ以上のアプリを除外している

確認手順は Microsoft Entra管理センター > 保護 > 条件付きアクセス > ポリシー から各ポリシーのターゲット設定を開くだけだ。この組み合わせに該当しないポリシーしか持たないテナントには影響がない。

すでにすべてのサインインにMFAまたは端末コンプライアンスを要求しているポリシー構成であれば、実質的な変化は起きない。問題になるのは、OIDCスコープのみで認証するカスタムアプリケーションが「除外なしでMFAを要求される」ようになるケースだ。開発環境・ステージング環境でテストを先行させることを強く推奨する。

実務への影響

すぐに確認すべきこと:

  • Conditional Accessポリシーの棚卸し — 「全クラウドアプリ+除外」構成のポリシーを洗い出す。M365管理者なら今週中に終わらせたい作業だ
  • カスタムアプリの認証フロー確認 — 自社開発アプリやサードパーティSaaSがOIDCスコープのみで認証していないか確認。該当する場合はステージング環境で事前に動作検証を行う
  • 通知の受信確認 — Entra管理センターのメッセージセンターにMicrosoftからの事前通知が届いているはずなので確認する
  • ヘルプデスクへの周知 — 変更後にMFA画面が突然表示されてサポート問い合わせが増える可能性がある。エンドユーザーへの事前告知も検討を

筆者の見解

Conditional Accessは「ゼロトラスト戦略の要」だと考えている。ネットワーク境界でブロックするVPN型の発想とは根本的に異なり、「誰が、どのデバイスから、どのアプリに、どんな条件でアクセスするか」をきめ細かく制御できる点が強みだ。

今回修正されたOIDCスコープの抜け穴は、ポリシーを正しく設定しているつもりの管理者が気づかないまま放置していたケースが相当数あったはずで、今回の修正は歓迎すべきことだ。「設定した=適用されている」は甘い認識で、実際の認証フローに即した検証が不可欠だということを改めて示している。

ただし、修正の展開が3月開始〜6月完了という長い期間をかけている点は気になる。影響範囲の広さへの慎重さは理解できるが、セキュリティ修正をここまでゆっくり展開するのは、攻撃者にとって都合のよい窓口期間ができるという側面もある。エンタープライズIT部門は「自分のテナントにはまだ適用されていない」と楽観しないよう注意してほしい。

Microsoft Entra IDは引き続きゼロトラスト戦略の中核として使い続けていい基盤だ。今回のような修正が迅速に届き、管理者がきちんと対応できる仕組みになっているなら、その信頼は揺るがない。

出典: この記事は Microsoft Entra ID Fixes Conditional Access Policy Bypass, Enforces MFA for OIDC-Only Requests の内容をもとに、筆者の見解を加えて独自に執筆したものです。