Microsoftは、Entra IDの条件付きアクセス(Conditional Access)ポリシーの適用範囲を拡大し、「ベースラインスコープのみ」を要求するアプリにもポリシーが一貫して適用されるよう動作を変更する。2026年6月15日からロールアウトが始まっており、8月中旬には全世界のテナントへ展開が完了する予定だ。メッセージセンターではMC1223829として公開されている。
ベースラインスコープとは
OpenID Connect(OIDC)の標準スコープである openid・email・profile に、Entra IDのディレクトリスコープ(User.Read・People.Read・GroupMember.Read.All など)を加えた一群が「ベースラインスコープ」と呼ばれる。これらは限定的な権限として低リスクに分類されており、ユーザー同意設定においても特別扱いされてきた。
何が変わるのか
従来の動作では、アプリが「ベースラインスコープのみ」を要求し、かつ条件付きアクセスポリシーに1つ以上のリソース除外が設定されている場合、そのポリシーが適用されないケースがあった。ポリシーを設定した管理者の意図と、実際の動作に乖離が生じていたわけだ。
変更後は、要求するスコープの種類にかかわらず、条件付きアクセスポリシーが一貫して適用される。Microsoftが例として挙げるのが Visual Studio Code のデスクトップクライアントだ。VS Code は User.Read のみを要求するため、現在は条件付きアクセスの対象外となっているが、変更後はポリシー評価の対象に含まれる。
影響を受けるシナリオ
多くのテナントでは影響は軽微だ。Mail.Send や User.Read.All のような Graph API アクセス許可を1つでも要求するアプリは、すでに条件付きアクセスの対象となっているためだ。人気の AI コネクター(例:Microsoft 365 Connector for Claude)も Graph 権限を複数要求するため、今回の変更には該当しない。
リスクがあるのは、ベースラインスコープのみに依存しつつ、MFA や準拠デバイス要件を満たせないアプリだ。独自の認証フローを持つレガシーアプリや、長年手が入っていない社内開発の簡易ツールがこれに当てはまる可能性がある。
今すぐ確認すべきこと
- MC1223829 を確認し、自テナントへの展開時期を把握する(Microsoftは変更2週間前と完了後に通知を送付する)
- Entra 管理センターの「条件付きアクセス」→「ベースラインスコープ設定」ページで現在の構成を確認する(現時点では特殊 URL が必要)
- サービスプリンシパル分析レポートを実行し、ベースラインスコープのみを使用しているアプリを洗い出す
- 該当アプリが存在する場合、MFA 対応の可否を開発チームまたはベンダーに確認する
実務への影響
日本のエンタープライズ環境では、長年かけて積み上げた条件付きアクセスポリシーと古い認証フローを持つ業務アプリが混在しているケースが珍しくない。今回の変更は短期的には一部アプリの認証失敗を引き起こす可能性があるが、逆に言えば「ポリシーが効いていなかったアプリ」を発見する機会でもある。展開完了後の8月中旬に向けて、今のうちにサービスプリンシパルの棚卸しを済ませておくことを強く勧める。
筆者の見解
ゼロトラスト推進の立場から見れば、今回の変更は「やっと」という気持ちが正直なところだ。「条件付きアクセスを設定したから安全」という思い込みの裏で、実はスコープの抜け穴からポリシーをすり抜けていたアプリが存在していた——これはゼロトラストの根幹である「明示的に確認する(Verify Explicitly)」の原則に反する状態だった。
Microsoftがこうした地道な基盤の穴埋めを着実に進めていることは素直に評価したい。AI 機能の話題が先行しがちな昨今だが、プラットフォームの信頼性を支えるこういった修正こそが、長期的な安心感の源泉になる。テナント管理者にとっては棚卸し作業の手間が増えるが、ゼロトラスト移行を進める上でどうせ通らなければならない道だ。今回の変更を、アクセス権限の全体的な見直しを始めるきっかけにしてほしい。
出典: この記事は Entra ID Tightens Conditional Access Processing for Baseline Scopes の内容をもとに、筆者の見解を加えて独自に執筆したものです。