コンテンツにスキップ
Reports
Jpazureid Baseline Scopes Change

条件付きアクセス ポリシーの「ベースライン スコープ」に関する動作変更の解説

  • URL: https://jpazureid.github.io/blog/azure-active-directory/baseline-scopes-enforcement/
  • 日付: 2026-06-05
  • Tier: Tier 1
  • 要旨: 2026年5月13日から「すべてのリソースを対象・特定リソースを除外」構成のCA ポリシーにおいて、ベースラインスコープのみを要求するリクエストの自動除外が廃止。VS CodeなどがMFA要求対象になる可能性があり事前確認が必要。

詳細

ベースラインスコープとは: email/openid/profile/offline_access/User.Read/User.Read.All等の低特権スコープ。Windows Azure Active Directory(AAD)リソースとして評価される。

変更前: ベースラインスコープのみ要求するリクエストはCA適用外として自動除外 変更後: 全リクエストに対してCA評価が適用される

影響を受ける条件(3つすべて該当する場合):

  1. 「すべてのリソース」を対象とするCAポリシーがある
  2. そのポリシーにリソース除外が設定されている
  3. ユーザーがベースラインスコープのみを要求するアプリ(VS Codeなど)でサインイン

具体例: 「全リソース対象/Exchange Online除外/MFA必須」ポリシーがある場合、VS Codeへのサインイン(openid+profileのみ要求)が変更後はMFA必須になる。

従来の動作を維持する設定変更も提供されているが、Microsoftセキュア フューチャー イニシアティブに基づくセキュリティ強化のため積極推奨はされていない。

Jpazureid Ai Wave Entra EvolutionJpazureid Entra Connect Hardmatch