Conditional Access skærpes: ressourceudeslutninger håndhæves nu

Conditional Access (på dansk: betinget adgang) er Microsofts regelmotor for, hvornår en bruger må få adgang til en ressource, og under hvilke betingelser. En typisk regel lyder: "Hvis nogen logger ind på Outlook udefra, så kræv multifaktor-godkendelse."

MFA står for multifaktor-godkendelse, altså at man bekræfter sin identitet med mere end bare en adgangskode, for eksempel en godkender-app på telefonen.

Conditional Access kræver Entra ID P1, som følger med Microsoft 365 Business Premium, Microsoft 365 E3, E5 og E7. Den er fundamentet under meget af en NIS2- og D-mærke-klar opsætning, fordi krav om MFA og kompatible enheder håndhæves netop her.

En Conditional Access-politik kan rettes mod "alle ressourcer". Samtidig kan man udelukke enkelte ressourcer fra politikken (en såkaldt ressourceudeslutning).

I dag sker der det, at politikken i visse login-scenarier slet ikke bliver aktiveret, hvis der findes en ressourceudeslutning. Det laver Microsoft om.

Efter ændringen bliver politikken anvendt, selvom der er konfigureret ressourceudeslutninger. Det betyder, at en bruger kan blive mødt med ekstra krav, for eksempel MFA eller et krav om en kompatibel enhed, i situationer hvor adgangen tidligere gik igennem uden.

Microsoft beskriver det som en forbedret og mere konsekvent håndhævelse. Udrulningen begynder 22. juni 2026 og sker gradvist i jeres miljø over de følgende cirka to uger. I får en bekræftelse, når den er gennemført.

Ændringen rammer kun jer, hvis I har Conditional Access-politikker rettet mod alle ressourcer og bruger ressourceudeslutninger. Har I det ikke, sker der ingenting.

Sådan forbereder I jer:

• •Gennemgå jeres politikker. Find dem, der er rettet mod alle ressourcer og har udeslutninger, og vurder, om den nye, strammere håndhævelse giver problemer for legitime brugere.
• •Test med rapporteringstilstand. Sæt eventuelt en politik i "report-only", så I kan se effekten, før den håndhæves.
• •Behold den gamle adfærd, hvis nødvendigt. Microsoft anbefaler at acceptere den nye adfærd, men har I brug for at bevare den gamle, kan I justere det via "Baseline scope settings".

Conditional Access er ikke en gratis funktion. Den kræver Entra ID P1, og det er værd at vide, hvilke planer der har den med:

Kører I på Business Basic eller Standard og gerne vil bruge Conditional Access til for eksempel at kræve MFA udefra, skal I enten tilkøbe Entra ID P1 eller løfte til Business Premium. For de fleste mindre virksomheder er Business Premium den mest komplette vej, fordi I samtidig får enhedsstyring og trusselsbeskyttelse.

Kilde: Microsoft Message Center MC1400649 samt Microsoft Learn om Conditional Access.