Januari 2026

Conditional Access 2026: förbered er för de nya reglerna i maj

Microsoft fortsätter skärpa hur Conditional Access policyer utvärderas när de innehåller undantag för enskilda molnresurser. Från och med den 13 maj 2026 kan policyer som förlitar sig på vissa typer av resursundantag få ett annat beteende än idag, vilket i värsta fall innebär att skydd ni trodde fanns plötsligt inte gäller som väntat. För svenska organisationer med komplexa appar och äldre integrationer är det här en väckarklocka att granska innan användare märker problem i inloggningsflöden.

Vad som förändras i korthet

Förändringen handlar om hur policyer med undantag för specifika resurser samverkar med nya utvärderingsregler i Entra ID. Microsoft varnar för att vissa kombinationer av villkor och undantag kan sluta matcha när motorn blir striktare. Det påverkar särskilt miljöer där man historiskt lagt undantag för att få en intern app att fungera utan modern autentisering, eller där tjänstekonton har egna vägar runt multifaktor.

Checklista: vad ni bör gå igenom nu

Exportera en fullständig lista över alla Conditional Access policyer och filtrera fram de som innehåller resursundantag. Identifiera ägare per affärssystem och be dem verifiera att appen fortfarande stödjer rekommenderade autentiseringsflöden. Kör What If analyser för representativa konton, inklusive gäster och nödkonton. Dokumentera beroenden till äldre OAuth appar och se till att ingen kritisk åtkomst enbart vilar på ett undantag som kan försvinna.

Anpassade appar som ofta påverkas

Line of business appar med egenklientcertifikat, äldre SAML integrationer eller hårdkodade omdirigerings URL kan bete sig oförutsägbart när policyer omfattar fler kontroller. Sätt upp en testtenant eller en begränsad pilotgrupp där ni kan simulera nya regler utan produktionsstopp. Involvera utvecklare tidigt om de äger kod som antar att vissa inloggningar alltid slipper MFA.

Förberedelse utan drama

Planera kommunikation till servicedesk med tydliga symptom och eskaleringssökvägar. Säkerställ att break glass konton fortfarande omfattas av separata, väl granskade policyer. Nordvide kan hjälpa er att tolka Microsoft vägledning, köra genomgång av policyer och automatisera rapportering som visar täckning före och efter maj.

Verifiering i tre steg före skarpt läge

Först: jämför policy export före och efter ändringar i en testtenant eller med begränsad pilotgrupp. Andra steget: kör sign in loggar för att se vilka regler som faktiskt utvärderas per applikation, inte bara vilka som är aktiverade på papper. Tredje steget: låt verksamhetsägare testa kritiska flöden, till exempel ekonomisystem och kundportaler, under kontrollerad tid.

Dokumentera avvikelser i ett enkelt beslutsprotokoll så att ledning kan acceptera risk eller finansiera upprustning av appen. Målet är att den 13 maj inte blir första gången ni upptäcker att ett undantag varit nödvändigt av fel anledning.