Microsoftは過去30日間で、組織がゼロトラストセキュリティ戦略を実装するのを支援するアイデンティティおよびネットワークアクセス製品ファミリー「Entra」に、複数の新機能をリリースしました。
一般提供開始の機能
アイデンティティと認証のアップデート
フィッシング耐性MFAが、Microsoftのアイデンティティブローカーを通じてLinuxデスクトップで利用可能になりました。Ubuntu 24.04および26.04、ならびにRHEL 8、9、10をサポートしており、LinuxのサポートレベルがWindowsやmacOSと同水準になっています。
High Scale Compatibility(HSC)モードは、大規模なAzure AD B2CユーザーがアプリケーションをMicrosoft Entra External IDに移行する際に活用できます。約500万以上のオブジェクトを持つ組織が、ユーザーに再登録やパスワードリセットを求めることなくアプリケーションを移行できるようになります。
「顧客はB2CポリシーアナライザーでマイグレーションZの準備状況を評価できます。アカウントチームおよびパートナーはEEIDマイグレーションチームと連携し、対象となるAzure Active Directory B2C顧客を適切な移行パスへ誘導する必要があります」と、MicrosoftのプリンシパルプロダクトマネージャーであるMartin Coetzer氏は説明しています。(Martin Coetzer)
システム優先認証は、Microsoft管理状態において第1要素と第2要素の両方の認証をカバーします。このサービスは、各ユーザーが利用可能な最上位ランクの認証方法を自動的に選択します。
My Accountポータル内のデバイス、セキュリティ情報、組織の各ページがリデザインされました。デバイス管理、セキュリティ情報設定、組織管理が簡素化されており、ロールアウトは2026年6月末までに完了する予定です。
登録キャンペーンがFIDO2資格情報を含むパスキーをサポートするようになりました。管理者はサインイン時にパスキーの登録をユーザーに促し、普及を推進できます。
ユーザーはWindows Helloを通じてデバイスバインドパスキーを登録し、生体認証またはPINを使用したフィッシング耐性のあるサインインに利用できます。デバイスをMicrosoft Entraに参加または登録する必要はありません。なお、インタラクティブなWindowsコンソールサインインはサポートされていません。
ガバナンスと管理のアップデート
組織はMicrosoft Entraテナント間でセキュリティグループとそのメンバーシップを同期できるようになりました。これにより、中央で管理されたグループを複数のテナントでアクセス制御やコラボレーションに活用できます。
管理者は孤立アカウントを含む、接続されたアプリケーション内のすべてのアカウントを確認できます。ディスカバリーレポートはアクセスの空白を特定し、アプリケーションのオンボーディングを支援します。この機能はMicrosoft Entra ID GovernanceまたはMicrosoft Entra Suiteが必要です。
エージェントIDの人的スポンサーシップは、スポンサーが組織を離れた際に自動的に引き継ぐことができます。ライフサイクルワークフローにより、管理者や共同スポンサーにスポンサーシップの変更が事前に通知されます。
アプリの無効化機能により、管理者はアプリケーションを削除したりテナントレベルのガバナンスを中断したりすることなく、アプリケーションを無効化できます。無効化されたアプリケーションは新しいアクセストークンの取得やユーザーのサインインができなくなりますが、設定、権限、メタデータは後で再有効化するために保持されます。
「このアプローチは、セキュリティ調査、不審なアプリケーションの一時停止、またはアプリケーションの設定データを保持しなければならない状況に有効です」とCoetzer氏は続けています。
パブリックプレビュー中の機能
ワークフォーステナントにおけるドメインレスSAMLフェデレーションにより、外部ユーザーは自分のアイデンティティプロバイダーの資格情報を使用してアプリケーションやワークフォースリソースにサインインできます。サインイン時や招待承諾時にメールドメインの一致は不要です。
Entraセキュリティグループへの機密ラベル適用は、Microsoft PurviewラベルをEntraクラウドセキュリティグループに適用するパブリックプレビュー機能です。管理者は既存のMicrosoft 365ラベルポリシーをセキュリティグループに適用できます。ラベルはMicrosoft Purviewで管理でき、Entra管理センター、Azureポータル、Microsoft Graphから適用することで、ゲストアクセス制御を含むグループ設定の一貫したガバナンスをサポートします。
デバイスのソフト削除により、削除されたデバイスに回復可能な状態が追加されます。管理者は保持期間内にデバイスオブジェクトを復元でき、デバイスのアイデンティティと関連するセキュリティデータが保持されます。この機能はEntra参加済み、登録済み、ハイブリッド参加済みのデバイスに適用され、誤削除のリスクを軽減します。
SAP SuccessFactorsのプロビジョニングがワークロードIDベースの認証をサポートします。長期的なユーザー名とパスワードをEntra管理の資格情報と短期アクセストークンに置き換えるもので、既存のプロビジョニングジョブは再構築せずに更新できます。Active DirectoryとEntra IDへのインバウンドプロビジョニングおよびライトバックシナリオに適用され、SAPが2026年11月にAPIの基本認証を廃止する計画に対応しています。
アクセスパッケージは、管理グループ、サブスクリプション、リソースグループレベルでのAzureロール割り当てを管理できるようになりました。ロール割り当てにはアプリケーションやグループと同様のリクエスト、承認、ライフサイクル制御が使用され、Azureリソースへの最小権限および期限付きアクセスをサポートします。
ライフサイクルワークフローにユーザー属性更新タスクが追加されました。ワークフローステップ内でカスタム属性を含むユーザー属性の更新を自動化できます。管理者は制御された監査可能なプロセスを通じて値を設定またはクリアできます。
Entraセキュリティオペレーターロールは、Microsoft Defender RBACにおけるSOC対応アクションのサポートを拡大します。アナリストはユーザーの無効化、セッションの取り消し、アカウントへの侵害マーク付け、パスワードの強制リセット、認証方法の削除が可能になります。これらのアクションは非管理者ユーザーに適用され、インシデント対応時にEntraの完全な管理者権限が必要となるケースを減らします。
ポリシーの更新と適用変更
2026年7月6日より、「セキュリティ情報の登録」アクションに割り当てられた条件付きアクセスポリシーが、Windows Hello for BusinessおよびmacOS Platform SSOの登録時に適用されます。ユーザーは登録を完了する前に、MFA、ネットワーク制限、デバイスコンプライアンスなどの要件を満たす必要があります。このアクションに対するポリシーが設定されていないテナントは影響を受けません。パスワードレス資格情報の登録にはデフォルトでMFAが引き続き必要です。完全な適用は2026年7月13日に開始されます。
セルフサービスパスワードリセットは、2026年9月7日よりユーザーが登録した認証方法のみを受け付けるようになります。メールアドレスや電話番号など、ユーザーオブジェクトに保存された連絡先情報は、認証方法として登録されていない限り受け付けられません。この変更はパブリッククラウド、GCC、GCC High、DoD環境のすべてのユーザー(管理者を含む)に適用されます。
2026年7月6日より、登録済みの認証方法がないユーザーに対し、サインイン後に登録を促す登録キャンペーンが開始されます。管理者は適用開始前に、ユーザーが少なくとも1つの認証方法を登録していることを確認してください。
パスキー(FIDO2)認証ポリシーは、認証方法ポリシー内に専用の20KBの割り当てを受けます。以前はすべての認証方法が単一の20KB制限を共有していましたが、テナントあたりのパスキープロファイル数は3から10に増加します。
Global Secure Accessの新しい運用ガイドが公開されました。アラート、ヘルスチェック、変更管理、メトリクス、復旧手順を含むデプロイ後の運用をカバーしており、KQLクエリとテンプレートが提供されています。プライベートアクセス、インターネットアクセス、リモートネットワーク、Microsoftトラフィック向けの個別ガイダンスも用意されています。
翻訳元: https://www.helpnetsecurity.com/2026/06/02/microsoft-entra-latest-security-updates/
