2026年4月はMicrosoft Entra IDにとって重要な月で、3つの戦略的柱—証明書ベース認証、Global Secure Access、アイデンティティガバナンス—にわたって11の機能が一般提供に到達しました。これは単なる定例のアップデートではなく—Microsoftが今後12〜18ヶ月にわたりアイデンティティとセキュリティプラットフォームをどこに向かわせているかを示す調整されたリリースのセットです。
何が変わり、何を意味し、組織がどうすべきかを説明します。
3つの戦略的柱
これら11のリリースは3つの明確な焦点領域に集まります:
1. 証明書ベース認証 — パスワードレスが現実に
Microsoftは4月にCBAの動きを3つ行い、それらが総合的にニッチなケイパビリティから主流の認証戦略へと変えました:
- iOSでCBAがシステム推奨の第3のMFAオプションに — CBAはiOSのシステム推奨MFAメソッドリストで第3位にランクされ、バイオメトリクスとハードウェアトークンの後、パスワードの前に位置します。CBA証明書を持つユーザーは合理化された、パスワードとMFAプロンプトのないエクスペリエンスを得ます。
- 認証局のスコーピング — テナント管理者は特定のCAを定義されたユーザーグループに制限できるようになりました。これによりきめ細かいポリシー強制が可能になります:臨床スタッフは内部CAから証明書を取得し、請負業者は外部の発行者を使用します。
- 発行者のヒント — ユーザーは組織に対して信頼され有効な証明書のみを選択するよう促され、サインインの混乱と証明書選択のエラーを削減します。
影響: CBAは大規模なエンタープライズデプロイの成熟のしきい値を越えました。組織がCBAをパイロットまたは検討している場合、2026年4月は最後の意味のあるブロッカー—より良いモバイルサポート、CAレベルの粒度、改善されたUX—を取り除きます。
2. Global Secure Access — SSEプラットフォームの成熟
3つのGSA機能がGAに到達し、MicrosoftがSecure Service Edge(SSE)市場で競争する本気であることを確認しました:
- GSA iOSクライアント — 現在GA。既存のMicrosoft Defender for Endpoint(MDE)を活用して、Microsoft 365、インターネット、プライベートアクセス向けにMicrosoft SSEを通じてトラフィックをルーティング。新しいエージェントは不要。
- ファイルタイプごとのネットワークコンテンツフィルタリング — GenAIとSaaSアプリへのファイル転送を監視および制御し、ネットワークレベルで不正なデータ持ち出しを防止。
- リモートネットワーク向けのGSA Cloud Firewall — GSAリモートネットワーク経由のブランチオフィスからのすべてのインターネットトラフィックに対する5タプルフィルタリング(送信元IP、宛先IP、プロトコル、送信元ポート、宛先ポート)。
影響: GSAはZscalerやNetskopeのようなスタンドアロンSSEソリューションの真の代替になりつつあります。iOSクライアントは最後の主要なエンドポイントのギャップを取り除き、ネットワークレイヤーのコントロールはセキュリティチームを夜も眠れなくするGenAIデータ漏洩の懸念に対処します。
3. アイデンティティガバナンス — 可視性、強制、透明性
4つのリリースがMicrosoftのアイデンティティガバナンスのストーリーを強化します:
- My Access承認者可視性 — リクエスターはMy Accessポータルで承認者の名前とメールアドレスを見られるようになり、エンタイトルメント管理ワークフローでの「誰がこれを承認したか?」の曖昧さを排除。
- すべてのPIMアクティベーションでのConditional Access — PIMロールアクティベーションでCAポリシー(MFAなど)を強制することがGAになりました。これにより最も機密性の高いアクセス許可が日常の認証要件をバイパスできるギャップが閉じられます。
- ライセンス使用ページ — 機能の使用をライセンスタイプ(P1、P2、Suite)にマッピングして表示する新しいダッシュボード。組織がどの機能を使用しているか、過剰ライセンスかどうかを正確に理解するのに役立ちます。
- 構成可能なトークンライフタイムポリシー — アプリケーションまたはサービスプリンシパルレベルでアクセストークン、IDトークン、SAMLトークンのライフタイムをカスタマイズ。
影響: これらはコンプライアンスの意味を持つ運用効率の勝利です。PIM + CA強制は特に重要です—規制された産業では、すべての特権アクセス許可が他のログインと同じ認証コントロールを通過すべきです。
4. ボーナス:ソーシャルアイデンティティプロバイダー + Entra External ID
Entra External IDのNative Authentication SDK経由でGoogle、Facebook、Appleをソーシャルアイデンティティプロバイダーとして追加したことで、顧客向けのアイデンティティストーリーが完成しました。B2CとB2Bの顧客ポータル向けに、これがアカウント作成の摩擦を排除します。
組織がすべきこと
即時のアクション(今月)
- My Access承認者可視性を有効化 — メンバーにはデフォルトでオンです。ロールアウトにアクションは不要ですが、ゲストシナリオで無効にしたい場合はアクセスパッケージの構成を監査してください。
- CBA準備をレビュー — PKIと証明書をサポートするデバイスがある場合、CBAパイロットの計画を開始してください。CAスコーピング機能は、組織全体のコミットメントなしに特定のユーザーグループにCBAをデプロイできることを意味します。
- GSA iOSクライアントをテスト — MDEを使用し、企業リソースにアクセスするiOSユーザーがいる場合、テストグループでGSA iOSクライアントを検証してください。
戦略的(今四半期)
- PIMアクティベーションでCAを強制 — これが最も影響の大きいガバナンス変更です。PIMアクティベーションロール向けにConditional Accessポリシーを構成してください—Tier 0(Global Admin)ロールから始めて拡大します。
- トークンライフタイムポリシーを評価 — 現在のトークンライフタイムのデフォルトをセキュリティ要件に対してレビューしてください。構成可能なポリシーは機密アプリのアクセストークンを厳しくしつつ、低リスクワークロードではスムーズなユーザーエクスペリエンスを保てます。
- ライセンス使用を監査 — 新しいライセンス使用ページを使用して、活用されていないEntra ID P2またはSuiteライセンスを特定し、テナントを適正化してください。
長期(今後6〜12ヶ月)
- CBAロールアウト戦略を策定 — CAスコーピング、発行者ヒント、iOSサポートがすべてGAになったことで、CBAは本番対応です。ハードウェア証明書インフラに合わせた段階的ロールアウトを計画してください。
- SSE代替としてのGSAを評価 — 更新時にSSEベンダーを評価している場合、ベイクオフにGSAを含めてください。MDEとネイティブなEntra ID Conditional Accessとの密接な統合は意味のあるアーキテクチャ上の優位です。
変わっていないこと
- 基本認証の引退タイムラインは変更なし(SAP SuccessFactors向けは2026年11月)。
- Entra Connect Syncのサポート終了計画はまだ早期通知フェーズ(2026年7月以降)。
- 既存のCBAデプロイパターンは引き続き機能—破壊的変更はありません。
大きな絵
これら11のリリース全体を見ると、明確なパターンが浮かび上がります:Microsoftは別々の製品ではなく、統合されたアイデンティティ + ネットワーク + ガバナンスのプラットフォームを構築しています。CBAは認証レイヤーを接続します。GSAはネットワークレイヤーを接続します。PIM + CA強制はガバナンスレイヤーを接続します。トークンライフタイムとライセンス使用の機能は運用レイヤーを接続します。
これがディレクトリサービスとしてだけでなくプラットフォームとしてのEntra IDの背後にあるアーキテクチャのビジョンです。Microsoftエコシステムにすでに投資している組織にとって、統合の利益は重要です—より少ないポイントプロダクト、より密接な統合、アイデンティティセキュリティのための単一のコントロールプレーン。
Microsoft Entra IDの変更のナビゲートに支援が必要ですか?
Big Hat Groupは組織がMicrosoft Entra ID環境を設計、デプロイ、管理するのを支援します。CBAロールアウトの計画、Global Secure Accessの評価、Entra IDライセンスの最適化のいずれであっても、お手伝いできます。
Big Hat Groupはアイデンティティセキュリティ、Microsoft Entra ID、モダンエンドポイント管理を専門とするMicrosoftパートナーです。