2026年4月はMicrosoft Entra IDの歴史の中で最大級の単月一般提供リリースをもたらしました。パスワードレス認証、ネットワークセキュリティ、アイデンティティガバナンス、プラットフォームインフラにまたがる11の新機能がGAに到達しました。Microsoft Entra環境を管理するエンタープライズITチームにとって、このリリースウェーブには注意—そして行動—を要求するいくつかの変更が含まれています。
何が変わり、何を意味し、組織がどうすべきかを説明します。
大きな絵:このリリースを駆動する3つのテーマ
個別のアナウンスに入る前に、一歩引いて物語を見る価値があります。これら11のGAリリースは3つの戦略的テーマに集まります:
フィッシング耐性認証はもはやオプションではない。 Microsoftは証明書ベース認証(CBA)に大きく投資しており—11のアナウンスの3つが直接CBAケイパビリティを拡大します。これは組織がSMSやTOTPから離れるにつれて、FIDO2、パスキー、証明書ベースのMFAへの業界全体の推進と整合します。
Security Service Edge(SSE)が現実に。 Global Secure Access(GSA)はクラウドファイアウォール、iOSクライアント、ネットワークコンテンツフィルタリングがGAに到達し、新たな成熟に達しました。MicrosoftはEntra Internet AccessとPrivate AccessをDefender for Cloud Appsと並ぶコアSSE柱として位置づけています。
ガバナンスコントロールが強化されている。 PIMアクティベーションがConditional Accessの再認証を要求できるようになりました。ライセンス使用の可視性はより良いコスト管理を意味します。My Accessの承認者の透明性は監査証跡を改善します。これらはコンプライアンスと運用セキュリティに大きな意味を持つ小さな変更です。
認証:3つのCBAアナウンスがパスワードレスに倍賭け
システム推奨MFAメソッドの第3オプションとしてのEntra CBA
最も運用上重要な認証の変更は、iOSのシステム推奨MFAメソッドの順序でCBAが第3の位置に移動したことです。Microsoftは以前CBAを最優先度に下げていたiOSプラットフォームの問題を解決しました。証明書を持つネイティブiOSサインインは不要なパスワードとMFAプロンプトを回避するようになりました。
なぜこれが重要か: CBA証明書をデプロイしたがユーザーがまだアプリベースのMFAやSMSに押しやられていた組織は、サインインエクスペリエンスに実質的な改善を見るでしょう。有効な証明書を持つユーザーは最初にそれを使用するよう促され、摩擦を削減しフィッシング耐性メソッドの採用率を改善します。
Entra CBA認証局(CA)スコーピング
管理者は特定の認証局を定義されたユーザーグループに制限できるようになりました。これは組織が役員、請負業者、標準ユーザー向けに異なるCAからCBA証明書を発行し—どの証明書が誰を認証できるかを強制できることを意味します。
セキュリティの影響: CAスコーピングはブラスト半径を制限します。CAが侵害されても、そのCAに割り当てられたユーザーグループのみが影響を受けます。これは複数のPKI階層を持つエンタープライズが優先すべき防御の深化の改善です。
Microsoft Entra CBAの発行者ヒント
ユーザーがデバイス上に複数の証明書を持つ場合、発行者ヒントは組織によって信頼された証明書のみを選択するよう促されることを保証します。これはサインインのエラーと混乱を削減し、特に個人と企業の証明書を持つデバイスで有効です。
実用的なポイント: これは生活の質の改善ですが、セキュリティの採用には生活の質が重要です。証明書で認証する際にユーザーが直面する障害が少ないほど、ヘルプデスクの呼び出しと回避策は少なくなります。
ネットワークセキュリティ:Global Secure AccessがGAマイルストーンに到達
GSA iOSクライアント(GA)
iOSとiPadOS向けのGlobal Secure Accessクライアントが一般提供されました。重要なことに、新しいエージェントのインストールは不要です—既存のMicrosoft Defender for Endpoint(MDE)エージェントを活用してMicrosoft SSEを通じてトラフィックをルーティングします。
なぜこれが大きなニュースか: 組織がすでにiOSデバイスにMDEをデプロイしている場合—そしてセキュリティ意識の高い組織のほとんどはそうしています—GSAの有効化はデプロイプロジェクトではなく構成変更です。これはモバイルワークフォース向けのSSE採用のハードルを劇的に下げます。
リモートネットワーク向けのGSA Cloud Firewall(GA)
リモートネットワーク(GSA経由で接続されたブランチオフィス)は、5タプルフィルタリング(送信元IP、宛先IP、プロトコル、送信元ポート、宛先ポート)を持つクラウドベースのファイアウォールを使用できるようになりました。これはブランチオフィスから取得されたすべてのインターネットトラフィックに適用されます。
アーキテクチャの注意: これにより組織はブランチオフィス向けのオンプレミスファイアウォールアプライアンスを、MicrosoftのSSEを通じたクラウドネイティブなフィルタリングで置換または拡張できます。数十または数百の小さなブランチロケーションを持つ組織にとって、これは意味のあるコストと複雑さの削減の機会です。
ファイルタイプに基づくネットワークコンテンツフィルタリング(GA)
管理者はファイルタイプに基づいてGenAIとSaaSアプリケーションへのネットワーク全体のファイル転送を監視および制御できるようになりました。これはAIツールを通じたデータ持ち出しという新興リスクをターゲットにします—従業員が機密文書をChatGPT、Gemini、または他のLLMプラットフォームにアップロードすること。
緊急度: 高。シャドーAIの使用はエンタープライズ環境で最も急速に成長するデータ損失ベクターの1つです。このケイパビリティはエンドポイントコントロールが不十分な場合にネットワークレイヤーのコントロールを提供します。
ガバナンス:強制と透明性の改善
すべてのPIMアクティベーションでConditional Accessポリシーを強制(GA)
PIMはすべてのロールアクティベーションでConditional Accessの再認証(MFAを含む)を要求できるようになりました。これはユーザーのセッションがまだ有効な場合にPIMアクティベーションがCAポリシーをバイパスできた長年のギャップを閉じます。
コンプライアンスの影響: SOX、PCI-DSS、またはFedRAMPの対象となる組織にとって、これは重要なコントロールの改善です。すべての特権昇格が初期セッションだけでなく完全な認証保証を通過するようになります。
My Access承認者可視性(GA)
リクエスターはMy Accessポータルで保留中のアクセスパッケージリクエストの承認者が誰かを見られます。これはメンバーにはデフォルトで有効です。
ガバナンスの利益: エンタイトルメント管理でボトルネックを作る「誰がこれを承認する必要があるか?」の混乱を削減します。承認チェーンを透明にすることで監査証跡を改善します。
ライセンス使用ページ(GA)
Entra管理センターの新しいライセンス使用ページは、機能の採用(Conditional Access、リスクベースポリシーなど)にマッピングされたP1、P2、Entra Suiteライセンスが所有対使用されている数の可視性を、6ヶ月のトレンドとともに提供します。
コスト最適化: 多くの組織がEntra IDを過剰ライセンスしています。このページは調達チームに適正化に必要なデータを提供します。また、誰も実際に使用していない高価なP2機能の活用不足も表面化します。
プラットフォーム:構成可能なトークンライフタイムポリシー(GA)
アクセストークン、IDトークン、SAMLトークンのトークンライフタイムポリシーが一般提供されました。管理者はポリシーを作成し、アプリケーションとサービスプリンシパルに割り当てできます。
セキュリティのトレードオフ: より短いトークンライフタイムはセキュリティ態勢を改善しますが、長時間実行の操作を持つアプリケーションを壊す可能性があります。より長いライフタイムは再認証の頻度を削減しますがトークン盗難のリスクを増加させます。この機能のGAリリースはMicrosoftがそれを本番対応と見なすことを意味し、組織はそれに応じてトークンライフタイム戦略を策定すべきです。
推奨アプローチ: 高リスクアプリケーションにはより短いライフタイムから始め、信頼されたファーストパーティアプリにはより長いライフタイムを使用します。ロールアウト中にトークン関連の障害についてサインインログを監視します。
組織がすべきこと
CBA CAスコーピングを有効化 — 複数のPKI階層を維持している場合。これは意味のあるセキュリティROIを持つ迅速な構成改善です。
システム推奨MFAメソッドの順序をレビュー。 CBAがiOSでポジション3になったので、認証メソッドポリシーが希望の優先順位を反映していることを確認してください。
ブランチオフィス向けのGSAクラウドファイアウォールを評価。 小規模から中規模のリモートサイトがある場合、ハードウェアコストと運用の複雑さを削減できる可能性があります。
GenAIファイルアップロードのネットワークコンテンツフィルタリングを有効化。 これはこのリリースで最も簡単なクイックウィンです—次のセキュリティ監査の前に構成してください。
PIMアクティベーション設定をレビュー。 PIMアクティベーションでのConditional Access再認証の有効化は特権ロール管理の高優先事項にすべきです。
Entra IDライセンスを監査。 更新前に過剰ライセンスまたは活用不足のサブスクリプションを特定するために新しいライセンス使用ページを使用してください。
トークンライフタイムポリシー戦略を策定。 カスタムトークンライフタイムを必要とするアプリケーションをドキュメント化し、最初は非本番環境で新しいポリシーをテストしてください。
変わっていないこと
いくつかの重要なことは同じままです:
- Entra Connect Sync → Cloud Sync移行タイムラインは発表通り:通知は2026年7月に開始、段階的ロールアウト。
- SCIMモダン認証はまだ強制ではなく変更の計画。期限はM365 Message Centerを通じて通信されます。
- SAP SuccessFactorsワークロードアイデンティティ移行は2026年5月から利用可能ですが、まだ必須ではありません。SAPの基本認証非推奨の期限は2026年11月です。
- MIM 2016 SP3はサポートされていますが、前進する道ではなく—Microsoftの長期方向は引き続きクラウドネイティブなアイデンティティ管理です。
大きな絵
この4月のGAウェーブはMicrosoftのEntra ID戦略について重要なことを教えてくれます:Microsoftはアイデンティティとネットワークアクセスのスタックを統合セキュリティプラットフォームに収束させています。
CBAアナウンスは認証—基盤レイヤー—をできるだけフィッシング耐性にします。GSAアナウンスはそのアイデンティティ基盤の上にネットワークレイヤーを構築します。ガバナンスアナウンスは両方のレイヤーが監査可能で強制可能であることを保証します。
これがZero Trustモデルの論理的な結論です:すべての認証を検証し、すべてのアクセス決定を強制し、すべての変更を監査します。Microsoftはそのビジョンを運用可能にするインフラを提供しています。
理論では「パスワードレスに向かう」が実践ではなかった組織にとって、このウェーブは前進するためのツールを提供します。SSE/SASEアーキテクチャに投資する組織にとって、EntraのGAマイルストーンはMicrosoftをそのスペースでより信頼できるプロバイダーにします。
Microsoft Entra IDの変更のナビゲートに支援が必要ですか?
Big Hat Groupは組織がMicrosoft Entra ID環境を設計、デプロイ、管理するのを支援します—認証戦略からガバナンス自動化、SSEアーキテクチャまで。チームがこれらの4月のアナウンスのいずれかについてガイダンスを必要とする場合、お手伝いできます。
Entra IDロードマップに関する相談はBig Hat Groupにお問い合わせください。
Big Hat Groupはアイデンティティセキュリティ、Microsoft Entra ID、モダンエンドポイント管理を専門とするMicrosoftパートナーです。