Microsoftは2026年6月に11のEntra ID更新をリリースしました。トレンドは明確です:Microsoftはレジリエンスをアイデンティティプラットフォーム自体に組み込み、ゼロトラストをAIエージェントに拡張し、長年存在していたセキュリティギャップを埋めています。
各更新の内容、なぜ重要か、そして組織が取るべきアクションを解説します。
1. Entraバックアップと復旧が利用可能に(GA)
これがヘッドラインです。Microsoft Entraバックアップと復旧は、重要なディレクトリオブジェクトを自動的にバックアップし、管理者が既知の良好な状態に復元できる組み込みソリューションです。デフォルトで常にオンです。
バックアップ対象: ユーザー、グループ、アプリケーション、サービスプリンシパル、マネージドアイデンティティ、条件アクセスポリシー、名前付きロケーション、エージェントID、および認証・承認ポリシー。
仕組み: システムは1日1回バックアップを実行し、7日間保持します(Entra ID P1またはP2ライセンスが必要)。管理者は利用可能なスナップショットを表示、差分レポートを生成して変更内容を把握、復旧ジョブを実行して個別オブジェクトまたはオブジェクトセットを復元できます。
重要性: Entra IDには長年、個別ユーザーとグループのゴミ箱式復旧機能がありましたが、条件アクセスポリシー、認証方法設定、アプリケーション登録をスナップショットして復元するネイティブな方法はありませんでした。管理者が誤って(または悪意を持って)組織全体のサインインを壊すCAポリシーを変更した場合、復旧は監査ログからの手動再構築を意味しました。この機能がそのギャップを埋めます。
アクション: P1/P2ライセンスが必要な保持期間をカバーしているか確認してください。Entra管理センターのバックアップと復旧ブレードを確認してください。復旧手順をインシデント対応ランブックに組み込んでください。
2. AIエージェントユーザーアカウントの条件アクセス保護(パブリックプレビュー)
条件アクセスが、ユーザーアカウントを持つAIエージェントを保護するためのより広範な制御を提供するようになりました。管理者はカスタムセキュリティ属性を使用してエージェントユーザーアカウントをより正確にターゲットし、エージェントリスクに基づいてポリシーを適用し、準拠デバイス(Windows 365 for Agentsを含む)を要求し、デバイスプラットフォームとネットワーク条件を強制できます。
重要性: AIエージェントは企業環境で急増しており、ほとんどのIAMプラットフォームはそれらを汎用サービスプリンシパルとして扱っています。MicrosoftはエージェントをEntra IDのファーストクラスアイデンティティにし、専用の制御を提供しています:属性ベースのターゲティング、リスクベースのポリシー実行、クラウドホストエージェントワークロード向けデバイスコンプライアンス要件。
アクション: テナントで実行されているAIエージェントをインベントリしてください。カスタムセキュリティ属性でタグ付けしてください(エージェントタイプ、環境、スポンサーチーム)。テストエージェントグループにスコープしたパイロットCAポリシーを構築し、広範なロールアウト前に制御を評価してください。
3. Entra登録によるWindowsクライアントBYODサポート(GA)
Entra登録デバイスを使用したWindowsクライアントのBYOD(Bring Your Own Device)サポートが一般提供されました。ユーザーとパートナーは自分のデバイスから企業リソースにアクセスできます。管理者は内部アカウントユーザー(内部ゲストユーザーを含む)にプライベートアプリケーショントラフィックプロファイルを割り当てることができます。
重要性: これにより、WindowsデバイスがGlobal Secure Accessを通じて企業リソースにアクセスするためにドメイン参加が必要だった以前の要件が削除されました。個人WindowsデバイスはEntra IDに登録し、完全なデバイス管理なしでGSAトラフィックプロファイルを通じて制御されたアクセスを取得できます。Entraアイデンティティに直接結び付けられたゼロトラストネットワークアクセスの有意義な拡張です。
アクション: BYODポリシーを見直してください。BYODユーザーに適切なトラフィックプロファイル(SaaS、M365、またはプライベートアクセス)を決定してください。デバイスコンプライアンスとCAポリシーを更新して登録デバイス状態に対応してください。
4. Microsoft Authenticatorの脱獄/Root検出(GA)
Microsoft Authenticatorに仕事または学校アカウントの脱獄/Root検出が追加されました。Root化または脱獄されたデバイスのユーザーは、Authenticatorアプリで仕事または学校アカウントを追加/使用できなくなります。この機能はデフォルトで安全であり、管理者の設定は不要です。
重要性: 侵害されたデバイスは長年MFAの弱点でした。脱獄デバイスでAuthenticatorをブロックすることで、Microsoftは攻撃者がデバイスをRoot化してMFA承認を傍受したり認証トークンを抽出したりする現実の攻撃ベクトルを排除しました。
アクション: この変更をヘルプデスクに通知してください。Root化デバイスが一般的な地域では、一部のユーザーがコンプライアンス対応デバイスへの移行をサポートが必要な場合があります。ロールアウト後にサポートチケットの傾向を監視してください。
5. SOCアイデンティティレスポンダーロール(パブリックプレビュー)
6月8日から、Microsoftは新しい組み込みロールを導入しました:SOCアイデンティティレスポンダー。このロールにより、SOCアナリストは幅広いディレクトリ管理権限を付与することなく、アイデンティティ封じ込めアクション(ユーザーの無効化、セッションの取り消し、パスワードリセットの強制)を実行できます。ロール割り当て可能グループとPIM統合をサポートし、ジャストインタイム激活が可能です。
重要性: 以前は、SOCアナリストは複数の高権限Entraロールを保持するか、調査中にアイデンティティ管理者に依存する必要があり、遅延が発生していました。このロールはSOCチームに専用のスコープされた応答能力を提供し、完全な監査証跡とMicrosoft Defenderとの直接統合を備えています。
アクション: SOCアイデンティティレスポンダーロールをPIM適格モデルに追加してください。どのSOCチームメンバーが適格であるべきかを定義してください。インシデント対応プレイブックを更新して、このロールをアイデンティティ封じ込めアクションに使用してください。
6. ワークフォース向けドメインレスSAML IdPフェデレーション(GA)
ドメインレスSAMLフェデレーションにより、外部ユーザーはメールドメインに関係なく、IdP管理の資格情報を使用して認証できます。サインインまたは招待引き換え時に、ユーザーのメールと事前設定されたIdPドメイン間のドメインマッチングが不要になりました。
重要性: 従来のSAMLフェデレーションでは、ユーザーのメールドメインが設定されたIdPドメインと一致する必要がありました。これは合併・買収、マルチブランド組織、および請負業者が共有または無関係のIdPからのアイデンティティを使用するシナリオで摩擦を生んでいました。ドメインレスフェデレーションはドメインではなくSAMLアサーション自体に信頼を置いています。
アクション: ドメインマッチングが障害となっていたB2Bシナリオがある場合、ドメインレスフェデレーションを評価してください。このモデルから恩恵を受けるパートナーIdPをマッピングしてください。
7. 米国政府クラウドのSCIM 2.0 API(GA)
SCIM 2.0 APIが米国政府クラウドで一般提供されるようになり、SCIM(Cross-domain Identity Management)2.0仕様を使用してMicrosoft Entraのユーザーとグループを管理する標準ベースのオプションが提供されます。
重要性: 米国政府テナント(GCC、GCC High、DoD)は歴史的にAPIパリティで商用Entraに遅れていました。SCIM 2.0の可用性により、政府顧客は商用テナントと同じ標準ベースのプロビジョニング統合を使用でき、カスタム開発を削減しコンプライアンス態勢を改善できます。
アクション: 政府クラウドで運用している場合、現在のプロビジョニング統合を監査してください。可能な場合は、カスタムまたはレガシーコネクタをSCIM 2.0に置き換えてください。
8. Entra Cloud SyncのADグループ強制(パブリックプレビュー)
管理者は特定のADグループを指定し、そのグループへの変更がEntraプロビジョニングサービスを通じてのみ行えるようにできます。Entra外で行われた変更はブロックされ、Entra IDとADグループ間のドリフトを防止します。
重要性: ハイブリッド環境では、ADグループへの手動変更がアクセス制御を破壊する設定ドリフトを作成することがよくあります。指定グループがEntra Cloud Syncを通じてのみ変更できるよう強制することで、Microsoftはグループメンバーシップの整合性を確保し、アクセスドリフトのリスクを削減します。
アクション: Entra権威管理すべきADグループを特定してください。それらに強制を設定してください。現在ADでこれらのグループを直接変更しているチームにこの変更を通知してください。
9. 外部ユーザーのアクセスパッケージへの直接割り当て(GA)
Entitlement Management管理者は、ディレクトリにいない外部ユーザーをユーザーのメールを使用してアクセスパッケージに直接割り当てることができます。ユーザーはゲストユーザーとしてテナントに招待され、Entra ID Governanceによって管理されます。
重要性: 以前は、外部ユーザーはアクセスパッケージを取得するために完全なリクエストフローを行う必要がありました。管理者が直接外部ユーザーを割り当てできるようになり、初日から既知のアクセスが必要な請負業者、パートナー、コンサルタントのオンボーディングに特に有用です。
アクション: 外部ユーザーオンボーディング手順を更新し、適切な場合に直接割り当てを使用してください。ガバナンスゲスト請求メーターコンプライアンスを理解していることを確認してください。
10. Kerberosキーローテーション信頼性の改善(GA)
着信トラストリファラルフロー向けのKerberosキーローテーション信頼性が改善されました。更新は検証ロジックを強化し、プライマリおよびセカンダリKerberosキーの両方で復号を試行し、ローテーションイベント中の認証中断を削減します。
重要性: Entra Kerberosは、従来のADインフラストラクチャなしで、クラウド専用アイデンティティがAzureファイル共有とAzure仮想デスクトップにアクセスできるようにします。この更新は、リファラルチケットがセカンダリキーで暗号化された場合にキーローテーション中に認証が失敗する現実の信頼性の問題を排除します。
アクション: Entra Kerberosを使用している場合、キーローテーションスケジュールを確認してください。この更新は透過的で設定変更は不要です。
11. iOSパスキー復元の改善(近日公開—2026年8月)
2026年8月から、iOS上のデバイスバインドAuthenticatorアプリパスキーの復元体験が改善されます。iCloudキーチェーンバックアップを有効にしているユーザーは自動的に恩恵を受け、新iOSデバイスでの復元フローは古いデバイスへのアクセスの有無に基づいて合理化されます。
重要性: アカウントロックアウトの恐れは、パスキー採用の主要な障壁の一つです。ユーザーが新しい携帯電話に交換したときにアクセスを失うことを心配する場合、パスキーの登録を抵抗します。スムーズな復元体験は、大規模なパスワードレスロールアウトに不可欠です。
アクション: パスキーのロールアウトを計画または実行している場合、8月の更新に合わせてコミュニケーションを計画してください。復元体験が改善されていることをユーザーに伝えてください。Androidサポートは後に続きます。
より大きな展望
2026年6月の更新波は、Entra IDの3つの戦略的方向性を強化しています:
レジリエンスをプラットフォーム機能として。 バックアップと復旧、ADグループ強制、Kerberosキーローテーション改善はすべて、設定ドリフト、偶発的な変更、運用中断のリスクを削減します。Microsoftはサードパーティツールに任せるのではなく、セーフティネットをアイデンティティプラットフォーム自体に組み込んでいます。
AIエージェントをファーストクラスアイデンティティとして。 エージェントユーザーアカウントの条件アクセス、エージェントリスクシグナル、Windows 365 for Agentsは、Entraを企業AIのコントロールプレーンとして位置づけています。これは真の差別化要因です—ほとんどのIAM競合はまだ基本的なエージェントアイデンティティを検討している中、Microsoftはきめ細かいポリシー制御を出荷しています。
設定によるセキュリティではなく、デフォルトでのセキュリティ。 Authenticatorの脱獄検出は「デフォルトで安全であり、管理者の設定は不要。」バックアップと復旧は「デフォルトで常にオン。」Microsoftはセキュアな状態をデフォルトの状態にしようとしており、設定ミスの爆発半径を削減しています。
組織がEntra IDに投資している場合—Microsoftパートナーとして、そうすべきです—これらは今すぐロードマップに組み込むべき更新です。