Microsoft Entra IDのリリースのペースは鈍る気配を見せない。2026年5月の新着フィードに登場した3つの新しい発表は注目に値する — 派手だからではなく、それぞれがエンタープライズアイデンティティインフラの現実の運用上の痛みやセキュリティギャップに静かに対応するからだ。
何が変わったか、なぜ重要か、そして組織はどう対応すべきかを以下に示す。
1. Entra Connect Syncがインタラクティブな管理者認証を取得
変更点: MicrosoftはすべてのEntra Connect Sync構成変更にインタラクティブな管理者認証を導入している。セットアップウィザードでもPowerShellでも、同期設定への変更は確認されたクラウド管理者がサインインして明示的に変更を承認することを要求するようになる。
なぜ重要か: 以前は、Entra Connectサーバーへのローカル管理アクセスを持つ誰もが — Entra IDに認証することなく — 同期構成を変更できた。これには同期機能の無効化、ディレクトリ拡張属性の変更、完全なアンインストールの実施さえ含まれる。ハイブリッドアイデンティティインフラの中心に位置するプロダクトにおいて、これは重大な攻撃面だ。
新しいモデルはこれを根本から変える:
- 同期構成がクラウド認可されたアクションになる。 Entra Connectウィザードは委任された管理者トークンを使用する。PowerShellコマンドレットはインタラクティブサインインを求める。アンインストールはテナント設定を変更する前にクラウド管理者認証を要求する。
- クラウドが機能状態の信頼できる情報源になる。 クラウド管理者が行った構成決定が一貫して尊重され、オンプレミスで構成されたものとクラウドで強制されるものの間のドリフトが排除される。
- すべての構成変更がクラウドの監査証跡を残す。 変更がインタラクティブなEntra ID認証を要求するようになったため、各変更は特定の管理者アイデンティティに結びつく。
変わらないもの: 同期機能自体。実際の同期エンジン、スケジュールされた同期サイクル、エンドユーザー体験は完全に変わらず残る。これは純粋に認可モデルのアップグレードだ — より多く認証するが、一度構成されればすべて同じように動作する。
組織がすべきこと:
- Entra Connectサーバーへのローカル管理アクセスを持つ人物を監査。新しい認証モデルはオンプレミスアクセスの制御の必要性を排除しないが、第二の防御層を追加する。
- 同期構成を変更する自動化やスクリプトをレビュー。同期設定を変更するCI/CDパイプラインやスケジュールタスクは、インタラクティブ認証をサポートするように再設計する必要がある。
- ブレイクグラス管理者アカウントが、緊急時に同期変更を認可できる必要なクラウドロールを持っていることを確認。
- 利用可能になったらMicrosoft Entra管理センターから更新された.msiをダウンロード。
2. SAP SuccessFactorsプロビジョニングがワークロードアイデンティティへ移行(パブリックプレビュー)
変更点: Microsoft Entraプロビジョニングは、静的なユーザー名/パスワード認証情報の代わりに、ワークロードアイデンティティと短命のOIDCトークンを使用してSAP SuccessFactorsに認証できるようになった。
なぜ重要か: SAPはSuccessFactors APIの基本認証を2026年11月までに非推奨化すると発表した。組織がアイデンティティプロビジョニングのHRの信頼できる情報源としてSuccessFactorsを使用している場合 — Active Directory、Entra IDへの同期、属性のライトバックのいずれであれ — この移行は任意ではなく必須だ。
ワークロードアイデンティティベースの認証への移行は3つの具体的なセキュリティ改善をもたらす:
- 保存パスワードが不要に。 長期間有効なプロビジョニング認証情報は、SAP Cloud Identity Servicesを通じて発行される短命トークンに置き換えられる。パスワードローテーションスケジュールの管理も認証情報露出リスクもない。
- 標準ベースのフェデレーション認証。 接続はOpenID Connectとワークロードアイデンティティフェデレーションを使用 — Microsoftがプロビジョニングコネクタエコシステム全体に拡張している同じモデルだ。
- シームレスな移行。 既存のプロビジョニング構成は、プロビジョニングジョブを再作成または再起動せずに切り替えできる。変更は既存のプロビジョニングエクスペリエンス内の接続設定を通じて行われる。
これは3つのSuccessFactorsプロビジョニングシナリオすべてに適用される: SuccessFactorsからActive Directory、SuccessFactorsからEntra ID、EntraからSuccessFactorsのライトバック。
組織がすべきこと:
- テナント内のすべてのSAP SuccessFactorsプロビジョニング構成を直ちに特定。どのシナリオが使用されているかを文書化(ADプロビジョニング、クラウドのみ、ライトバック)。
- https://aka.ms/EntraSAPSFConnectivityGuideの詳細な構成ガイドをレビュー。
- ワークロードアイデンティティフェデレーションに必要なSAP Cloud Identity Services統合をセットアップ。
- 本番に触れる前に、プロビジョニング構成のコピーを使用して非本番環境で移行をテスト。
- 2026年11月の期限よりずっと前に本番移行をスケジュール。早期移行はリスクを減らし、問題に対処する時間を与える。
3. Connect HealthのNetBIOSテストが情報提供のみに
変更点: Entra Connect Healthの"NetBIOS Name Sysvol Connectivity resolution"テストが、警告テストから情報提供のみに再分類された。
なぜ重要か: Connect Healthダッシュボードが、無視したり無駄に調査してきたNetBIOS警告で埋め尽くされているなら、この変更はあなたのためだ。Microsoftの根拠は明快だ: NetBIOSはレガシープロトコルであり、最近のActive Directory環境のほとんどはSYSVOLアクセスでこれに依存していない。今日ではDNSベースの名前解決がこれを処理する。
再分類は警告ノイズを減らし、管理者がハイブリッドアイデンティティインフラに実際に影響する問題に集中できるようにする。
組織がすべきこと:
- ドメインコントローラがSYSVOLアクセスの主要なパスとして適切なDNSベースの名前解決を構成していることを確認。
- この特定のテストを参照するカスタム監視ダッシュボード、通知ルール、SOARプレイブックをレビューして更新。
- このテストの周りに作成したカスタム警告ルールを削除。
- アイデンティティ運用ランブックに変更を文書化。
これはMicrosoftがNetBIOS監視を完全に非推奨化するシグナルではない — テストが信号よりもノイズを多く発生しており、非クリティカルなレガシー条件で警告を出さないことがデフォルトであるべきだというシグナルだ。
変わっていないこと
- 同期エンジンの挙動。 オンプレミスActive DirectoryとEntra ID間の実際のアイデンティティ同期は以前と全く同じように動作する。
- エンドユーザーの認証フロー。 これらの発表は管理とプロビジョニングに影響し、エンドユーザーのサインインには影響しない。
- Entra Connect Syncのエンドオブライフタイムライン。 Cloud Syncへの移行に関する4月の発表は有効なまま。この管理者認証の変更は既存のConnect Syncプロダクトに適用される。
- ライセンス要件。 これらの変更に新しいライセンスは必要ない。SAP SuccessFactorsプロビジョニング機能は、既に配置されていた同じEntra ID GovernanceまたはEntra Suiteライセンスを必要とする。
より大きな絵図
これら3つの発表を一緒に見るとパターンが浮かび上がる:
Microsoftはアイデンティティインフラ管理プレーンから恒久的な認証情報と暗黙の信頼を体系的に排除している。
Entra Connect Syncの変更は、ローカルサーバーアクセスが同期構成の権限と等しいという前提を排除する。SAPの変更は長期間有効なプロビジョニング認証情報を排除する。NetBIOSテストの変更は、レガシープロトコルの健全性がデフォルトで警告を引き起こすべきだという前提を排除する。
これはMicrosoftのより広範なEntra戦略と一貫している: 認可をクラウドに移し、静的認証情報を排除し、運用ノイズを減らして管理者が本当に重要な警告に集中できるようにする。派手なシフトではないが、時間をかけてエンタープライズアイデンティティをより回復力のあるものにするインフラレベルの強化だ。
Microsoft Entra IDの変更のナビゲートに支援が必要ですか?
Big Hat Groupは組織がMicrosoft Entra ID環境を設計、デプロイ、管理するのを支援する — ハイブリッドアイデンティティのモダン化からアイデンティティガバナンス、セキュリティ強化まで。これらの変更が現在のEntra IDデプロイに関する疑問を生む場合、お問い合わせください。
Big Hat Groupはアイデンティティセキュリティ、Microsoft Entra ID、モダンエンドポイント管理を専門とするMicrosoftパートナーです。