Microsoftは2026年5月にEntra IDへの密度の高いアップデートの波を出荷した。年初のレガシー認証非推奨化を定義した「今すぐ行動しないと壊れる」種類の変更はないが、いくつかはMicrosoftのアイデンティティ戦略の静かな変曲点を表している。システム推奨認証は第1要素サインインにまで到達し — パスキーを持つユーザーは二度とパスワードプロンプトを見ないかもしれないことを意味する。クロステナントグループ同期がGAになり、機密ラベルがセキュリティグループに配置され、AzureロールガバナンスがEntitlement Managementに入った。各変更の意味、なぜ重要か、組織がどうすべきかを以下に示す。
システム推奨認証が第1要素へ拡張: パスワードレスが抵抗最小の経路に
今回のリリースで最大の変更は大部分が見えない — そしてそれがポイントだ。Microsoftが2025年初頭から進化させてきたシステム推奨認証は、Microsoft管理モードで第1要素(プライマリサインイン)と第2要素(MFA)の両方に適用されるようになった。システムはユーザーが登録した認証情報を評価し、各ステップで最も安全な方法を暗黙に選択する。
ランキング: Temporary Access Pass > Passkey (FIDO2) > 証明書ベース認証 > Microsoft Authenticator > 外部MFA > TOTP > テレフォニー > QRコード > パスワード。
パスキーまたはCBAを登録したユーザーにとって、パスワードプロンプトは完全に消える。第1要素サインインでフィッシング耐性のある認証情報でプロンプトされる。パスワードのみのユーザーにとって、目に見える変更はない — しかしシステムは今、より強いものを登録するのを待っている。
戦略的に重要な点: Microsoftはデフォルトを反転させている。以前は、組織がパスワードレスを能動的に構成する必要があった。今は、“Microsoft managed"状態が、パスワード画面をまったく見せないことでユーザーをより強い認証情報へ静かに推し進める。これはプラットフォームスケールでの行動設計だ。
ロールアウトは現在進行中で、2026年6月末までにすべてのMicrosoft管理テナントに到達する。組織がまだパスキーまたはCBAをデプロイしていない場合、準備するのにほぼ1か月ある — あるいは"Microsoft managed"から"Enabled"モードに切り替え、システム推奨ロジックを第2要素のみに制限する。
組織がすべきこと: 登録された認証方法を監査。CBA証明書を登録しているがすべてのデバイスで信頼できるCBA体験がないユーザーは、第1要素CBAが失敗したときサインインの壁にぶつかる — 「別の方法でサインイン」を選べるが、摩擦は実在する。デプロイを完了する間、パスキー/CBA準備ができていないユーザーのグループベース除外を検討。
クロステナントグループ同期がGAに: マルチテナント管理が大幅に容易に
クロステナントグループ同期により、組織はMicrosoft Entraテナント間でセキュリティグループを同期できる。ソーステナントがグループメンバーシップを中央で管理し、ターゲットテナントは管理オーバーヘッドを複製することなくアクセス制御にそれらのグループを消費する。
なぜ重要か: 買収、子会社構造、意図的な分離戦略を通じて複数のテナントを運営する組織にとって、境界を越えたグループ管理は手動でエラーを起こしやすいプロセスだった。この機能は既存のクロステナントユーザー同期をグループまで拡張し、グループを手動で同期させる管理コストなしに一貫したアクセス制御を可能にする。
ライセンス要件はMicrosoft Entra ID Governanceで、エンタイトルメント管理、アクセスレビュー、ライフサイクルワークフローを支えるのと同じSKUだ。これはガバナンスをプレミアムアイデンティティティアとして位置づけるMicrosoftの戦略と一貫する。
組織がすべきこと: 組織が複数のEntraテナントを運営している場合、クロステナントグループ同期を直ちに評価。テナント間の共有アプリケーションアクセスに使用される単一のセキュリティグループを対象とするパイロットで開始。マルチテナント戦略の一部としてエンタイトルメント管理のライセンスコストを計画。
セキュリティグループの機密ラベル: PurviewとEntraがついに統合
Microsoft Entra IDはパブリックプレビューでクラウドセキュリティグループにMicrosoft Purviewの機密ラベルを適用することをサポートするようになった。文書分類とMicrosoft 365グループ設定を管理するのと同じラベルが、ゲストアクセスポリシーを含むセキュリティグループの挙動を制御できるようになった。
これは見た目より大きい。 機密ラベルは情報保護の強力なツールだったが、アイデンティティガバナンスとは別のプレーンで動作した。セキュリティグループのラベルにより、組織は一貫したポリシーを強制できる: 文書上の「社外秘」ラベルが、それへのアクセスを管理するセキュリティグループ上の「社外秘」ラベルに対応できる。ラベルはデータ保護とアクセス制御の間の結合組織になる。
組織がすべきこと: 成熟したMicrosoft Purviewデプロイがある場合、セキュリティグループで機密ラベルを直ちにパイロット。既存のラベル分類をグループガバナンスポリシーにマッピング。Purviewのプラクティスをまだ構築中の場合、この機能はその作業を加速する説得力のある理由だ — 単独のアイデンティティや情報保護では達成できない統合ポリシーモデルをアンロックする。
Entitlement Management経由のAzureロールガバナンス: スケールでの最小特権
管理グループ、サブスクリプション、リソースグループレベルのAzureロールが、Entitlement Managementのアクセスパッケージを通じて管理できるようになった。これによりAzure RBACが、アプリケーションアクセス、グループメンバーシップ、SharePointサイト権限に組織が既に使用しているのと同じ要求、承認、ライフサイクルガバナンスモデルに入る。
実用的な影響: IAMブレードとPowerShellスクリプトでAzureロール割り当てを管理する代わりに、組織は承認ワークフロー、アクセスレビュー、自動期限切れ付きのAzureロールのセルフサービスアクセスパッケージを提供できる。これはAzureスケールで最小特権を運用化する重要なステップだ。
組織がすべきこと: 単一の非本番サブスクリプションでパイロットを開始。一般的に必要なAzureロール(例: ReaderやContributor)のアクセスパッケージを作成し、承認ワークフローを構成し、体験をテスト。管理グループと本番スコープに拡大する前にこれを使って内部プロセスを構築。
デバイスの論理削除: 誤削除のセーフティネット
パブリックプレビューのデバイス論理削除は、削除されたデバイスオブジェクトを完全に削除する代わりに回復可能な状態に移動する。Entra参加、登録、ハイブリッド参加のデバイスをサポートし、保持期間中にデバイスアイデンティティとセキュリティアーティファクトを保存する。
なぜこれが別個に重要か: 偶発的なデバイス削除は実損害を引き起こしてきた — 失われたデバイスアイデンティティ、壊れたAutopilotデプロイ、孤児化したデバイスレコードからのセキュリティギャップ。この機能はこれまで顕著に欠けていた回復パスを提供する。グループの論理削除とユーザーアカウント回復のデバイス管理版だ。
パスキーポリシーの拡張も5月に到着: FIDO2パスキーポリシーは(共有認証方法プールとは別の)専用の20-KB割り当てを持ち、テナントあたりの最大パスキープロファイル数が3から10に増加。これはパスワードレス推進を直接サポートする — 古いポリシー制限はきめ細かいパスキーデプロイを望む組織にとって現実の制約だった。
変わっていないこと
Microsoftが今月発表しなかったことに注意が必要。新しい破壊的変更や非推奨化の日付はなかった。年初からの主要な執行期限 — レガシー認証の非推奨化、Azureの必須MFA、Connect Syncセキュリティ強化(6月1日)、OnPremisesObjectIdentifierのConnect強化(7月1日) — は順調だがエスカレートされなかった。ConnectからCloud Syncへの移行タイムラインは、初期通知で2026年7月のままで、執行ではない。これは2026年で「What’s New」ページが完全に追加的な最初の月だ — 年初の混乱をまだ処理中のITチームにとって歓迎される休息だ。
より大きな絵図
2026年5月のアップデートは、Microsoftが次の12か月でEntra IDをどこへ向かわせているかを示している:
パスワードレスは目標ではなくデフォルト。 システム推奨の第1要素、パスキー登録キャンペーン、拡張ポリシーストレージ、自動有効化パスキープロファイルはすべて一方向を指す: Microsoftは組織がパスワードレスを望むかどうかを問うのをやめた。プラットフォームはパスワードレスを前提として設計されており、パスワードファースト認証は最大抵抗の経路になる。
ガバナンスが統合している。 セキュリティグループの機密ラベルとEntitlement ManagementのAzureロールは同じ戦略的プッシュの2つの前面だ: 情報保護、アイデンティティガバナンス、クラウドリソース管理が単一ポリシープレーンで動作するようにガバナンスモデルを統一する。Microsoftは単一のアクセスパッケージがグループメンバーシップ、Azure RBAC、アプリケーションアクセスを — 一貫した承認、レビュー、期限切れで — 管理できる世界に向かって構築している。
AIエージェントアイデンティティがインフラになった。 Agent IDプラットフォーム(4月にGA)、エージェント向けのConditional Access、エージェントレジストリ、そしてLifecycle Workflowsのスポンサーシップライフサイクル管理は、MicrosoftがAIエージェントを完全なライフサイクルガバナンスを持つ第一級のアイデンティティプリンシパルとして扱っていることを意味する。組織がAIエージェントをデプロイしている — または計画している — 場合、それらを管理するアイデンティティインフラは今利用可能だ。
External IDは本番利用可能になった。 Azure AD B2Cからの大規模移行向けのHSCモード、パスキーサポート、ワークフォースアイデンティティフェデレーションはすべて、Entra External IDが成熟したことをシグナルする。顧客向けアイデンティティプラットフォームを持つ組織は移行計画を開始すべきだ。
Microsoft Entra IDの変更のナビゲートに支援が必要ですか?
Big Hat Groupは組織がMicrosoft Entra ID環境を設計、デプロイ、管理するのを支援する — パスワードレス認証のロールアウトからマルチテナントガバナンス、アイデンティティセキュリティ、AIエージェントアイデンティティ戦略まで。これらの変更がロードマップにどう影響するかについては、お問い合わせください。
Big Hat Groupはアイデンティティセキュリティ、Microsoft Entra ID、モダンエンドポイント管理を専門とするMicrosoftパートナーです。