Microsoft는 2026년 6월에 11개의 Entra ID 업데이트를 출시했습니다. 추세는 명확합니다: Microsoft는 복원력을 ID 플랫폼 자체에 구축하고, 제로 트러스트를 AI 에이전트로 확장하며, 수년간 존재해 온 보안 격차를 해소하고 있습니다.

각 업데이트의 내용, 중요성, 그리고 조직이 취해야 할 조치를 분석합니다.


1. Entra 백업 및 복구 일반 가용성 (GA)

이것이 헤드라인입니다. Microsoft Entra 백업 및 복구는 중요한 디렉터리 개체를 자동으로 백업하고 관리자가 이전의 알려진 양호한 상태로 복원할 수 있는 내장 솔루션입니다. 기본적으로 항상 활성화되어 있습니다.

백업 대상: 사용자, 그룹, 애플리케이션, 서비스 주체, 관리 ID, 조건부 액세스 정책, 명명된 위치, 에이전트 ID, 인증 및 권한 부여 정책.

작동 방식: 시스템은 하루에 한 번 백업을 수행하고 7일간 보관합니다(Entra ID P1 또는 P2 라이선스 필요). 관리자는 사용 가능한 스냅샷을 보고, 변경 사항을 파악하기 위한 차이 보고서를 생성하고, 복구 작업을 실행하여 개별 개체 또는 개체 집합을 복원할 수 있습니다.

중요성: Entra ID에는 수년간 개별 사용자 및 그룹에 대한 휴지통 복구 기능이 있었지만, 조건부 액세스 정책, 인증 방법 구성 또는 애플리케이션 등록을 스냅샷하고 복원하는 네이티브 방법이 없었습니다. 관리자가 실수로(또는 악의적으로) 전체 조직의 로그인을 중단시키는 CA 정책을 수정한 경우, 복구는 감사 로그에서 수동 재구성을 의미했습니다. 이 기능이 그 격차를 메웁니다.

조치 사항: P1/P2 라이선스가 필요한 보존 기간을 충족하는지 확인하세요. Entra 관리 센터의 백업 및 복구 블레이드를 검토하세요. 복구 절차를 인시던트 대응 런북에 포함하세요.


2. AI 에이전트 사용자 계정을 위한 조건부 액세스 보호 (공개 미리 보기)

조건부 액세스는 이제 사용자 계정을 가진 AI 에이전트를 보호하기 위한 더 광범위한 제어를 제공합니다. 관리자는 사용자 지정 보안 속성을 사용하여 에이전트 사용자 계정을 더 정확하게 타겟팅하고, 에이전트 위험에 따라 정책을 적용하고, 규정 준수 디바이스(Windows 365 for Agents 포함)를 요구하고, 디바이스 플랫폼 및 네트워크 조건을 적용할 수 있습니다.

중요성: AI 에이전트는 엔터프라이즈 환경에서 급증하고 있으며, 대부분의 IAM 플랫폼은 이를 일반 서비스 주체로 취급합니다. Microsoft는 에이전트를 Entra ID의 일급 ID로 만들고 전용 제어를 제공합니다: 속성 기반 타겟팅, 위험 기반 정책 적용, 클라우드 호스팅 에이전트 워크로드를 위한 디바이스 규정 준수 요구 사항.

조치 사항: 테넌트에서 실행 중인 AI 에이전트를 인벤토리하세요. 사용자 지정 보안 속성으로 태그 지정하세요(에이전트 유형, 환경, 스폰서 팀). 테스트 에이전트 그룹으로 범위가 지정된 파일럿 CA 정책을 구축하여 광범위한 롤아웃 전에 제어를 평가하세요.


3. Entra 등록을 통한 Windows 클라이언트 BYOD 지원 (GA)

Entra 등록 디바이스를 사용한 Windows 클라이언트의 BYOD(Bring Your Own Device) 지원이 일반적으로 제공됩니다. 사용자와 파트너는 자신의 디바이스에서 회사 리소스에 액세스할 수 있습니다. 관리자는 내부 계정 사용자(내부 게스트 사용자 포함)에게 개인 애플리케이션 트래픽 프로필을 할당할 수 있습니다.

중요성: 이는 Windows 디바이스가 Global Secure Access를 통해 회사 리소스에 액세스하기 위해 도메인 가입이 필요했던 이전 요구 사항을 제거합니다. 개인 Windows 디바이스는 이제 Entra ID에 등록하고 전체 디바이스 관리 없이 GSA 트래픽 프로필을 통해 제어된 액세스를 얻을 수 있습니다. Entra ID에 직접 연결된 제로 트러스트 네트워크 액세스의 의미 있는 확장입니다.

조치 사항: BYOD 정책을 검토하세요. BYOD 사용자에게 적절한 트래픽 프로필(SaaS, M365 또는 Private Access)을 결정하세요. 등록된 디바이스 상태를 반영하도록 디바이스 규정 준수 및 CA 정책을 업데이트하세요.


4. Microsoft Authenticator 탈옥/Root 감지 (GA)

Microsoft Authenticator는 이제 직장 또는 학교 계정에 대한 탈옥/Root 감지를 포함합니다. Root 또는 탈옉된 디바이스의 사용자는 Authenticator 앱에서 직장 또는 학교 계정을 추가/사용할 수 없습니다. 이 기능은 기본적으로 안안하며 관리자 구성이 필요하지 않습니다.

중요성: 손상된 디바이스는 수년간 MFA의 취약점이었습니다. 탈옉된 디바이스에서 Authenticator를 차단함으로써, Microsoft는 공격자가 디바이스를 Root화하여 MFA 승인을 가로채거나 인증 토큰을 추출하는 실제 공격 벡터를 제거했습니다.

조치 사항: 이 변경 사항을 헬프데스크에 전달하세요. Root화된 디바이스가 일반적인 지역에서는 일부 사용자가 규정 준수 디바이스로 전환하기 위한 지원이 필요할 수 있습니다. 롤아웃 후 지원 티켓 동향을 모니터링하세요.


5. SOC ID 응답자 역할 (공개 미리 보기)

6월 8일부터 Microsoft는 새로운 내장 역할을 도입했습니다: SOC ID 응답자. 이 역할은 SOC 분석가가 광범위한 디렉터리 관리 권한을 부여받지 않고도 ID 차단 작업(사용자 비활성화, 세션 취소, 비밀번호 재설정 강제)을 수행할 수 있게 합니다. 역할 할당 가능 그룹과 PIM 통합을 지원하여 적시 활성화가 가능합니다.

중요성: 이전에는 SOC 분석가가 여러 고권한 Entra 역할을 보유하거나 조사 중에 ID 관리자에게 의존해야 했으며, 지연이 발생했습니다. 이 역할은 SOC 팀에 전용 범위 지정 응답 기능을 제공하며, 완전한 감사 추적과 Microsoft Defender와의 직접 통합을 갖추고 있습니다.

조치 사항: SOC ID 응답자 역할을 PIM 자격 모델에 추가하세요. 어떤 SOC 팀 멤버가 자격을 가져야 하는지 정의하세요. 인시던트 대응 플레이북을 업데이트하여 이 역할을 ID 차단 작업에 사용하세요.


6. 워크포스 테넌트를 위한 도메인 없는 SAML IdP 페더레이션 (GA)

도메인 없는 SAML 페더레이션을 통해 외부 사용자는 이메일 도메인에 관계없이 IdP 관리 자격 증명을 사용하여 인증할 수 있습니다. 로그인 또는 초대 상환 중에 사용자 이메일과 사전 구성된 IdP 도메인 간의 도메인 매칭이 필요하지 않습니다.

중요성: 전통적인 SAML 페더레이션은 사용자의 이메일 도메인이 구성된 IdP 도메인과 일치해야 했습니다. 이는 합병 및 인수, 다중 브랜드 조직, 그리고 계약자가 공유 또는 관련 없는 IdP의 ID를 사용하는 시나리오에서 마찰을 일으켰습니다. 도메인 없는 페더레이션은 도메인이 아닌 SAML 어설션 자체에 신뢰를 둡니다.

조치 사항: 도메인 매칭이 장애물이었던 B2B 시나리오가 있는 경우, 도메인 없는 페더레이션을 평가하세요. 이 모델의 혜택을 받을 수 있는 파트너 IdP를 매핑하세요.


7. 미국 정부 클라우드의 SCIM 2.0 API (GA)

SCIM 2.0 API가 이제 미국 정부 클라우드에서 일반적으로 제공되며, SCIM(Cross-domain Identity Management) 2.0 사양을 사용하여 Microsoft Entra에서 사용자 및 그룹을 관리하는 표준 기반 옵션을 제공합니다.

중요성: 미국 정부 테넌트(GCC, GCC High, DoD)는 역사적으로 API 패리티에서 상용 Entra에 뒤처져 있었습니다. SCIM 2.0의 가용성은 정부 고객이 상용 테넌트와 동일한 표준 기반 프로비저닝 통합을 사용할 수 있음을 의미하며, 맞춤 개발을 줄이고 규정 준수 태세를 개선합니다.

조치 사항: 정부 클라우드에서 운영 중인 경우, 현재 프로비저닝 통합을 감사하세요. 가능한 경우 맞춤형 또는 레거시 커넥터를 SCIM 2.0으로 교체하세요.


8. Entra Cloud Sync의 AD 그룹 강제 적용 (공개 미리 보기)

관리자는 특정 AD 그룹을 지정하여 해당 그룹에 대한 수정이 Entra 프로비저닝 서비스를 통해서만 수행되도록 할 수 있습니다. Entra 외부에서 수행된 변경 사항은 차단되어 Entra ID와 AD 그룹 간의 드리프트를 방지합니다.

중요성: 하이브리드 환경에서 AD 그룹에 대한 수동 변경은 종종 액세스 제어를 손상시키는 구성 드리프트를 만듭니다. 지정된 그룹이 Entra Cloud Sync를 통해서만 수정될 수 있도록 강제함으로써, Microsoft는 그룹 멤버십 무결성을 보장하고 액세스 드리프트 위험을 줄입니다.

조치 사항: Entra 권한 관리해야 할 AD 그룹을 식별하세요. 강제 적용을 구성하세요. 현재 AD에서 이러한 그룹을 직접 수정하는 모든 팀에게 이 변경 사항을 알리세요.


9. 액세스 패키지에 직접 할당된 외부 사용자 (GA)

Entitlement Management 관리자는 사용자의 이메일을 사용하여 디렉터리에 없는 외부 사용자를 액세스 패키지에 직접 할당할 수 있습니다. 사용자는 게스트 사용자로 테넌트에 초대되고 Entra ID Governance에 의해 관리됩니다.

중요성: 이전에는 외부 사용자가 액세스 패키지를 얻기 위해 전체 요청 흐름을 거쳐야 했습니다. 이제 관리자가 외부 사용자를 직접 할당할 수 있어, 첫날부터 알려진 액세스가 필요한 계약자, 파트너 또는 컨설턴트 온보딩에 특히 유용합니다.

조치 사항: 적절한 경우 직접 할당을 사용하도록 외부 사용자 온보딩 절차를 업데이트하세요. 거버넌스 게스트 빌링 미터 규정 준수를 이해하고 있는지 확인하세요.


10. Kerberos 키 회전 신뢰성 개선 (GA)

들어오는 트러스트 참조 흐름에 대한 Kerberos 키 회전 신뢰성이 개선되었습니다. 업데이트는 기본 및 보조 Kerberos 키 모두로 복호화를 시도하도록 검증 로직을 강화하여 회전 이벤트 중 인증 중단을 줄입니다.

중요성: Entra Kerberos는 클라우드 전용 ID가 전통적인 AD 인프라 없이 Azure 파일 공유 및 Azure Virtual Desktop에 액세스할 수 있게 합니다. 이 업데이트는 키 회전 중 참조 티켓이 보조 키로 암호화된 경우 인증이 실패할 수 있는 실제 신뢰성 문제를 제거합니다.

조치 사항: Entra Kerberos를 사용하는 경우, 키 회전 일정을 확인하세요. 이 업데이트는 투명하며 구성 변경이 필요하지 않습니다.


11. iOS 패스키 복원 개선 (출시 예정 — 2026년 8월)

2026년 8월부터 iOS에서 디바이스 바인딩 Authenticator 앱 패스키에 대한 개선된 복원 경험을 볼 수 있습니다. iCloud 키체인 백업이 활성화된 사용자는 자동으로 혜택을 받으며, 새 iOS 디바이스의 복원 흐름은 이전 디바이스 액세스 가능 여부에 따라 간소화됩니다.

중요성: 계정 잠금에 대한 두려움은 패스키 채택의 주요 장벽 중 하나입니다. 사용자가 새 휴대폰으로 교체할 때 액세스를 잃을 것을 우려하면 패스키 등록을 거저합니다. 원활한 복원 경험은 대규모 패스워드 없는 롤아웃에 필수적입니다.

조치 사항: 패스키 롤아웃을 계획하거나 실행 중인 경우, 8월 업데이트에 맞춰 커뮤니케이션을 예약하세요. 복원 경험이 개선되고 있음을 사용자에게 알리세요. Android 지원은 추후 제공됩니다.


더 큰 그림

2026년 6월의 업데이트 물결은 Entra ID의 세 가지 전략적 방향을 강화합니다:

  1. 플랫폼 기능으로서의 복원력. 백업 및 복구, AD 그룹 강제 적용, Kerberos 키 회전 개선은 모두 구성 드리프트, 우발적 변경, 운영 중단의 위험을 줄입니다. Microsoft는 서드파티 도구에 맡기는 대신 안전망을 ID 플랫폼 자체에 구축하고 있습니다.

  2. 일급 ID로서의 AI 에이전트. 에이전트 사용자 계정에 대한 조건부 액세스, 에이전트 위험 신호, Windows 365 for Agents는 Entra를 엔터프라이즈 AI의 컨트롤 플레인으로 위치시킵니다. 이는 진정한 차별화 요소입니다 — 대부분의 IAM 경쟁사가 여전히 기본 에이전트 ID를 파악하는 동안 Microsoft는 세분화된 정책 제어를 출시하고 있습니다.

  3. 구성이 아닌 기본값으로 보안. Authenticator의 탈옉 감지는 “기본적으로 안전하며 관리자 구성이 필요 없습니다.” 백업 및 복구는 “기본적으로 항상 켜짐.” Microsoft는 보안 상태를 기본 상태로 만들어 구성 오류의 폭발 반경을 줄이고 있습니다.

조직이 Entra ID에 투자하고 있다면 — Microsoft 파트너로서 그래야 합니다 — 이것이 지금 로드맵에 포함해야 할 업데이트입니다.