2026 年 4 月对 Microsoft Entra ID 而言是一个重要的月份,有十一项功能围绕三大战略支柱达到正式发布:基于证书的身份验证、Global Secure Access 和身份治理。这不仅是常规更新——这是一组协调一致的发布,预示了 Microsoft 在未来 12-18 个月将把身份和安全平台带向何方。
以下是变更内容、其意义,以及你的组织应该采取什么行动。
三大战略支柱
这十一项发布围绕三个清晰的关注领域聚集:
1. 基于证书的身份验证——无密码走向现实
Microsoft 在 4 月做出了三项 CBA 举措,集体将其从小众能力转变为主流身份验证策略:
- CBA 成为 iOS 上第三种系统首选 MFA 选项——CBA 现在在 iOS 的系统首选 MFA 方法列表中排名第三,位于生物识别和硬件令牌之后,但在密码之前。这意味着拥有 CBA 证书的用户获得简化的、无密码和无 MFA 提示的体验。
- 证书颁发机构作用域——租户管理员现在可以将特定 CA 限制到已定义的用户组。这实现了细粒度策略执行:临床员工从内部 CA 获得证书,承包商使用外部颁发者。
- Issuer Hints——用户被提示仅选择对其组织受信任且有效的证书,减少登录混淆和证书选择错误。
影响: CBA 已跨越企业大规模部署的成熟度门槛。如果你的组织一直在试点或考虑 CBA,2026 年 4 月消除了最后的有意义障碍——更好的移动支持、CA 级粒度和改进的 UX。
2. Global Secure Access——SSE 平台成熟
三项 GSA 功能达到 GA,证实 Microsoft 在认真争夺安全服务边缘(SSE)市场:
- GSA iOS 客户端——现已 GA,利用现有的 Microsoft Defender for Endpoint (MDE) 将流量通过 Microsoft SSE 路由,用于 Microsoft 365、互联网和私有访问。无需新代理。
- 按文件类型的网络内容过滤——监控和控制到 GenAI 和 SaaS 应用的文件传输,在网络层防止未经授权的数据外泄。
- 用于远程网络的 GSA Cloud Firewall——对通过 GSA 远程网络来自分支办公室的所有互联网流量进行 5 元组过滤(源 IP、目的 IP、协议、源端口、目的端口)。
影响: GSA 正在成为 Zscaler 和 Netskope 等独立 SSE 解决方案的真实替代。iOS 客户端消除了最后一个主要端点缺口,网络层控制解决了让安全团队夜不能寐的 GenAI 数据泄露问题。
3. 身份治理——可见性、强制执行与透明度
四项发布加强了 Microsoft 的身份治理故事:
- My Access 审批者可见性——请求者现在可以在 My Access 门户中看到审批者姓名和电子邮件地址,消除了权益管理工作流中"谁批准了这个?“的模糊性。
- 每次 PIM 激活时的条件访问——在 PIM 角色激活时强制执行 CA 策略(如 MFA)现已 GA。这弥合了最敏感的访问授权可能绕过常规身份验证要求的缺口。
- 许可证使用页面——一个新仪表板,显示映射到许可证类型(P1、P2、Suite)的功能使用情况,帮助组织准确了解他们正在使用哪些功能以及是否过度许可。
- 可配置的令牌生命周期策略——在应用或服务主体级别自定义访问令牌、ID 令牌和 SAML 令牌的生命周期。
影响: 这些是带合规意义的运营效率提升。PIM + CA 强制执行尤为重要——在受监管行业,每次特权访问授予都应通过与任何其他登录相同的身份验证控制。
4. 额外:社交身份提供商 + Entra External ID
通过 Native Authentication SDK 在 Entra External ID 中添加 Google、Facebook 和 Apple 作为社交身份提供商,完善了面向客户的身份故事。对于 B2C 和 B2B 客户门户,这消除了账户创建的摩擦。
组织应该做什么
即时行动(本月)
- 启用 My Access 审批者可见性——对成员默认开启。推出无需操作,但如果要为来宾场景禁用,请审查你的访问包配置。
- 审查 CBA 就绪状态——如果你有支持证书的 PKI 和设备,开始规划 CBA 试点。CA 作用域功能意味着你可以将 CBA 部署到特定用户组而无需组织范围的承诺。
- 测试 GSA iOS 客户端——如果你使用 MDE 并有访问公司资源的 iOS 用户,在测试组中验证 GSA iOS 客户端。
战略行动(本季度)
- 在 PIM 激活时强制执行 CA——这是影响最大的治理变更。为 PIM 激活角色配置条件访问策略——从 Tier 0(全局管理员)角色开始并扩展。
- 评估令牌生命周期策略——根据安全要求审查当前令牌生命周期默认值。可配置的策略让你收紧敏感应用的访问令牌,同时为低风险工作负载保持流畅的用户体验。
- 审计许可证使用——使用新的许可证使用页面识别未充分利用的 Entra ID P2 或 Suite 许可证并调整你的租户规模。
长期行动(未来 6-12 个月)
- 制定你的 CBA 推出策略——随着 CA 作用域、issuer hints 和 iOS 支持全部 GA,CBA 已生产就绪。规划与你的硬件证书基础设施对齐的分阶段推出。
- 评估 GSA 作为 SSE 替代——如果你在续订时评估 SSE 供应商,将 GSA 纳入比较。与 MDE 和原生 Entra ID 条件访问的紧密集成是一个有意义的架构优势。
什么没有改变
- 基本身份验证退役时间表保持不变(2026 年 11 月针对 SAP SuccessFactors)。
- Entra Connect Sync 生命周期终止规划仍处于早期通知阶段(2026 年 7 月+)。
- 现有 CBA 部署模式继续工作——无破坏性变更。
更大的图景
纵观这十一项发布,一个清晰的模式浮现:Microsoft 正在构建一个集成身份 + 网络 + 治理平台,而非独立产品。CBA 连接身份验证层。GSA 连接网络层。PIM + CA 强制执行连接治理层。令牌生命周期和许可证使用功能连接运营层。
这就是 Entra ID 作为平台而非仅仅是目录服务背后的架构愿景。对于已投资于 Microsoft 生态系统的组织,整合效益显著——更少的点产品、更紧密的集成,以及一个用于身份安全的单一控制平面。
需要帮助应对 Microsoft Entra ID 变更?
Big Hat Group 帮助组织设计、部署和管理 Microsoft Entra ID 环境。无论你是在规划 CBA 推出、评估 Global Secure Access,还是优化 Entra ID 许可,我们都能提供帮助。
Big Hat Group 是一家专注于身份安全、Microsoft Entra ID 和现代端点管理的 Microsoft 合作伙伴。