2026 年 4 月带来了 Microsoft Entra ID 历史上最大的单月正式发布之一。十一项新功能达到 GA,涵盖无密码身份验证、网络安全、身份治理和平台基础设施。对于管理 Microsoft Entra 环境的企业 IT 团队而言,这波发布包含若干需要关注——并采取行动——的变更。
以下是变更内容、其意义,以及你的组织应该做什么。
大局:驱动本次发布的三大主题
在深入个别公告之前,值得退后一步看清叙事。这 11 项 GA 发布围绕三大战略主题聚集:
防钓鱼身份验证不再是可选项。 Microsoft 正在大力投资基于证书的身份验证(CBA)——十一项公告中有三项直接扩展 CBA 能力。这与行业向 FIDO2、passkey 和基于证书的 MFA 推进的广泛趋势一致,组织正摆脱 SMS 和 TOTP。
安全服务边缘(SSE)正在成为现实。 Global Secure Access (GSA) 随云防火墙、iOS 客户端和网络内容过滤达到 GA 迈向新成熟度。Microsoft 正将 Entra Internet Access 和 Private Access 与 Defender for Cloud Apps 一起定位为核心 SSE 支柱。
治理控制正在收紧。 PIM 激活现在可以要求条件访问重新身份验证。许可证使用可见性意味着更好的成本管理。My Access 中的审批者透明度改善了审计追踪。这些都是对合规和运营安全有重大影响的小变更。
身份验证:三项 CBA 公告加倍押注无密码
Entra CBA 成为系统首选 MFA 方法中的第三选项
最具运营意义的身份验证变更是 CBA 在 iOS 上系统首选 MFA 方法顺序中移动到第三位。Microsoft 解决了之前将 CBA 降至最低优先级的 iOS 平台问题。使用证书的原生 iOS 登录现在避免了不必要的密码和 MFA 提示。
为什么这重要: 部署了 CBA 证书但发现用户仍被推向基于应用的 MFA 或 SMS 的组织将在登录体验上看到实质性改善。拥有有效证书的用户将被提示首先使用它们,减少摩擦并提高防钓鱼方法的采用率。
Entra CBA 证书颁发机构(CA)作用域
管理员现在可以将特定证书颁发机构限制到已定义的用户组。这意味着组织可以为高管、承包商和标准用户从不同 CA 颁发 CBA 证书——并强制执行哪些证书可以验证谁的身份。
安全影响: CA 作用域限制了爆炸半径。如果某个 CA 被攻破,只有分配给该 CA 的用户组受影响。这是一项纵深防御改进,拥有多个 PKI 层级的企业应优先实施。
Microsoft Entra CBA 的 Issuer Hints
当用户设备上有多个证书时,issuer hints 确保他们被提示仅选择其组织信任的证书。这减少了登录错误和混淆,尤其是在同时有个人和企业证书的设备上。
实际意义: 这是一项生活质量改进,但生活质量对安全采用很重要。用户用证书进行身份验证时遇到的障碍越少,你的团队要处理的帮助台电话和变通方法就越少。
网络安全:Global Secure Access 达到 GA 里程碑
GSA iOS 客户端 (GA)
用于 iOS 和 iPadOS 的 Global Secure Access 客户端现已正式发布。关键的是,它无需安装新代理——它利用现有的 Microsoft Defender for Endpoint (MDE) 代理将流量通过 Microsoft SSE 路由。
为什么这意义重大: 如果你的组织已在 iOS 设备上部署 MDE——大多数有安全意识的组织都这样做——启用 GSA 是一个配置变更,而非部署项目。这显著降低了移动工作力的 SSE 采用门槛。
GSA Cloud Firewall 用于远程网络 (GA)
远程网络(通过 GSA 连接的分支办公室)现在可以使用带 5 元组过滤(源 IP、目的 IP、协议、源端口、目的端口)的基于云的防火墙。这应用于从分支办公室获取的所有互联网流量。
架构说明: 这允许组织用通过 Microsoft SSE 的云原生过滤替代或增强本地防火墙设备。对于拥有数十或数百个小分支机构的组织,这是一个有意义的成本和复杂性降低机会。
基于文件类型的网络内容过滤 (GA)
管理员现在可以基于文件类型监控和控制跨网络到 GenAI 和 SaaS 应用的文件传输。这针对通过 AI 工具数据外泄的新兴风险——员工将敏感文档上传到 ChatGPT、Gemini 或其他 LLM 平台。
紧迫程度: 高。影子 AI 使用是企业环境中增长最快的数据丢失向量之一。此功能在网络层提供控制,弥补端点控制可能不足之处。
治理:强制执行与透明度改进
在每次 PIM 激活时强制执行条件访问策略 (GA)
PIM 现在可以在每次角色激活时要求条件访问重新身份验证(包括 MFA)。这弥合了一个长期存在的缺口:如果用户会话仍有效,PIM 激活可能绕过 CA 策略。
合规影响: 对于受 SOX、PCI-DSS 或 FedRAMP 约束的组织,这是一项重要的控制改进。每次特权提升现在都经过完整的身份验证保证,而不仅仅是初始会话。
My Access 审批者可见性 (GA)
请求者可以在 My Access 门户中看到待处理访问包请求的审批者是谁。这对成员默认启用。
治理效益: 减少了在权益管理中造成瓶颈的"谁需要批准这个?“的混淆。通过使审批链透明化来改善审计追踪。
许可证使用页面 (GA)
Entra 管理中心中新的许可证使用页面提供对拥有与使用的 P1、P2 和 Entra Suite 许可证数量的可见性,映射到功能采用(条件访问、基于风险的策略等),并附带六个月趋势。
成本优化: 许多组织过度许可 Entra ID。此页面为采购团队提供正确调整规模所需的数据。它还揭示未充分利用——昂贵但没人实际使用的 P2 功能。
平台:可配置令牌生命周期策略 (GA)
用于访问令牌、ID 令牌和 SAML 令牌的令牌生命周期策略现已正式发布。管理员可以创建策略并将其分配给应用和服务主体。
安全权衡: 更短的令牌生命周期改善安全姿态,但可能破坏长时间运行操作的应用。更长的生命周期减少重新身份验证频率,但增加令牌被盗风险。此功能的 GA 发布意味着 Microsoft 认为其生产就绪,组织应相应制定令牌生命周期策略。
推荐方法: 从高风险应用的较短生命周期和可信第一方应用的较长生命周期开始。在推出期间监控登录日志中与令牌相关的失败。
组织应该做什么
启用 CBA CA 作用域,如果你维护多个 PKI 层级。这是一项有有意义安全 ROI 的快速配置改进。
审查系统首选 MFA 方法顺序。 随着 CBA 现在在 iOS 上位于第 3 位,验证你的身份验证方法策略反映你期望的优先级。
为分支办公室评估 GSA 云防火墙。 如果你有中小型远程站点,这可能降低硬件成本和运营复杂性。
为 GenAI 文件上传启用网络内容过滤。 这是此发布中最简单的快速胜利——在下一次安全审计之前配置它。
审查 PIM 激活设置。 在 PIM 激活时启用条件访问重新身份验证应是特权角色管理的高优先级事项。
审计你的 Entra ID 许可。 在续订之前使用新的许可证使用页面识别过度许可或未充分利用的订阅。
制定令牌生命周期策略。 记录哪些应用需要自定义令牌生命周期,并首先在非生产环境中测试新策略。
什么没有改变
若干重要事项保持不变:
- Entra Connect Sync → Cloud Sync 迁移时间表如所公布:通知从 2026 年 7 月开始,分阶段推出。
- SCIM 现代身份验证仍是规划变更,而非强制执行。截止日期将通过 M365 Message Center 传达。
- SAP SuccessFactors 工作负载身份迁移从 2026 年 5 月起可用,但尚未要求。SAP 的基本身份验证弃用截止日期是 2026 年 11 月。
- MIM 2016 SP3 仍受支持,但不是前进路径——Microsoft 的长期方向仍是云原生身份管理。
更大的图景
这波 4 月 GA 浪潮告诉我们关于 Microsoft Entra ID 战略的重要信息:Microsoft 正在将其身份和网络访问堆栈收敛为统一的安全平台。
CBA 公告确保身份验证——基础层——尽可能防钓鱼。GSA 公告在该身份基础之上构建网络层。治理公告确保两层都可审计且可强制执行。
这是零信任模型的逻辑结论:验证每次身份验证,强制执行每个访问决策,并审计每次变更。Microsoft 正在交付使该愿景可运营的基础设施。
对于一直在理论上"走向无密码"但未在实践上行动的组织,这波发布提供了前进的工具。对于投资于 SSE/SASE 架构的组织,Entra 的 GA 里程碑使 Microsoft 在该领域成为更可信的提供商。
需要帮助应对 Microsoft Entra ID 变更?
Big Hat Group 帮助组织设计、部署和管理 Microsoft Entra ID 环境——从身份验证策略到治理自动化再到 SSE 架构。如果你的团队需要这些 4 月公告中任何一项的指导,我们可以提供帮助。
联系 Big Hat Group 咨询你的 Entra ID 路线图。
Big Hat Group 是一家专注于身份安全、Microsoft Entra ID 和现代端点管理的 Microsoft 合作伙伴。