Microsoft在2026年6月发布了11项Entra ID更新,趋势非常明确:Microsoft正在将弹性能力内置于身份平台本身,将零信任扩展到AI代理,并弥补多年来存在的安全漏洞。

以下是各项更新的内容、重要性分析,以及您的组织应采取的行动。


1. Entra备份与恢复正式发布(GA)

这是本次更新的头条。Microsoft Entra备份与恢复是一项内置解决方案,可自动备份关键目录对象,并允许管理员将其恢复到先前已知的良好状态。该功能默认始终开启。

备份内容: 用户、组、应用程序、服务主体、托管标识、条件访问策略、命名位置、代理ID,以及身份验证和授权策略。

工作原理: 系统每天进行一次备份,保留7天(需要Entra ID P1或P2许可证)。管理员可以查看可用快照、生成差异报告以了解变更内容,并运行恢复作业来还原单个对象或对象集。

重要性: Entra ID多年来一直具备针对单个用户和组的回收站式恢复功能,但没有原生方式来快照和恢复条件访问策略、身份验证方法配置或应用程序注册。如果管理员意外(或恶意)修改了导致整个组织无法登录的CA策略,恢复意味着从审计日志中手动重建。此功能弥补了这一缺口。

行动建议: 验证您的P1/P2许可证是否满足所需的保留期。查看Entra管理中心的备份和恢复功能。将恢复程序纳入事件响应手册。


2. AI代理用户账户的条件访问保护(公开预览)

条件访问现在提供更广泛的控制,以保护拥有用户账户的AI代理。管理员可以使用自定义安全属性更精确地定位代理用户账户,基于代理风险应用策略,要求合规设备(包括Windows 365 for Agents),并强制执行设备平台和网络条件。

重要性: AI代理在企业环境中正在激增,而大多数IAM平台将它们视为通用服务主体。Microsoft正在使代理成为Entra ID中的一等身份,并提供专用控制:基于属性的定位、基于风险的策略执行,以及专为云托管代理工作负载设计的设备合规性要求。

行动建议: 清点您租户中运行的AI代理。使用自定义安全属性标记它们(代理类型、环境、赞助团队)。构建一个限定于测试代理组的试点CA策略,以在广泛推广前评估控制效果。


3. 使用Entra注册的Windows客户端BYOD支持(GA)

使用Entra注册设备的Windows客户端自带设备(BYOD)支持现已正式发布。用户和合作伙伴可以从自己的设备访问公司资源。管理员可以为内部账户用户(包括内部来宾用户)分配"私有应用程序"流量配置文件。

重要性: 这消除了先前要求Windows设备必须加入域才能通过全局安全访问访问公司资源的要求。个人Windows设备现在可以注册到Entra ID,并通过GSA流量配置文件获得受控访问,无需完整的设备管理。这是与Entra身份直接绑定的零信任网络访问的有意义扩展。

行动建议: 审查您的BYOD策略。确定适用于BYOD用户的流量配置文件(SaaS、M365或私有访问)。更新设备合规性和CA策略以适应注册设备状态。


4. Microsoft Authenticator越狱/Root检测(GA)

Microsoft Authenticator现在包括对工作或学校账户的越狱/Root检测。具有Root或越狱设备的用户将被阻止在Authenticator应用中添加或使用工作或学校账户。该功能默认安全,无需管理员配置。

重要性: 被入侵的设备多年来一直是MFA的薄弱环节。通过在越狱设备上阻止Authenticator,Microsoft消除了攻击者通过Root设备来拦截MFA批准或提取身份验证令牌的现实攻击向量。

行动建议: 将此变更通知您的服务台。在Root设备较为常见的地区,部分用户可能需要支持以过渡到合规设备。在推广后监控支持工单趋势。


5. SOC身份响应者角色(公开预览)

从6月8日起,Microsoft引入了新的内置角色:SOC身份响应者。该角色允许SOC分析师执行身份遏制操作——禁用用户、撤销会话和强制密码重置——而无需授予广泛的目录管理权限。它支持可分配角色的组和PIM集成,用于即时激活。

重要性: 此前,SOC分析师需要持有多个高权限Entra角色,或在调查期间依赖身份管理员,造成延误。该角色为SOC团队提供了专用的、有范围限制的响应能力,具有完整的审计跟踪,并直接与Microsoft Defender集成。

行动建议: 将SOC身份响应者角色添加到您的PIM资格模型中。定义哪些SOC团队成员应具备资格。更新您的事件响应手册以使用此角色执行身份遏制操作。


6. 工作租户的无域名SAML IdP联合(GA)

无域名SAML联合允许外部用户使用其IdP管理的凭证进行身份验证,而不受电子邮件域名的限制。它消除了在登录或邀请兑换期间用户电子邮件与预配置IdP域名之间需要进行域名匹配的要求。

重要性: 传统SAML联合要求用户的电子邮件域名与配置的IdP域名匹配。这在并购、多品牌组织以及承包商使用来自共享或无关IdP身份的场景中造成了摩擦。无域名联合将信任建立在SAML断言本身上,而非域名。

行动建议: 如果您有B2B场景中域名匹配一直是障碍,请评估无域名联合。梳理可从此模型中受益的合作伙伴IdP。


7. 美国政府云中的SCIM 2.0 API(GA)

SCIM 2.0 API现在在美国政府云中正式发布,提供了基于标准的方式来使用跨域身份管理系统(SCIM)2.0规范管理Microsoft Entra中的用户和组。

重要性: 美国政府租户(GCC、GCC High、DoD)在API功能方面历史上落后于商业Entra。SCIM 2.0的可用性意味着政府客户现在可以使用与商业租户相同的基于标准的配置集成,减少自定义开发并改善合规态势。

行动建议: 如果您在政府云中运营,请审核当前的配置集成。在可能的情况下,用SCIM 2.0替换任何自定义或传统连接器。


8. Entra Cloud Sync中的AD组强制执行(公开预览)

管理员可以指定特定的AD组,使得对这些组的修改只能通过Entra配置服务进行。在Entra之外进行的更改将被阻止,防止Entra ID和AD组之间的漂移。

重要性: 在混合环境中,对AD组的手动更改通常会创建破坏访问控制的配置漂移。通过强制指定组只能通过Entra Cloud Sync修改,Microsoft确保了组成员身份完整性并降低了访问漂移风险。

行动建议: 识别应由Entra权威管理的AD组。为它们配置强制执行。将此变更通知当前直接在AD中修改这些组的任何团队。


9. 外部用户直接分配到访问包(GA)

Entitlement Management管理员可以使用用户的电子邮件将不在目录中的外部用户直接分配到访问包。用户作为来宾用户被邀请,并受Entra ID Governance管理。

重要性: 此前,外部用户必须完成完整的请求流程才能获得访问包。现在管理员可以直接分配外部用户,这对于从第一天就需要已知访问权限的承包商、合作伙伴或顾问的入职特别有用。

行动建议: 更新您的外部用户入职流程,在适当的情况下使用直接分配。确保了解治理来宾计费合规要求。


10. Kerberos密钥轮换可靠性改进(GA)

改进了传入信任引用流的Kerberos密钥轮换可靠性。更新增强了验证逻辑,尝试使用主密钥和辅助Kerberos密钥进行解密,减少轮换事件期间的身份验证中断。

重要性: Entra Kerberos使仅云身份能够访问Azure文件共享和Azure虚拟桌面,而无需传统的AD基础设施。此更新消除了在密钥轮换期间如果引用票据使用辅助密钥加密可能导致身份验证失败的现实可靠性问题。

行动建议: 如果您使用Entra Kerberos,请验证您的密钥轮换计划。此更新是透明的——无需配置更改。


11. iOS密钥恢复改进(即将推出—2026年8月)

从2026年8月开始,用户将看到改进的设备绑定Authenticator应用密钥在iOS上的恢复体验。启用了iCloud钥匙串备份的用户将自动受益,新iOS设备上的恢复流程将根据用户是否可以访问旧设备进行简化。

重要性: 账户锁定恐惧是密钥采用的主要障碍之一。如果用户担心在更换手机时无法访问,他们会抵制注册密钥。流畅的恢复体验对于大规模无密码推广至关重要。

行动建议: 如果您正在计划或运行密钥推广,请围绕8月更新安排您的沟通。让用户了解恢复体验正在改进。Android支持将在随后推出。


更大格局

2026年6月的更新波次强化了Entra ID的三个战略方向:

  1. 弹性作为平台功能。 备份与恢复、AD组强制执行和Kerberos密钥轮换改进都降低了配置漂移、意外更改和运营中断的风险。Microsoft正在将安全网构建到身份平台本身,而非留给第三方工具。

  2. AI代理作为一等身份。 代理用户账户的条件访问、代理风险信号和Windows 365 for Agents将Entra定位为企业AI的控制平面。这是一个真正的差异化优势——大多数IAM竞争对手仍在研究基本的代理身份,而Microsoft已在发布精细化策略控制。

  3. 默认安全,而非通过配置实现安全。 Authenticator中的越狱检测"默认安全,无需任何管理员配置。“备份与恢复"默认始终开启。“Microsoft正在转向将安全状态作为默认状态,从而降低配置错误的爆炸半径。

如果您的组织正在投资Entra ID——作为Microsoft合作伙伴,您应该这样做——这些是现在就应该纳入路线图的更新。