Microsoft Entra ID 的发布节奏毫无放缓迹象。2026 年 5 月的"最新动态"信息流中落地了三项值得你关注的新公告——不是因为它们花哨,而是因为每一项都悄然解决了企业身份基础设施中的一个真实运营痛点或安全缺口。

以下是变更内容、其重要性,以及你的组织应该做什么。


1. Entra Connect Sync 引入交互式管理员授权

变更: Microsoft 正在为所有 Entra Connect Sync 配置变更引入交互式管理员身份验证。无论你使用设置向导还是 PowerShell,对同步设置的任何修改现在都要求已验证的云管理员登录并明确批准该变更。

为什么重要: 以前,任何对 Entra Connect 服务器有本地管理访问权限的人都可以修改同步配置——包括禁用同步功能、更改目录扩展属性,甚至编排完全卸载——而无需向 Entra ID 进行身份验证。在一个位于你混合身份基础设施中心的产品中,这是一个显著的攻击面。

新模型从根本上改变了这一点:

  • 同步配置成为云授权操作。 Entra Connect 向导使用委派的管理员令牌。PowerShell cmdlet 提示交互式登录。卸载在修改租户设置之前需要云管理员身份验证。
  • 云成为功能状态的真实来源。 云管理员做出的配置决策被一致地遵守,消除了本地配置与云中强制执行之间的一致性漂移。
  • 每次配置变更都留下云审计追踪。 由于变更现在需要交互式 Entra ID 身份验证,每次修改都绑定到特定管理员身份。

什么没有改变: 同步功能本身。实际的同步引擎、计划的同步周期和最终用户体验保持完全不变。这纯粹是授权模型升级——你身份验证更多,但一旦配置完成,一切运作如常。

组织应该做什么:

  • 审计谁对你的 Entra Connect 服务器有本地管理员访问权限。新的身份验证模型不消除控制本地访问的需要,但确实添加了第二层防御。
  • 审查任何修改同步配置的自动化或脚本。更改同步设置的 CI/CD 管道或计划任务将需要重新设计以支持交互式身份验证。
  • 确保应急管理员账户具有在紧急场景中授权同步变更所需的云角色。
  • 在 Microsoft Entra 管理中心可用时下载更新的 .msi。

2. SAP SuccessFactors 供应转向工作负载身份(公共预览)

变更: Microsoft Entra 供应现在可以使用工作负载身份和短期 OIDC 令牌向 SAP SuccessFactors 进行身份验证,而非静态用户名/密码凭证。

为什么重要: SAP 已宣布 SuccessFactors API 的基本身份验证将于2026 年 11 月弃用。如果你的组织使用 SuccessFactors 作为身份供应的 HR 真相来源——无论是同步到 Active Directory、Entra ID,还是回写属性——此迁移是强制性的,而非可选的。

转向基于工作负载身份的身份验证带来三项切实的安全改进:

  • 不再存储密码。 长期供应凭证被替换为通过 SAP Cloud Identity Services 颁发的短期令牌。无需管理密码轮换计划,无凭证暴露风险。
  • 基于标准的联合身份验证。 连接使用 OpenID Connect 和工作负载身份联合——Microsoft 正在其整个供应连接器生态系统中扩展的同一模型。
  • 无缝迁移。 现有供应配置可以在不重新创建或重启供应作业的情况下切换。变更通过现有供应体验中的连接设置完成。

这适用于所有三种 SuccessFactors 供应场景:SuccessFactors 到 Active Directory、SuccessFactors 到 Entra ID,以及 Entra 到 SuccessFactors 回写。

组织应该做什么:

  • 立即识别你租户中的所有 SAP SuccessFactors 供应配置。记录正在使用哪些场景(AD 供应、仅云、回写)。
  • 查看 https://aka.ms/EntraSAPSFConnectivityGuide 上的详细配置指南。
  • 设置工作负载身份联合所需的 SAP Cloud Identity Services 集成。
  • 在非生产环境中用你的供应配置副本测试迁移,然后再触及生产。
  • 在 2026 年 11 月截止日期之前安排生产迁移。早期迁移降低风险并给你时间解决任何问题。

3. Connect Health NetBIOS 测试现在仅为信息性

变更: Entra Connect Health 中的"NetBIOS Name Sysvol Connectivity resolution"测试已从告警测试重新分类为仅信息性。

为什么重要: 如果你的 Connect Health 仪表板一直亮起你一直忽略或徒劳调查的 NetBIOS 告警,此变更正是为你准备的。Microsoft 的理由很直接:NetBIOS 是一个遗留协议,大多数现代 Active Directory 环境不依赖它进行 SYSVOL 访问。当今 DNS 名称解析处理此项。

重新分类减少了告警噪音,让管理员专注于真正影响混合身份基础设施的问题。

组织应该做什么:

  • 验证你的域控制器已配置正确的基于 DNS 的名称解析作为 SYSVOL 访问的主要路径。
  • 审查并更新引用此特定测试的任何自定义监控仪表板、通知规则或 SOAR 剧本。
  • 移除你可能围绕此测试创建的任何自定义告警规则。
  • 在你的身份运营运行手册中记录此变更。

这不是 Microsoft 完全弃用 NetBIOS 监控的信号——它是一个信号,表明该测试产生的噪音多于信号,且默认应不对非关键遗留条件发出告警。


什么没有改变

  • 同步引擎行为。 本地 Active Directory 与 Entra ID 之间的实际身份同步完全如前。
  • 最终用户身份验证流程。 这些公告影响管理和供应,而非最终用户登录。
  • Entra Connect Sync 生命周期终止时间表。 关于过渡到 Cloud Sync 的 4 月公告仍然有效。此管理员身份验证变更适用于现有 Connect Sync 产品。
  • 许可要求。 这些变更均无需新许可证。SAP SuccessFactors 供应功能需要与已就位的相同 Entra ID Governance 或 Entra Suite 许可。

更大的图景

将这三项公告放在一起看,一个模式浮现:

Microsoft 正在系统性地从身份基础设施管理平面消除常驻凭证和隐式信任

Entra Connect Sync 的变更消除了本地服务器访问等于同步配置权限的假设。SAP 的变更消除了长期供应凭证。NetBIOS 测试变更消除了遗留协议健康状况应默认触发告警的假设。

这与 Microsoft 更广泛的 Entra 战略一致:将授权移至云端,消除静态凭证,并减少运营噪音,使管理员能够专注于真正重要的告警。这不是一个花哨的转变,但正是这种基础设施级别的加固使企业身份随时间推移更具韧性。


需要帮助应对 Microsoft Entra ID 变更?

Big Hat Group 帮助组织设计、部署和管理 Microsoft Entra ID 环境——从混合身份现代化到身份治理和安全加固。如果这些变更引发了对当前 Entra ID 部署的疑问,请联系我们

Big Hat Group 是一家专注于身份安全、Microsoft Entra ID 和现代端点管理的 Microsoft 合作伙伴。