Microsoft 于 2026 年 5 月向 Entra ID 推送了一波密集更新,虽然其中没有一项是年初遗留身份验证弃用所定义的"你必须立即行动否则会中断"的变更,但若干项代表了 Microsoft 身份战略中悄然出现的转折点。系统首选身份验证现在延伸到第一因素登录——意味着拥有 passkey 的用户可能永远不会再看到密码提示。跨租户组同步已 GA,敏感度标签登陆安全组,Azure 角色治理进入 Entitlement Management。以下是每项变更的意义、其重要性,以及你的组织应该做什么。
系统首选身份验证扩展到第一因素:无密码成为阻力最小的路径
本次发布中最大的变更在很大程度上是不可见的——而这正是重点。Microsoft 自 2025 年初以来一直在演进的系统首选身份验证,现在在 Microsoft 托管模式下同时应用于第一因素(主要登录)和第二因素(MFA)。系统评估用户已注册哪些凭证,并为每个步骤静默选择最安全的方法。
排名: Temporary Access Pass > Passkey (FIDO2) > 基于证书的身份验证 > Microsoft Authenticator > 外部 MFA > TOTP > 电话 > QR 码 > 密码。
对于注册了 passkey 或 CBA 的用户,密码提示完全消失。他们在第一因素登录时被提示使用防钓鱼凭证。对于只有密码的用户,没有可见变化——但系统现在正在等待他们注册更强的凭证。
这为何具有战略意义: Microsoft 正在翻转默认值。以前,组织必须主动配置无密码。现在,“Microsoft 托管"状态通过根本不向用户显示密码屏幕来主动推动用户走向更强凭证。这是平台规模的行为设计。
推出目前正在进行中,将于 2026 年 6 月底前覆盖所有 Microsoft 托管租户。如果你的组织尚未部署 passkey 或 CBA,你大约有一个月时间准备——或者从"Microsoft 托管"切换到"已启用"模式,该模式将系统首选逻辑限制为仅第二因素。
组织应该做什么: 审计你已注册的身份验证方法。如果你有用户注册了 CBA 证书但在其所有设备上没有可靠的 CBA 体验,当第一因素 CBA 失败时这些用户将撞上登录墙——他们可以选择"以其他方式登录”,但摩擦是真实的。在你完成部署期间,考虑为尚未 passkey/CBA 就绪的用户实施基于组的排除。
跨租户组同步已 GA:多租户管理变得更简单
跨租户组同步允许组织跨 Microsoft Entra 租户同步安全组。源租户集中管理组成员身份,目标租户使用这些组进行访问控制而无需重复管理开销。
为什么重要: 对于运营多个租户的组织——通过收购、子公司结构或刻意的隔离策略——跨边界管理组一直是一个手动、易错的过程。此功能将现有的跨租户用户同步扩展到包括组,实现一致的访问控制而无需手动保持组同步的管理负担。
许可要求是 Microsoft Entra ID Governance,与驱动权益管理、访问审查和生命周期工作流的相同 SKU。这与 Microsoft 将治理定位为高级身份层的战略一致。
组织应该做什么: 如果你的组织运营多个 Entra 租户,立即评估跨租户组同步。从针对用于跨租户共享应用访问的单一安全组的试点开始。将权益管理许可成本作为多租户战略的一部分进行规划。
安全组的敏感度标签:Purview 与 Entra 终于收敛
Microsoft Entra ID 现在支持以公共预览版将 Microsoft Purview 敏感度标签应用于云安全组。用于治理文档分类和 Microsoft 365 组设置的相同标签现在可以控制安全组行为——包括来宾访问策略。
这比听起来更大。 敏感度标签一直是信息保护的强大工具,但它们在与身份治理分离的层面上运作。将标签放在安全组上,组织可以强制执行一致的策略:文档上的"机密"标签现在可以对应于 govern 对其访问的安全组上的"机密"标签。标签成为数据保护和访问控制之间的结缔组织。
组织应该做什么: 如果你拥有成熟的 Microsoft Purview 部署,立即试点安全组上的敏感度标签。将你现有的标签分类法映射到组治理策略。如果你仍在构建 Purview 实践,此功能是加速该工作的有力理由——它解锁了独立身份或信息保护无法实现的统一策略模型。
通过 Entitlement Management进行 Azure 角色治理:大规模的最小权限
管理组、订阅和资源组级别的 Azure 角色现在可以通过 Entitlement Management 中的访问包进行治理。这将 Azure RBAC 引入组织已用于应用访问、组成员身份和 SharePoint 网站权限的相同请求、审批和生命周期治理模型。
实际影响: 组织不再需要通过 IAM 边栏和 PowerShell 脚本管理 Azure 角色分配,现在可以为 Azure 角色提供带审批工作流、访问审查和自动过期的自助访问包。这是在 Azure 规模上运营化最小权限的重要一步。
组织应该做什么: 从单个非生产订阅上的试点开始。为常用需要的 Azure 角色(例如 Reader 或 Contributor)创建访问包,配置审批工作流,并测试体验。在扩展到管理组和生产范围之前,以此构建内部流程。
设备软删除:意外删除的安全网
设备软删除现为公共预览版,将已删除的设备对象移至可恢复状态而非永久移除。它支持 Entra joined、registered 和 hybrid joined 设备,并在保留期内保留设备身份和安全工件。
为什么这单独重要: 意外设备删除造成了真实损害——丢失的设备身份、损坏的 Autopilot 部署以及来自孤立设备记录的安全缺口。此功能提供了一个一直明显缺失的恢复路径。它是组软删除和用户账户恢复在设备管理上的等价物。
Passkey 策略扩展也在 5 月到来:FIDO2 passkey 策略现在有专门的 20-KB 分配(与共享身份验证方法池分离),每个租户的最大 passkey 配置文件数从 3 个跃升到 10 个。这直接支持无密码推动——旧策略限制对希望进行精细 passkey 部署的组织是真实约束。
什么没有改变
值得注意的是 Microsoft 本月未公告什么。没有新的破坏性变更或弃用日期。年初的主要强制执行截止日期——遗留身份验证弃用、Azure 强制 MFA、Connect Sync 安全加固(6 月 1 日)以及 OnPremisesObjectIdentifier 的 Connect 加固(7 月 1 日)——仍在按计划进行但未升级。Connect 到 Cloud Sync 的迁移时间表仍是 2026 年 7 月进行初始通知,而非强制执行。这是 2026 年第一个"最新动态"页面完全为增量性的月份——对仍在消化年初变革的 IT 团队而言是受欢迎的喘息。
更大的图景
2026 年 5 月的更新揭示了 Microsoft 未来 12 个月将 Entra ID 带向何方:
无密码是默认,而非目标。 系统首选第一因素、passkey 注册活动、扩展的策略存储和自动启用的 passkey 配置文件都指向一个方向:Microsoft 不再询问组织是否想要无密码。平台正被工程化以假设无密码,密码优先身份验证成为阻力最大的路径。
治理正在收敛。 安全组上的敏感度标签和 Entitlement Management 中的 Azure 角色是同一战略推动的两个方面:统一治理模型,使信息保护、身份治理和云资源管理在单一策略平面上运作。Microsoft 正朝着这样一个世界构建:单一访问包可以治理组成员身份、Azure RBAC 和应用访问——具有一致的审批、审查和过期。
AI 智能体身份现在就是基础设施。 Agent ID 平台(4 月 GA)、智能体的条件访问、智能体注册表以及现在 Lifecycle Workflows 中的赞助生命周期管理意味着 Microsoft 正将 AI 智能体视为具有完整生命周期治理的一等身份主体。如果你的组织正在部署 AI 智能体——或正在规划——治理它们的身份基础设施现在就可用。
External ID 已为黄金时段准备就绪。 用于从 Azure AD B2C 大规模迁移的 HSC 模式、passkey 支持和员工身份联合都表明 Entra External ID 已成熟。拥有面向客户身份平台的组织应开始迁移规划。
需要帮助应对 Microsoft Entra ID 变更?
Big Hat Group 帮助组织设计、部署和管理 Microsoft Entra ID 环境——从无密码身份验证推出到多租户治理、身份安全和 AI 智能体身份战略。联系我们讨论这些变更如何影响你的路线图。
Big Hat Group 是一家专注于身份安全、Microsoft Entra ID 和现代端点管理的 Microsoft 合作伙伴。