2026 年 4 月對 Microsoft Entra ID 而言是重要月份,有 11 項功能跨三個策略支柱達到正式上市:憑證式驗證Global Secure Access身分識別治理。這不只是例行更新——這是一組協調的發布,預示了 Microsoft 未來 12-18 個月將把身分識別與安全平台帶往何處。

以下是改變了什麼、意味著什麼,以及您的組織應如何應對。


三大策略支柱

這 11 項發布圍繞三個明確的焦點領域聚集:

1. 憑證式驗證 — 無密碼成真

Microsoft 在 4 月做了三個 CBA 動作,集體將其從利基能力轉變為主流驗證策略:

  • CBA 成為 iOS 上第三個系統偏好的 MFA 選項——CBA 現在在 iOS 的系統偏好 MFA 方法清單中排名第三,落後生物辨識與硬體 token 但領先密碼。這意味著有 CBA 憑證的使用者能獲得精簡、無密碼且無 MFA 提示的體驗。
  • 憑證授權單位範圍限定——租用戶管理員現在可將特定 CA 限定於定義的使用者群組。這實現了細緻的政策強制執行:臨床人員從內部 CA 取得憑證,承包商使用外部簽發者。
  • 簽發者提示——系統提示使用者僅選取對其組織受信任且有效的憑證,減少登入困惑與憑證選擇錯誤。

**影響:**CBA 已跨過企業規模部署的成熟門檻。如果您的組織一直在試導或考慮 CBA,2026 年 4 月移除了最後的有意義阻礙——更好的行動支援、CA 級粒度與改善的 UX。

2. Global Secure Access — SSE 平台成熟

三項 GSA 功能達到 GA,確認 Microsoft 認真要在 Secure Service Edge (SSE) 市場競爭:

  • GSA iOS 用戶端——現已 GA,運用現有的 Microsoft Defender for Endpoint (MDE) 透過 Microsoft SSE 路由 Microsoft 365、網際網路與私人存取的流量。無需新代理。
  • 依檔案類型的網路內容過濾——監控並控制對 GenAI 與 SaaS 應用的檔案傳輸,在網路層防止未授權的資料外洩。
  • GSA Cloud Firewall for Remote Networks——針對透過 GSA 遠端網路連接的分公司所有網際網路流量進行 5-tuple 過濾(來源 IP、目的地 IP、協定、來源連接埠、目的地連接埠)。

**影響:**GSA 正成為 Zscaler 與 Netskope 等獨立 SSE 解決方案的真正替代。iOS 用戶端移除了最後的主要端點缺口,而網路層控制解決了讓安全團隊夜不能寐的 GenAI 資料外洩疑慮。

3. 身分識別治理 — 可見性、強制執行與透明度

四項發布強化 Microsoft 的身分識別治理故事:

  • My Access 核准者可見性——請求者現在可在 My Access 入口網站中看到核准者姓名與電子郵件地址,消除 entitlement management 工作流程中「誰核准了這個?」的模糊性。
  • 每次 PIM 啟動時的條件式存取——在 PIM 角色啟動時強制執行 CA 政策(如 MFA)現已 GA。這彌補了最敏感存取授予可能繞過例行驗證需求的差距。
  • 授權使用頁面——新儀表板顯示對應到授權類型(P1、P2、Suite)的功能使用量,協助組織確切了解正在使用哪些功能以及是否過度授權。
  • 可設定的 Token 生命週期政策——在應用程式或服務主體層級自訂存取 token、ID token 與 SAML token 生命週期。

**影響:**這些是帶有合規含義的營運效率勝利。PIM + CA 強制執行尤其重要——在受監管產業中,每個特權存取授予都應通過與任何其他登入相同的驗證控制。

4. 額外:社交身分識別提供者 + Entra External ID

透過 Entra External ID 中的 Native Authentication SDK 新增 Google、Facebook 與 Apple 作為社交身分識別提供者,完善了面向客戶的身分識別故事。對於 B2C 與 B2B 客戶入口網站,這消除了帳戶建立的摩擦。


組織應做什麼

立即行動(本月)

  1. 啟用 My Access 核准者可見性——對成員預設啟用。推出無需動作,但若您想針對來賓情境停用,請稽核您的存取套件設定。
  2. 檢視 CBA 就緒度——如果您有 PKI 與支援憑證的裝置,開始規劃 CBA 試導。CA 範圍限定功能意味著您可以將 CBA 部署到特定使用者群組而無需組織級承諾。
  3. 測試 GSA iOS 用戶端——如果您使用 MDE 且有存取公司資源的 iOS 使用者,請在測試群組中驗證 GSA iOS 用戶端。

策略性(本季)

  1. 在 PIM 啟動時強制執行 CA——這是影響最大的治理變更。為 PIM 啟動角色設定條件式存取政策——從 Tier 0(全域管理員)角色開始並擴展。
  2. 評估 Token 生命週期政策——根據安全需求檢視您目前的 token 生命週期預設值。可設定政策讓您為敏感應用緊縮存取 token,同時為低風險工作負載保持使用者體驗順暢。
  3. 稽核授權使用量——使用新的授權使用頁面識別未充分利用的 Entra ID P2 或 Suite 授權並調整您的租用戶規模。

長期(未來 6-12 個月)

  1. 發展您的 CBA 推出策略——隨 CA 範圍限定、簽發者提示與 iOS 支援全部 GA,CBA 已生產就緒。規劃與您硬體憑證基礎結構對齊的分階段推出。
  2. 評估 GDA 作為 SSE 替代——如果您在續約時評估 SSE 廠商,請將 GSA 納入您的 bake-off。與 MDE 的緊密整合與原生 Entra ID 條件式存取是意義重大的架構優勢。

未改變的部分

  • 基本驗證淘汰時間表維持不變(2026 年 11 月針對 SAP SuccessFactors)。
  • Entra Connect Sync 生命週期終止規劃仍處於早期通知階段(2026 年 7 月+)。
  • 現有 CBA 部署模式繼續有效——無破壞性變更。

更大的圖像

跨這 11 項發布檢視,一個清晰的模式浮現:Microsoft 正在建構一個整合的身分識別 + 網路 + 治理平台,而非獨立產品。CBA 連接驗證層。GSA 連接網路層。PIM + CA 強制執行連接治理層。Token 生命週期與授權使用功能連接營運層。

這是 Entra ID 作為平台(而不僅是目錄服務)背後的架構願景。對已投資於 Microsoft 生態系統的組織而言,收斂效益顯著——更少的點狀產品、更緊密的整合,以及單一的身分識別安全控制平面。


需要協助駕馭 Microsoft Entra ID 變更嗎?

Big Hat Group協助組織設計、部署與管理 Microsoft Entra ID 環境。無論您在規劃 CBA 推出、評估 Global Secure Access,或優化您的 Entra ID 授權,我們都能協助。

聯絡我們 →

Big Hat Group 是專精於身分識別安全、Microsoft Entra ID 與現代端點管理的 Microsoft 合作夥伴。