2026 年 4 月交付了 Microsoft Entra ID 歷史上規模最大的單月正式上市發布之一。11 項新功能達到 GA,涵蓋無密碼驗證、網路安全、身分識別治理與平台基礎結構。對於管理 Microsoft Entra 環境的企業 IT 團隊而言,此發布波包含數項需要關注——並採取行動——的變更。

以下是改變了什麼、意味著什麼,以及您的組織應如何應對。


全局觀:驅動此發布的三大主題

在深入個別宣布之前,值得退後一步看清論述。這 11 項 GA 發布圍繞三個策略主題聚集:

  1. **防釣魚驗證不再可選。**Microsoft 正大力投資於憑證式驗證(CBA)——11 項宣布中有 3 項直接擴展 CBA 能力。這與產業向 FIDO2、passkey 與憑證式 MFA 推進的廣泛趨勢一致,組織正從 SMS 與 TOTP 轉移。

  2. **Security Service Edge (SSE) 正成真。**Global Secure Access (GSA) 隨雲端防火牆、iOS 用戶端與網路內容過濾達到 GA 而達到新成熟度。Microsoft 正將 Entra Internet Access 與 Private Access 定位為與 Defender for Cloud Apps 並列的核心 SSE 支柱。

  3. **治理控制正在收緊。**PIM 啟動現在可要求條件式存取重新驗證。授權使用可見性意味更好的成本管理。My Access 中的核准者透明度改善稽核軌跡。這些是小變更,但對合規與營運安全有重大含義。


驗證:三項 CBA 宣布加倍押注無密碼

Entra CBA 成為系統偏好 MFA 方法中的第三選項

營運上最重大的驗證變更是 CBA 在 iOS 上移至系統偏好 MFA 方法順序的第三位。Microsoft 解決了先前將 CBA 降至最低優先級的 iOS 平台問題。使用憑證的原生 iOS 登入現在避免不必要的密碼與 MFA 提示。

**為何重要:**部署了 CBA 憑證但發現使用者仍被推向基於應用的 MFA 或 SMS 的組織,將看到登入體驗的實質改善。具備有效憑證的使用者會先被提示使用它們,減少摩擦並提升防釣魚方法的採用率。

Entra CBA 憑證授權單位 (CA) 範圍限定

管理員現在可將特定憑證授權單位限定於定義的使用者群組。這意味著組織可為高階主管、承包商與標準使用者從不同 CA 簽發 CBA 憑證——並強制執行哪些憑證可驗證誰。

**安全影響:**CA 範圍限定限制了爆炸半徑。如果某個 CA 受損,僅指派給該 CA 的使用者群組受影響。這是具備多個 PKI 階層的企業應優先採用的深度防禦改善。

Microsoft Entra CBA 的簽發者提示

當使用者在裝置上有多個憑證時,簽發者提示確保他們僅被提示選取其組織信任的憑證。這減少登入錯誤與困惑,尤其是在具有個人與企業憑證的裝置上。

**實用要點:**這是使用體驗改善,但使用體驗對安全採用很重要。使用者以憑證驗證時面臨的障礙越少,您的團隊要處理的服務台電話與變通方案就越少。


網路安全:Global Secure Access 達 GA 里程碑

GSA iOS 用戶端 (GA)

適用於 iOS 與 iPadOS 的 Global Secure Access 用戶端現已正式上市。關鍵是,它無需新代理安裝——運用現有的 Microsoft Defender for Endpoint (MDE) 代理透過 Microsoft SSE 路由流量。

**為何重要:**如果您的組織已在 iOS 裝置上部署 MDE——而大多數安全意識組織如此——啟用 GSA 是設定變更,而非部署專案。這大幅降低了行動工作力的 SSE 採用門檻。

GSA Cloud Firewall for Remote Networks (GA)

遠端網路(透過 GSA 連接的分公司)現在可使用具備 5-tuple 過濾(來源 IP、目的地 IP、協定、來源連接埠、目的地連接埠)的雲端式防火牆。這套用於從分公司擷取的所有網際網路流量。

**架構備註:**這允許組織以透過 Microsoft SSE 的雲端原生過濾來取代或增強分公司的在地端防火牆設備。對於擁有數十或數百個小型分公司據點的組織,這是意義重大的成本與複雜度降低機會。

依檔案類型的網路內容過濾 (GA)

管理員現在可依檔案類型監控並控制跨網路對 GenAI 與 SaaS 應用的檔案傳輸。這針對透過 AI 工具資料外洩的新興風險——員工將敏感文件上傳至 ChatGPT、Gemini 或其他 LLM 平台。

**緊急程度:**高。影子 AI 使用是企業環境中成長最快的資料流失向量之一。此能力在端點控制可能不足之處提供網路層控制。


治理:強制執行與透明度改善

在每次 PIM 啟動時強制執行條件式存取政策 (GA)

PIM 現在可要求在每次角色啟動時進行條件式存取重新驗證(含 MFA)。這彌補了一個長期差距:PIM 啟動在使用者工作階段仍有效時可繞過 CA 政策。

**合規影響:**對於受 SOX、PCI-DSS 或 FedRAMP 約束的組織,這是重大的控制改善。每個特權提升現在都經過完整驗證保證,而不僅是初始工作階段。

My Access 核准者可見性 (GA)

請求者可在 My Access 入口網站中看到待處理存取套件請求的核准者是誰。這對成員預設啟用。

**治理效益:**減少 entitlement management 中造成瓶頸的「誰需要核准這個?」困惑。透過讓核准鏈透明來改善稽核軌跡。

授權使用頁面 (GA)

Entra 管理中心中新的授權使用頁面提供擁有與使用的 P1、P2 與 Entra Suite 授權數量可見性,對應到功能採用(條件式存取、基於風險的政策等)並含六個月趨勢。

**成本優化:**許多組織對 Entra ID 過度授權。此頁面給採購團隊調整規模所需的資料。它也浮現未充分利用——昂貴的 P2 功能實際上沒人在用。


平台:可設定的 Token 生命週期政策 (GA)

針對存取 token、ID token 與 SAML token 的 token 生命週期政策現已正式上市。管理員可建立政策並將其指派給應用程式與服務主體。

**安全取捨:**較短的 token 生命週期改善安全態勢但可能破壞具長時間執行作業的應用。較長生命週期減少重新驗證頻率但增加 token 失竊風險。此功能的 GA 發布意味 Microsoft 認為其生產就緒,組織應相應發展其 token 生命週期策略。

**建議方式:**從為高風險應用採用較短生命週期、為受信任的第一方應用採用較長生命週期開始。在推出期間監控登入記錄以找出與 token 相關的失敗。


組織應做什麼

  1. 啟用 CBA CA 範圍限定,如果您維護多個 PKI 階層。這是具備有意義安全 ROI 的快速設定改善。

  2. **檢視系統偏好 MFA 方法順序。**隨 CBA 現位於 iOS 的第 3 位,驗證您的驗證方法政策反映您想要的優先順序。

  3. **為分公司評估 GSA 雲端防火牆。**如果您有小型至中型遠端據點,這可降低硬體成本與營運複雜度。

  4. **為 GenAI 檔案上傳啟用網路內容過濾。**這是此發布中最容易的快速勝利——在下次安全稽核前設定它。

  5. **檢視 PIM 啟動設定。**在 PIM 啟動時啟用條件式存取重新驗證應是特權角色管理的高優先級。

  6. **稽核您的 Entra ID 授權。**使用新的授權使用頁面在續約前識別過度授權或未充分利用的訂閱。

  7. **發展 token 生命週期政策策略。**記錄哪些應用需要自訂 token 生命週期,並先在非生產環境中測試新政策。


未改變的部分

若干重要事項維持不變:

  • Entra Connect Sync → Cloud Sync 遷移時間表維持原樣:2026 年 7 月開始通知,分階段推出。
  • SCIM 現代驗證仍是計畫變更,而非強制執行。截止日期將透過 M365 Message Center 溝通。
  • SAP SuccessFactors 工作負載身分識別遷移自 2026 年 5 月起可用,尚未強制。SAP 的基本驗證棄用截止日期是 2026 年 11 月。
  • MIM 2016 SP3仍受支援但不是前進路徑——Microsoft 的長期方向仍是雲端原生身分識別管理。

更大的圖像

此 4 月 GA 波告訴我們關於 Microsoft Entra ID 策略的重要事項:Microsoft 正將其身分識別與網路存取堆疊收斂為統一安全平台。

CBA 宣布確保驗證——基礎層——盡可能防釣魚。GSA 宣布在身分識別基礎上建構網路層。治理宣布確保兩層皆可稽核且可強制執行。

這是 Zero Trust 模型的邏輯結論:驗證每次驗證、強制執行每個存取決策,並稽核每個變更。Microsoft 正交付讓該願景可運作的基礎結構。

對於一直在「理論上」走向無密碼但「實務上」未做的組織,此波提供向前推進的工具。對於投資於 SSE/SASE 架構的組織,Entra 的 GA 里程碑讓 Microsoft 成為該領域更可信的提供者。


需要協助駕馭 Microsoft Entra ID 變更嗎?

Big Hat Group 協助組織設計、部署與管理 Microsoft Entra ID 環境——從驗證策略到治理自動化再到 SSE 架構。如果您的團隊需要這些 4 月宣布中任何一項的指導,我們可以協助。

聯絡 Big Hat Group 以諮詢您的 Entra ID 路線圖。

Big Hat Group 是專精於身分識別安全、Microsoft Entra ID 與現代端點管理的 Microsoft 合作夥伴。