Microsoft在2026年6月發布了11項Entra ID更新,趨勢非常明確:Microsoft正在將彈性能力內建於身份平台本身,將零信任擴展到AI代理,並彌補多年來存在的安全漏洞。

以下是各項更新的內容、重要性分析,以及您的組織應採取的行動。


1. Entra備份與恢復正式發布(GA)

這是本次更新的頭條。Microsoft Entra備份與恢復是一項內建解決方案,可自動備份關鍵目錄物件,並允許管理員將其恢復到先前已知的良好狀態。該功能預設始終開啟。

備份內容: 使用者、群組、應用程式、服務主體、受控識別、條件存取策略、命名位置、代理ID,以及身分驗證和授權策略。

運作方式: 系統每天進行一次備份,保留7天(需要Entra ID P1或P2授權)。管理員可以檢視可用快照、產生差異報告以了解變更內容,並執行恢復作業來還原個別物件或物件集。

重要性: Entra ID多年來一直具備針對個別使用者和群組的資源回收筒式恢復功能,但沒有原生方式來快照和恢復條件存取策略、身分驗證方法設定或應用程式註冊。如果管理員意外(或惡意)修改了導致整個組織無法登入的CA策略,恢復意味著從稽核記錄中手動重建。此功能彌補了這一缺口。

行動建議: 驗證您的P1/P2授權是否滿足所需的保留期。檢視Entra管理中心的備份和恢復功能。將恢復程序納入事件回應手冊。


2. AI代理使用者帳戶的條件存取保護(公開預覽)

條件存取現在提供更廣泛的控制,以保護擁有使用者帳戶的AI代理。管理員可以使用自訂安全屬性更精確地定位代理使用者帳戶,基於代理風險套用策略,要求合規裝置(包括Windows 365 for Agents),並強制執行裝置平台和網路條件。

重要性: AI代理在企業環境中正在激增,而大多數IAM平台將它們視為通用服務主體。Microsoft正在使代理成為Entra ID中的一等身分,並提供專用控制:基於屬性的定位、基於風險的策略執行,以及專為雲端託管代理工作負載設計的裝置合規性要求。

行動建議: 盤點您租戶中執行的AI代理。使用自訂安全屬性標記它們(代理類型、環境、贊助團隊)。建構一個限定於測試代理群的試點CA策略,以在廣泛推廣前評估控制效果。


3. 使用Entra註冊的Windows用戶端BYOD支援(GA)

使用Entra註冊裝置的Windows用戶端自帶裝置(BYOD)支援現已正式發布。使用者和合作夥伴可以從自己的裝置存取公司資源。管理員可以為內部帳戶使用者(包括內部來賓使用者)分配「私有應用程式」流量設定檔。

重要性: 這消除了先前要求Windows裝置必須加入網域才能透過全域安全存取存取公司資源的要求。個人Windows裝置現在可以註冊到Entra ID,並透過GSA流量設定檔獲得受控存取,無需完整的裝置管理。這是與Entra身分直接綁定的零信任網路存取的有意義擴展。

行動建議: 審查您的BYOD策略。確定適用於BYOD使用者的流量設定檔(SaaS、M365或私有存取)。更新裝置合規性和CA策略以適應註冊裝置狀態。


4. Microsoft Authenticator越獄/Root檢測(GA)

Microsoft Authenticator現在包括對工作或學校帳戶的越獄/Root檢測。具有Root或越獄裝置的使用者將被阻止在Authenticator應用中新增或使用工作或學校帳戶。該功能預設安全,無需管理員設定。

重要性: 被入侵的裝置多年來一直是MFA的薄弱環節。透過在越獄裝置上阻止Authenticator,Microsoft消除了攻擊者透過Root裝置來攔截MFA核准或提取身分驗證令牌的現實攻擊向量。

行動建議: 將此變更通知您的服務台。在Root裝置較為常見的地區,部分使用者可能需要支援以過渡到合規裝置。在推廣後監控支援工單趨勢。


5. SOC身分回應者角色(公開預覽)

從6月8日起,Microsoft引入了新的內建角色:SOC身分回應者。該角色允許SOC分析師執行身分遏制操作——停用使用者、撤銷工作階段和強制密碼重設——而無需授予廣泛的目錄管理權限。它支援可分配角色的群組和PIM整合,用於即時啟用。

重要性: 此前,SOC分析師需要持有多个高權限Entra角色,或在調查期間依賴身分管理員,造成延誤。該角色為SOC團隊提供了專用的、有範圍限制的回應能力,具有完整的稽核追蹤,並直接與Microsoft Defender整合。

行動建議: 將SOC身分回應者角色新增到您的PIM資格模型中。定義哪些SOC團隊成員應具備資格。更新您的事件回應手冊以使用此角色執行身分遏制操作。


6. 工作租戶的無網域SAML IdP聯合(GA)

無網域SAML聯合允許外部使用者使用其IdP管理的憑證進行身分驗證,而不受電子郵件網域的限制。它消除了在登入或邀請兌換期間使用者電子郵件與預設定IdP網域之間需要進行網域匹配的要求。

重要性: 傳統SAML聯合要求使用者的電子郵件網域與設定的IdP網域匹配。這在併購、多品牌組織以及承包商使用來自共享或無關IdP身分的場景中造成了摩擦。無網域聯合將信任建立在SAML斷言本身上,而非網域。

行動建議: 如果您有B2B場景中網域匹配一直是障礙,請評估無網域聯合。梳理可從此模型中受益的合作夥伴IdP。


7. 美國政府雲中的SCIM 2.0 API(GA)

SCIM 2.0 API現在在美國政府雲中正式發布,提供了基於標準的方式來使用跨網域身分管理系統(SCIM)2.0規範管理Microsoft Entra中的使用者和群組。

重要性: 美國政府租戶(GCC、GCC High、DoD)在API功能方面歷史上落後於商業Entra。SCIM 2.0的可用性意味著政府客戶現在可以使用與商業租戶相同的基於標準的佈建整合,減少自訂開發並改善合規態勢。

行動建議: 如果您在政府雲中營運,請稽核目前的佈建整合。在可能的情況下,用SCIM 2.0替換任何自訂或傳統連接器。


8. Entra Cloud Sync中的AD群組強制執行(公開預覽)

管理員可以指定特定的AD群組,使得對這些群組的修改只能透過Entra佈建服務進行。在Entra之外進行的更改將被阻止,防止Entra ID和AD群組之間的漂移。

重要性: 在混合環境中,對AD群組的手動更改通常會建立破壞存取控制的設定漂移。透過強制指定群組只能透過Entra Cloud Sync修改,Microsoft確保了群組成員完整性並降低了存取漂移風險。

行動建議: 識別應由Entra權威管理的AD群組。為它們設定強制執行。將此變更通知目前在AD中直接修改這些群組的任何團隊。


9. 外部使用者直接分配到存取套件(GA)

Entitlement Management管理員可以使用使用者的電子郵件將不在目錄中的外部使用者直接分配到存取套件。使用者作為來賓使用者被邀請,並受Entra ID Governance管理。

重要性: 此前,外部使用者必須完成完整的請求流程才能獲得存取套件。現在管理員可以直接分配外部使用者,這對於從第一天就需要已知存取權限的承包商、合作夥伴或顧問的入職特別有用。

行動建議: 更新您的外部使用者入職流程,在適當的情況下使用直接分配。確保了解治理來賓計費合規要求。


10. Kerberos金鑰輪換可靠性改進(GA)

改進了傳入信任引用流的Kerberos金鑰輪換可靠性。更新增強了驗證邏輯,嘗試使用主金鑰和輔助Kerberos金鑰進行解密,減少輪換事件期間的身分驗證中斷。

重要性: Entra Kerberos使僅雲端身分能夠存取Azure檔案共用和Azure虛擬桌面,而無需傳統的AD基礎設施。此更新消除了在金鑰輪換期間如果引用票據使用輔助金鑰加密可能導致身分驗證失敗的現實可靠性問題。

行動建議: 如果您使用Entra Kerberos,請驗證您的金鑰輪換計劃。此更新是透明的——無需設定更改。


11. iOS密碼金鑰恢復改進(即將推出—2026年8月)

從2026年8月開始,使用者將看到改進的裝置綁定Authenticator應用密碼金鑰在iOS上的恢復體驗。啟用了iCloud鑰匙圈備份的使用者將自動受益,新iOS裝置上的恢復流程將根據使用者是否可以存取舊裝置進行簡化。

重要性: 帳戶鎖定恐懼是密碼金鑰採用的主要障礙之一。如果使用者擔心在更換手機時無法存取,他們會抵制註冊密碼金鑰。流暢的恢復體驗對於大規模無密碼推廣至關重要。

行動建議: 如果您正在計劃或執行密碼金鑰推廣,請圍繞8月更新安排您的溝通。讓使用者了解恢復體驗正在改進。Android支援將隨後推出。


更大格局

2026年6月的更新波次強化了Entra ID的三個戰略方向:

  1. 彈性作為平台功能。 備份與恢復、AD群組強制執行和Kerberos金鑰輪換改進都降低了設定漂移、意外更改和營運中斷的風險。Microsoft正在將安全網建置到身分平台本身,而非留給第三方工具。

  2. AI代理作為一等身分。 代理使用者帳戶的條件存取、代理風險訊號和Windows 365 for Agents將Entra定位為企業AI的控制平面。這是一個真正的差異化優勢——大多數IAM競爭對手仍在研究基本的代理身分,而Microsoft已在發布精細化策略控制。

  3. 預設安全,而非透過設定實現安全。 Authenticator中的越獄檢測「預設安全,無需任何管理員設定。」備份與恢復「預設始終開啟。」Microsoft正在轉向將安全狀態作為預設狀態,從而降低設定錯誤的爆炸半徑。

如果您的組織正在投資Entra ID——作為Microsoft合作夥伴,您應該這樣做——這些是現在就應該納入路線圖的更新。