Microsoft 於 2026 年 5 月向 Entra ID 交付了一波密集更新,雖然它們都不是那種「您必須立即行動否則會壞」的改變(定義了年初舊版驗證棄用的那種),但其中有數項代表 Microsoft 身分識別策略的安靜拐點。系統偏好驗證現在延伸至第一因素登入——意味著有 passkey 的使用者可能永遠不再看到密碼提示。跨租用戶群組同步已 GA,敏感性標籤登陸安全群組,而 Azure 角色治理進入 Entitlement Management。以下是每項變更的意義、為何重要,以及您的組織應如何應對。

系統偏好驗證擴展至第一因素:無密碼成為阻力最小的路徑

此發布中最大的變更大致上是看不見的——而這正是重點。系統偏好驗證,Microsoft 自 2025 年初一直在演進的功能,現在在 Microsoft 管理模式中同時套用於第一因素(主要登入)與第二因素(MFA)。系統評估使用者已註冊哪些憑證,並為每個步驟悄悄選取最安全的方法。

**排名:**Temporary Access Pass > Passkey (FIDO2) > 憑證式驗證 > Microsoft Authenticator > 外部 MFA > TOTP > 電話 > QR code > 密碼。

對於註冊了 passkey 或 CBA 的使用者,密碼提示完全消失。他們在第一因素登入時被提示使用防釣魚憑證。對於只有密碼的使用者,沒有可見的變化——但系統現在在等待他們註冊更強的憑證。

**使其具策略重要性的原因:**Microsoft 正在翻轉預設值。先前,組織必須主動設定無密碼。現在,「Microsoft managed」狀態透過完全不向使用者顯示密碼畫面,主動將使用者推向更強的憑證。這是平台規模的行為設計。

推出目前進行中,將於 2026 年 6 月底前到達所有 Microsoft 管理的租用戶。如果您的組織尚未部署 passkey 或 CBA,您大約有一個月準備——或從「Microsoft managed」切換至「Enabled」模式,將系統偏好邏輯限制於第二因素。

**組織應做什麼:**稽核您已註冊的驗證方法。如果您有使用者註冊了 CBA 憑證但在其所有裝置上沒有可靠 CBA 體驗,這些使用者會在第一因素 CBA 失敗時撞到登入牆——他們可選擇「以其他方式登入」,但摩擦是真實的。在您完成部署時,考慮對尚未 passkey/CBA 就緒的使用者進行基於群組的排除。

跨租用戶群組同步已 GA:多租用戶管理變得更容易

跨租用戶群組同步允許組織跨 Microsoft Entra 租用戶同步安全群組。來源租用戶集中管理群組成員資格,目標租用戶消費這些群組以進行存取控制,而無需複製管理負擔。

**為何重要:**對於透過收購、子公司結構或刻意隔離策略營運多個租用戶的組織,跨邊界管理群組一直是手動、易錯的流程。此功能將現有的跨租用戶使用者同步延伸至包含群組,實現一致的存取控制而無手動保持群組同步的行政稅。

授權需求是 Microsoft Entra ID Governance,與驅動 entitlement management、存取審查與生命週期工作流程的相同 SKU。這與 Microsoft 將治理定位為頂級身分識別層的策略一致。

**組織應做什麼:**如果您的組織營運多個 Entra 租用戶,立即評估跨租用戶群組同步。從以單一用於跨租用戶共享應用存取的安全群組為目標的試導開始。將 entitlement management 授權成本規劃為多租用戶策略的一部分。

安全群組的敏感性標籤:Purview 與 Entra 終於收斂

Microsoft Entra ID 現在支援在公開預覽中將 Microsoft Purview 敏感性標籤套用至雲端安全群組。治理文件分類與 Microsoft 365 群組設定的相同標籤,現在可控制安全群組行為——包括來賓存取政策。

**這比聽起來更大。**敏感性標籤一直是資訊保護的強大工具,但它們在與身分識別治理分離的平面運作。有了安全群組上的標籤,組織可強制執行一致政策:文件上的「機密」標籤現在可對應至治理對其存取的安全群組上的「機密」標籤。標籤成為資料保護與存取控制之間的結締組織。

**組織應做什麼:**如果您有成熟的 Microsoft Purview 部署,立即在安全群組上試導敏感性標籤。將您現有的標籤分類體系對應至群組治理政策。如果您仍在建構 Purview 實務,此功能是加速該工作的令人信服理由——它解鎖了獨立身分識別或資訊保護無法達成的統一政策模型。

透過 Entitlement Management 的 Azure 角色治理:規模化的最小權限

管理群組、訂閱與資源群組層級的 Azure 角色現在可透過 Entitlement Management 中的存取套件治理。這將 Azure RBAC 帶入組織已用於應用存取、群組成員資格與 SharePoint 網站權限的相同請求、核准與生命週期治理模型。

**實用影響:**與其透過 IAM blade 與 PowerShell 指令稿管理 Azure 角色指派,組織現在可為 Azure 角色提供自助存取套件,具備核准工作流程、存取審查與自動到期。這是將最小權限在 Azure 規模上營運化的重要一步。

**組織應做什麼:**從單一非生產訂閱的試導開始。為常用 Azure 角色(例如 Reader 或 Contributor)建立存取套件,設定核准工作流程,並測試體驗。在擴展至管理群組與生產範圍前,用此建立內部流程。

裝置軟刪除:意外刪除的安全網

裝置軟刪除現為公開預覽,將已刪除的裝置物件移至可恢復狀態而非永久移除。它支援 Entra joined、registered 與 hybrid joined 裝置,並在保留期間保留裝置身分識別與安全成品。

**為何此事個別重要:**意外裝置刪除造成了真實損害——遺失的裝置身分識別、損壞的 Autopilot 部署,以及來自孤兒裝置記錄的安全缺口。此功能提供了明顯缺失的恢復路徑。它是群組軟刪除與使用者帳戶恢復的裝置管理等價物。

Passkey 政策擴展也於 5 月到來:FIDO2 passkey 政策現有專屬的 20-KB 配額(與共享的驗證方法池分開),且每租用戶的 passkey 設定檔上限從 3 躍升至 10。這直接支援無密碼推進——舊政策限制對想要細緻 passkey 部署的組織是真實約束。

未改變的部分

值得注意 Microsoft 本月宣布什麼。沒有新的破壞性變更或棄用日期。今年稍早的主要強制執行截止日期——舊版驗證棄用、Azure 的強制 MFA、Connect Sync 安全硬化(6 月 1 日),以及 OnPremisesObjectIdentifier 的 Connect 硬化(7 月 1 日)——仍在軌道上但未被升級。Connect 至 Cloud Sync 遷移時間表仍是 2026 年 7 月開始初始通知,而非強制執行。這是 2026 年第一個「最新消息」頁面完全是附加性的月份——對仍在消化今年稍早破壞的 IT 團隊而言是受歡迎的喘息。

更大的圖像

2026 年 5 月更新揭示了 Microsoft 未來 12 個月將 Entra ID 帶往何處:

**無密碼是預設,不是目標。**系統偏好第一因素、passkey 註冊活動、擴展的政策儲存,以及自動啟用的 passkey 設定檔都指向一個方向:Microsoft 已不再詢問組織是否想要無密碼。平台正被工程化為假設無密碼,而密碼優先驗證成為阻力最大的路徑。

**治理正在收斂。**安全群組上的敏感性標籤與 Entitlement Management 中的 Azure 角色是同一策略推進的兩個前線:統一治理模型,讓資訊保護、身分識別治理與雲端資源管理在單一政策平面上運作。Microsoft 正朝向一個世界建構,在其中單一存取套件可治理群組成員資格、Azure RBAC 與應用存取——具備一致的核准、審查與到期。

**AI 代理身分識別現在是基礎結構。**Agent ID 平台(4 月 GA)、代理的條件式存取、代理登錄,以及現在 Lifecycle Workflows 中的贊助生命週期管理,意味著 Microsoft 將 AI 代理視為具完整生命週期治理的第一級身分識別主體。如果您的組織正在部署 AI 代理——或計畫中——治理它們的身分識別基礎結構現已可用。

**External ID 已為黃金時段就緒。**用於從 Azure AD B2C 大規模遷移的 HSC 模式、passkey 支援,以及 workforce identity federation 都示意 Entra External ID 已成熟。具面向客戶身分識別平台的組織應開始遷移規劃。

需要協助駕馭 Microsoft Entra ID 變更嗎?

Big Hat Group 協助組織設計、部署與管理 Microsoft Entra ID 環境——從無密碼驗證推出到多租用戶治理、身分識別安全與 AI 代理身分識別策略。聯絡我們以討論這些變更如何影響您的路線圖。

Big Hat Group 是專精於身分識別安全、Microsoft Entra ID 與現代端點管理的 Microsoft 合作夥伴。