Microsoft Defender for Office 365（および Exchange Online）で、QR コードによるフィッシングに対する検出、保護が追加されています。
Protect your organizations against QR code phishing with Defender for Office 365 - Microsoft Community Hub

QR コードによるフィッシングキャンペーンは最近のメールベース攻撃の中で急速に増加しており、悪意あるコンテンツへリンクした QRコード画像をメール本文に埋め込んで検出を回避するそうです。
Microsoft Security Resarch & Threat Intelligence によると、2023年9月中旬頃から QRコードに関連するフィッシング攻撃が大幅に増加しており、1週間で 23% も増加しているとの報告です。
QR コードが悪用される理由は、
　・ 画像として表示されるので、レンダリングされるまで読み取れない
　・ 安全性の低い個人所有のモバイルデバイスが狙われる

上記のブログでは、QRコードがメール本文のインライン、画像イメージの中、添付PDFファイル内、に埋め込まれている例が紹介されています。
これらにより、URL の文字列で脅威検出していたチェックをすり抜けてしまいます。

Defender for Office 365 と Exchange Online Protection では、高度な画像抽出テクノロジによりメール内の QRコードを検出し、その URL メタデータを抽出して脅威保護やフィルタリング機能へフィードします。
Defender for Office 365 は、それらをサンドボックス内での事前チェックなどでユーザーのメールボックス到達前にブロックします。

Microsoft は Defender for Office 365 と Exchange Online Protection 内に展開されたヒューリスティックルールでは悪意あるメッセージを推論し、過去数か月で１日あたり 150万件の QRコードフィッシングをブロックしており、
QR コード画像を含む一意のフィッシングメールは毎週平均 1,800万件以上、1日に約300万件、ブロックしているそうです。

QR コードフィッシングの多くは、資格情報とセッション Cookie 傍受の中間者（AiTM）攻撃でアカウント ID を標的とするため、Microsoft は Defender XDR で包括的な防御や保護をおすすめしています。

Ignite での Microsoft Entra に関する発表のブログ投稿を読んで。
Identity at Microsoft Ignite: Securing access in the era of AI - Microsoft Community Hub

• Microsoft Entra ＋ Security Copilot
• Security Service Edge（SSE）ソリューション
• 条件付きアクセスの自動ロールアウト
• より堅牢な権限管理のための統合

Microsoft Entra 管理センターにも、Security Copilot が組み込まれるようで、会話形式で条件付きアクセスポリシーの機能を聞いたり、ユーザーがサインインできなかった理由などのトラブルシューティングを行えるとあります。
これが活用できると、設定上のメニュー内容でよく分からない項目を聞いて、別途オンラインドキュメントを検索して調べに行く時間を短縮できるかもしれませんし、トラブルシューティングも別画面でログを検索したりする手間が省けそうに思います。
運用上の作業効率が上がりそうなので大いに期待できそうです。

SSE ソリューションとして公開されている Microsoft Entra Internet Access と Microsoft Entra Private Access については、やはり、条件付きアクセスにネットワーク状態も加えて統合できる所が強みの１つです。
Internet Access については、パブリックプレビューを拡張して 2023年末までにすべてのインターネットアプリとリソースに新しいコア機能を含める、とあるので、機能的なインプリメントがされるようですね。

• Webコンテンツフィルタリングを備えた Context-aware SWG
• 外部Webサイトなど任意のネットワーク先に適応した、ユニバーサル条件付きアクセス
• コンプライアントに準拠したネットワークかのチェック
• ID Protection と条件付きアクセスの場所ポリシーで元のソース IP を維持

Private Access については、プライベートプレビューの新機能として、

• UDP やプライベートDNS などより多くのプロトコル サポート
• 条件付きアクセス制御と MFA などによるリモートおよびオンプレミスユーザーのプライベートアプリやリソースへのセキュリティ保護

SSE ソリューションは現在、中国とロシアを除く全世界で利用可能とされています。

条件付きアクセスポリシーの自動ロールアウトについては、昨年、Microsoft は既存の約 700万のテナントに対し、Microsoft Entra（旧 Azure AD）のセキュリティ既定値群を有効化して 80％の侵害をカットしており、条件付きアクセスポリシーにおいても「Microsoft マネージド 条件付きアクセスポリシー」が展開されています。
これは３つのポリシーから開始されます。

• 管理ポータルへのアクセスに多要素認証を必須
• 「ユーザーごとの MFA」機能利用者に多要素認証を必須
• リスクの高いサインインに多要素認証を要求

これらの詳細については、以下の Microsoft の日本語ブログに分かり易い説明が掲載されています。
Microsoft マネージド条件付きアクセス ポリシー | Japan Azure Identity Support Blog

また、Windows 11 以降のパスキーのサポートについて述べられており、Microsoft Authenticator アプリで管理されるパスキーを使用してのサインインが紹介されています。

さらに、ID Protection で異常検出された場合に条件付きアクセスではトークンを期限切れにして再認証を強制できることや、オンプレミスで AD DS のパスワード変更した場合に ID Protection のリスクステータスが修復されるよう改善されたことも述べられています。
これに関しては、私の以前の投稿で少し説明しています。
オンプレミスのパスワード変更を、ユーザーリスク修復に反映する - tos-akibaのブログ

最期に、Microsoft Entra Permissions Management の２つの統合について。
１つは、Microsoft Defender for Cloud との統合プレビューで、ID とアクセス許可の分析情報が、Azure、AWS、GCP のクラウドセキュリティ情報と１つの画面に統合して表示されます。
２つ目は、ServiceNow とのアクセス許可要求の連携です。

先週の Microsoft Ignite 2023 において、セキュリティプラットフォームに関する発表がありました。
・Ignite news: XDR in an era of end-user-to-cloud cyberattacks and securing the use of AI
・Introducing a Unified Security Operations Platform with Microsoft Sentinel and Defender XDR - Microsoft Community Hub

まず、Microsoft 365 Defender が Microsoft Defender XDR の新しい名称になりました。
そして、Microsoft Defender XDR、Microsoft Sentinel、Microsoft Security Copilot が「 Unified Security Operations Platform 」として統合され、ひとつの運用画面にまとまって表示されるデモが公開されました。
Security Copilot は今まで単独の画面でデモされていましたが、統合された画面では右端に組み込まれる形で表示されていました。
Intune 画面にも同じように右端に Security Copilot が連携されるようです。

これら３つが統合されたツールセットになることにより、それぞれの画面切り替えを大幅に削減でき、セキュリティチームの業務効率アップが期待されます。

なお、Microsoft Defender XDR については、オンラインドキュメントがすでにあり、Microsoft Defender XDR で「コーディネート」される Microsoft Defender XDR 製品とソリューションが挙げられています。
　・ Microsoft Defender for Endpoint
　・ Microsoft Defender for Office 365
　・ Microsoft Defender for Identity
　・ Microsoft Defender for Cloud Apps
　・ Microsoft Defender Vulnerability Management
　・ Microsoft Entra ID Protection
　・ Microsoft Data Loss Prevention
　・ App Governance

Microsoft Defender XDRとは | Microsoft Learn

「コーディネート」なので、これらすべてが Defender XDR に含まれるわけではなくて、連携されると捉えれば良いのかなと思います。

ライセンスについては今まで通りのそれぞれの名称で変わりがないようです。
Microsoft Defender XDRの前提条件 | Microsoft Learn

多要素認証（MFA）において、電話応答よりもフィッシング耐性の強い Microsoft Authenticator での応答の方をお勧めされていますが、MFA 疲労攻撃に対する機能が追加されました。
Emphasizing Security by Default with Advanced Microsoft Authenticator Features. - Microsoft Community Hub

Microsoft Authenticator の通知プロンプトは、ユーザーがログインしようとする時に表示されますが、MFA 疲労攻撃などでハッカーによってトリガーされた場合にも表示されるため、フィッシングされてしまう可能性があります。

これに対し、リクエストが異常な場合に Authenticator のポップアップ通知を抑制する追加機能が 9月末にロールアウトされています。
導入開始以来、600万件以上の大多数のハッカーが開始した MFA 通知を阻止しているそうです。

この機能は、要求が普段と違う場所から発信されたり、その他の異常発生など潜在的なリスクがある場合には Authenticator の通知を抑制し、不正な認証プロンプト通知を表示しないことにより不要な通知が減り、ユーザーの不便さも軽減しました。

リスクが高いログイン要求が発生した場合は、標準の通知は表示されませんが、Authenticator を開くと要求は表示されるため、もし正規のリクエストであった場合は応答することができます。

（参考）
Microsoft Authenticator の認証方法 | Microsoft Learn