Microsoft Entra 製品ファミリについて、Microsoft の Q4(2023年4月~6月)の新機能リリースと既存機能の変更点をまとめたお知らせの投稿がありました。
Microsoft Entra new feature and change announcements - Microsoft Community Hub
対象は Entra の5つの製品(Verified ID 以外)です。
1.Azure Active Directory
2.Microsoft Entra Permissions Management
3.Microsoft Entra Workload Identities
4.Microsoft Entra External ID
5.Microsoft Entra Identity Governance
※ External ID は、本執筆時点で日本語版の Microsoft Entra サイトには載っていませんが、英語版サイトには掲載あります。
Microsoft Entra - Secure Identities and Access | Microsoft Security
本投稿では、まず1.Azure Active Directory の部分について、以下に要約と補足して記載します。
Azure Active Directory
新機能リリース
・モバイルでの Azure AD 証明書ベース認証(CBA)
Azure AD Certificate-Based Authentication (CBA) on Mobile now Generally Available! - Microsoft Community Hub
・Apple デバイス用の Microsoft Enterprise SSO
Microsoft Enterprise SSO plug-in in Microsoft Intune | Microsoft Learn
・ SP-initiated フローの SAML 要求の署名検証
署名付き SAML 認証要求を適用する - Microsoft Entra | Microsoft Learn
・ 条件付きアクセス認証の強度
Azure Active Directory の認証強度の概要 - Microsoft Entra | Microsoft Learn
・ 条件付きアクセス 外部ユーザーの種類へのきめ細かい制御
B2B ユーザーの認証と条件付きアクセス - Microsoft Entra | Microsoft Learn
・ Azure AD Identity Protection: 検証済み脅威アクターの IP サインイン検出
リスクとは Azure AD Identity Protection - Microsoft Entra | Microsoft Learn
・ Secure Defaults: Azure RBAC ロールの選択エクスペリエンス
Azure portal を使用して Azure ロールを割り当てる - Azure RBAC | Microsoft Learn
・ システム優先多要素認証
システム優先多要素認証 (MFA) - Microsoft Entra | Microsoft Learn
・ マイセキュリティ情報での Microsoft Authenticator 種類の表示
新機能 リリース ノート - Microsoft Entra | Microsoft Learn
・ Authenticator Lite (in Outlook)
Outlook モバイルに対して Microsoft Authenticator Lite を有効にする方法 - Microsoft Entra | Microsoft Learn
・ Identity Protection と統合された疑わしいアクティビティの報告
Azure AD Multi-Factor Authentication を構成する - Microsoft Entra | Microsoft Learn
・ 保留中のデバイスに対するセルフヘルプ機能
Azure Active Directory の保留中のデバイス - Active Directory | Microsoft Learn
・ Azure AD プロビジョニング エージェントを介した PowerShell と Webサービス コネクタのサポート
PowerShell を使用したアプリケーションへの Azure AD プロビジョニング - Microsoft Entra | Microsoft Learn
・ 管理者による、ユーザーのテナント作成の制限
既定のユーザー アクセス許可 - Microsoft Entra | Microsoft Learn
・ 管理者による、ユーザーのセルフサービスでの BitLocker キーへのアクセス制限
既定のユーザー アクセス許可 - Microsoft Entra | Microsoft Learn
既存機能の変更
・「マイ セキュリティ情報」でのパスワード管理のエクスペリエンス向上(アクション不要)
2023年10月から段階的にロールアウトされ、エンドユーザーのマイ セキュリティ情報管理ポータル(mysignins.microsoft.com/security-info)のパスワード管理が向上しました。
ユーザーはパスワード変更でき、MFA 利用者はパスワードリセットできます。
2023年12月までに、パスワード変更は新しいエクスペリエンスへリダイレクトされ、この変更は自動的に行われます。
・ Voice OTP の導入(アクション必要な場合あり)
音声通話は最も安全性の低い MFA の認証方法であり、Microsoft Authenticator(MFA とパスワードレス両方)や Windows Hello for Business など、はるかに優れた方法があります。
音声通話の方法から変更をお勧めしますが、音声通話に依存しているユーザーのために、セキュリティを改善しています。
「#」を押して認証確認するのではなく、音声通話中にワンタイムパスコード(OTP)がユーザーに読み上げられます。
この音声OTP には、2つの配信方法(SMS と音声OTP)があります。
従来の音声は非推奨になるため、音声OTP への移行をお勧めします。
2023年7月以降、Azure AD 無料ライセンスを使用するすべての新規テナントには、この新しい最適化されたチャネルが適用されます。
Azure AD 無料ライセンスの既存テナントには 8月上旬からロールアウト開始し、その後、Azure AD Premium ライセンスのお客様には構成が可能になると提供されます。
この変更はメッセージセンターで管理者に連絡されます。
・登録キャンペーンの改善(アクション必要な場合あり)
ユーザーが SMS や音声の MFA方法から変更しやすいように、登録キャンペーン機能(ナッジ)を改善しています。
ユーザーはセットアップの誘導を3回までスキップできますが、その後は登録フローの実行が必要になります。
Azure AD テナントの場合、MFA を SMS や音声に依存しているユーザーに対し、この機能を有効にします。2023年7月以降、Azure AD 無料ライセンスのテナントから段階的なロールアウトを開始し、世界中のすべての組織へ展開します。
Microsoft Authenticator をセットアップするようにユーザーにナッジする - Microsoft Entra | Microsoft Learn
・Azure AD での IPv6 有効化がユーザー影響を与える可能性がある(アクション必要な場合あり)
IPv6 のロールアウトは、すべてのリージョンで 6/30 に終了します。
ユーザーがブロックされたり通常より多くの MFA要求を受信したりする場合、テナントのサインインログの確認をお勧めします。
この影響は、テナントのネームドロケーションで構成されていない IPv6 範囲から接続するエンドユーザーが原因である可能性があるため、以下のガイダンスで IPv6 範囲を特定し、必要な設定を構成してください。
・ IT/セキュリティ管理者:
サインインレポートのアドレス一覧を使用し、ネームドロケーションに IPv6範囲を追加するか判断する。
Azure Active Directory でのネットワークと国/リージョンの使用 - Microsoft Entra | Microsoft Learn
・ ネットワーク管理者:
ネットワーク インフラ内の既知の IPv6 範囲を特定し、必要なら追加。
Azure Active Directory でのネットワークと国/リージョンの使用 - Microsoft Entra | Microsoft Learn
・マイアカウントのプロファイルページのリプレース(アクション不要)
従来のプロファイルページ(account.activedirectory.windowsazure.com/r/#/profile)をリプレースし、2023年10月に新しいマイ アカウント ページが提供されます。7月から10月にかけて、プロファイルページのバナーに通知されます。
10月に、ユーザーは自動的に「マイ アカウント」にリダイレクトされるので、組織で許可リストを設定している場合は更新が必要です。
(myaccount.microsoft.com)
・ ユーザーごとの MFA 設定の最新化(アクション不要)
2023年10月から、最新のユーザーごとの MFA 設定エクスペリエンスが展開されます。これはすべての顧客に対し自動的に行われます。
ユーザーごとの Multi-Factor Authentication を有効にする - Microsoft Entra | Microsoft Learn
・ Azure AD Graph の廃止と PowerShell モジュール非推奨(アクション必要な場合あり)
2019年に Azure AD Graph サービスの非推奨を発表し、Azure AD Graph が 2023年6月30日以降のある時点で機能しなくなることを通知しました。
また、3つのレガシー PowerShell モジュール(Azure AD、Azure AD Preview、MS Online)が 2023年6月30日に非推奨になることも通知しました。
多くのお客様が移行をまだ完了しておらず、影響を最小限に抑えて回避するため協力する継続的なコミットメントを確認しています。
Important: Azure AD Graph Retirement and Powershell Module Deprecation - Microsoft Community Hub
・ PowerShell:
一部のシナリオは Microsoft Graph PowerShell SDK ではまだ使用できないことを認識しており、レガシー PowerShell モジュールの非推奨日を 2024年3月30日に延期しました。
・ Azure AD Graph:
2023年6月30日時点で、Azure AD Graph はリタイアサイクルに入っています。
アプリケーションへの影響はありませんが、Azure AD Graph API には、セキュリティ関連の修正以外の SLA やメンテナンスのコミットメントはありません。
Azure AD Graph は段階的に廃止となり、各ステップの3か月前に通知されます。廃止の最初は、新規アプリで Azure AD Graph が使用できなくなります。
すべてのお客様に、移行計画を開始することを強くお勧めします。