Microsoft Entra の What's new（Oct 02 2023）

2023年7月～9月にリリースされた新機能と、2023年9月の変更点について。

これらは、リリースノートやメール通知でもお知らするとされています。

Microsoft Entra ID についての各種ニュースリリースは、上記のページにリンク先が羅列されていますので、ご参照ください（多いので転記はしません）。

以下、変更点のお知らせについてのサマリです。

FIDO2 認証方法の変更

2024年2月以降、Microsoft Entra ID は、FIDO2 セキュリティキーの既存サポートに加えて、コンピューターとモバイルデバイスに格納されている「デバイスバインドキー」をサポートする。（パブリックプレビュー）
従来の物理的なセキュリティキーの FIDO2 のみを優先する場合は、ポリシー制御で設定する。
新しいプレビューでは、Windows、macOS、iOS、Android に保存されているデバイスバインドパスキーに設定できる。

Azure AD Graph の更新

2023年6月に、Azure AD Graph API の廃止をアナウンス済み
最初の段階では、新規作成されたアプリケーションが、Azure AD Graph API を使用できなくなる
2023年 9月の更新
- 廃止された Azure AD Graph API を使用しているアプリケーションを特定するのは難しいという声がある
- 更新または変更が必要なアプリケーションを特定して優先順位を付けるための情報提供を、近日中にお知らせする
- 新規作成されたアプリケーションが Azure AD Graph API を使用できなくなる日は、少なくとも 3か月前に通知する
使用できなくなる日付はまだ設定されていないが、近い将来、タイムラインとアクション詳細を提供する

サインインリスクポリシー、ユーザーリスクポリシー、Entra ID Protection から条件付きアクセスへの移行

Entra ID Protection（以前の Identity Protection）でユーザーリスクポリシーまたはサインインリスクポリシーを有効にしている場合は、条件付きアクセスへ移行することをお勧め
Entra ID Protection のこれら２つのリスクポリシーの UX は、2026年10月1日に廃止される
条件付きアクセスで構成する利点
- すべてのアクセスポリシーを1ヶ所で管理
- レポート専用モードと Graph API サポート
- リスク条件を、ロケーションなど他の条件と組合せられる
- 様々なユーザーグループやリスクレベルを対象とする複数のポリシー
- サインインログに適用されたリスクベースポリシーを記録でき、診断が向上する

従来の多要素認証（MFA）およびセルフサービスパスワードリセット（SSPR）ポリシーの認証方法管理の廃止日を延期

（MFA方法の）登録キャンペーンの改善

ユーザーに SMS や音声応答の MFA 方法から移行を促す登録キャンペーン機能を改善
ユーザーはプロンプトを最大3回スキップできるが、その後は（MFA方法の）登録フローを実行する必要がある
「Microsoft Managed」に設定されている Entra ID Premium のテナントには、2023年9月から、SMS や音声応答に依存する MFA ユーザーに対して、この機能のロールアウトを開始する

ユーザーごとの MFA ポリシーで Authenticator Lite のサポート

Authenticator Lite は、Outlook モバイルで Microsoft Authenticator のように MFA 応答する機能
認証方法ポリシーを設定して使用
2023年9月中旬から、ユーザーごとの MFA ポリシーの「モバイルアプリによる通知」メソッドが更新され、有効の場合は Authenticator Lite も有効になる。
（使用したくない場合は、無効に設定する必要がある）

WhatsApp を介した最適化された MFA OTP 配信

「自分のグループ」の管理権限の変更（アクセスパネル）

2024年6月以降、セルフサービスグループ管理設定の「[自分のグループ] でのグループ機能に対するユーザーアクセス権を制限します。」は廃止され、「自分のグループ」は無効にできなくなる
6月には、管理者がエンドユーザーによる「自分のグループ」の管理を制限できる新しい設定が有効になる

Graph サービスエンドポイントで HTTP/2 を有効にする

tos-akibaのブログ