{{Безопасность идентификации в Microsoft Entra: RSAC 2026}}

{{# Microsoft меняет подход к безопасности идентификации для современных атак

Введение

Идентификация стала одной из основных поверхностей атаки, поскольку организации управляют всё большим числом пользователей, service accounts и новыми agentic identities в облачных и локальных средах. Последний посыл Microsoft в области безопасности ясен: фрагментированные инструменты идентификации и доступа создают пробелы, которыми могут воспользоваться злоумышленники, поэтому защитникам нужен более единый подход в реальном времени.

Что нового

На RSAC 2026 Microsoft представила более широкую стратегию безопасности идентификации, построенную вокруг Microsoft Entra, Microsoft Defender и Security Copilot.

Ключевые анонсы

• Единая модель безопасности идентификации, объединяющая инфраструктуру идентификации, управление доступом и защиту от угроз.
• Новая панель мониторинга безопасности идентификации в Microsoft Defender, показывающая, где сосредоточен риск идентичностей среди человеческих и нечеловеческих идентичностей, типов учётных записей и провайдеров.
• Унифицированная оценка риска идентичностей, которая сводит более 100 триллионов сигналов Microsoft Security в единое представление об уровне подверженности и риске.
• Применение Conditional Access на основе риска через Microsoft Entra, позволяющее применять защиту непосредственно в точке доступа.
• Адаптивное устранение рисков в Microsoft Entra ID Protection, предназначенное для настройки мер реагирования в зависимости от типа угрозы и контекста учётных данных.
• Расширенные возможности triage для идентичностей в Security Copilot, использующие AI для снижения шума оповещений и предоставления аналитикам более понятных и объяснимых выводов.
• Автоматическое прерывание атак, позволяющее завершать сеансы, отзывать доступ и применять just-in-time hardening во время активных атак.

Почему это важно для IT- и security-команд

Microsoft утверждает, что атаки на идентичности теперь в меньшей степени зависят от того, чья именно учётная запись была скомпрометирована, и в большей — от того, к чему эта идентичность может получить доступ. В сложных средах с дублирующимися инструментами управления доступом и несколькими поставщиками видимость часто разделена между разными консолями, что затрудняет сопоставление рисков и обнаружение lateral movement.

Для IT-администраторов это означает, что решения, связанные с идентичностями, больше не могут быть статичными. Conditional Access и защита идентичностей должны непрерывно оценивать риск, используя сигналы от идентичности, устройства, сети и более широкой threat intelligence. Для SOC-команд единое представление об идентичностях может улучшить приоритизацию и сократить время реагирования при появлении подозрительных путей доступа.

Практическое влияние

Организациям, использующим Microsoft Entra и Defender, стоит ожидать более тесной интеграции между состоянием защиты идентичностей, применением политик доступа и реагированием на угрозы. Новая панель мониторинга и оценка риска особенно актуальны для команд, которые стремятся сократить разрастание идентичностей, понять blast radius и сосредоточить устранение проблем на учётных записях и разрешениях с наивысшим риском.

Следующие шаги

• Проверьте текущий набор инструментов идентификации на предмет дублирования и фрагментированного применения политик.
• Оцените конфигурации Microsoft Entra Conditional Access и ID Protection.
• Проанализируйте, как сегодня оповещения, связанные с идентичностями, поступают в ваши процессы SOC.
• Следите за подробностями о доступности новой панели мониторинга идентичностей в Defender и функций унифицированной оценки риска.
• Рассмотрите, как Security Copilot может поддержать triage оповещений и процессы расследования, связанные с идентичностями.

Направление Microsoft очевидно: безопасность идентификации должна перейти от разрозненных средств контроля к непрерывному интегрированному уровню защиты, способному обнаруживать, адаптироваться и реагировать в реальном времени.}}