Microsoft Entra 2025年11月更新: サインイン保護強化と管理者対応
概要
Microsoft Entraの2025年11月更新では、AIエージェント管理のためのEntra Agent IDや、GenAIアプリをプロンプトインジェクションから保護するPrompt Shieldなど、AI時代のID保護を強化する新機能が公開プレビューとして追加されました。あわせて、サインイン時の外部スクリプト注入を防ぐCSP強化、Authenticatorの脱獄・ルート端末対応、セッション失効動作の変更など管理者対応が必要な更新も含まれており、既存運用やユーザー影響を事前に確認することが重要です。
Entra IDでお困りですか?専門家に相談する
Introduction: why this matters
Microsoft Entra の 2025年11月の更新は、明確なテーマをさらに強化しています。すなわち、ID セキュリティは AI エージェント、モダン認証、そしてより安全なサインイン サーフェスにまで拡張されなければなりません。IT 管理者にとって今月は、エージェントを統制し GenAI アプリを保護するための新しいプレビューが提供される一方で、既存ワークフローに影響し得るセキュリティ強化やライフサイクル/API 変更も導入されます。
What’s new (highlights)
AI-era identity & agent governance
- Microsoft Entra Agent ID (Public Preview): Agent 365 control plane の一部として、AI エージェントを管理・ガバナンス・保護するための新機能。
- Security Copilot included in Microsoft 365 E5: Entra および新しい Entra エージェントにおける Copilot エクスペリエンスへのアクセスを拡大し、高度なセキュリティ支援をより多くの管理者が利用可能に。
- Entra Suite Prompt Shield (Public Preview): エンタープライズ向け GenAI アプリケーションを prompt injection attacks から保護するのに役立ちます。
- Synced passkeys + self-service account recovery (Public Preview): フィッシング耐性のある認証の採用を促進し、認証方法全体でより幅広い復旧オプションを提供します。
Microsoft Entra ID: security and admin experience changes
- Block external script injection during Entra ID sign-in (Action may be required): Entra ID は
login.microsoftonline.comに対して、より厳格な Content Security Policy (CSP) を展開し、未承認のスクリプト実行を防止して XSS リスクを低減します。 - Jailbreak/Root detection in Microsoft Authenticator (Action may be required): 2026年2月 から、Authenticator は脱獄/ルート化されたデバイス(iOS および Android)上で Entra credentials を無効化し、消去します。管理者側の構成は不要です。
- Replace “Revoke MFA sessions” with “Revoke sessions” (Action may be required): 2026年2月 から、ポータル操作により(MFA を含む)すべてのユーザー セッションが無効化され、Conditional Access とユーザーごとの MFA 間で動作が揃えられます。
Governance, External ID, and network access updates
Entra ID Governance
- 外部ユーザーの内部メンバーへの変換、(グループ プロビジョニングを含む)SCIM 2.0 SAP CIS connector、Entitlement Management における eligible group memberships/ownerships、および Lifecycle Workflows の改善(失敗の再処理、感度ラベルのサポート、非アクティブな従業員/ゲスト向けトリガー)などの新機能。
- PIM API deprecation (Action may be required): Iteration 2 (beta) PIM API は 2026年10月28日 に データを返さなくなります。Iteration 3 (GA) API への移行が推奨されます。
Entra External ID
- オーストラリアおよび日本へのリージョン拡張に加え、外部テナント向けの Azure Monitor/Sentinel セットアップの簡素化、ならびに追加の不正対策/WAF 連携。
Global Secure Access
- GSA + Netskope ATP/DLP や Internet Access TLS Inspection などの新しい統合。
Impact for IT administrators
- CSP 強化により、(特に拡張機能やツールがスクリプトを注入する場合)サインイン フローの互換性テストが必要になることが想定されます。
- 侵害されたデバイスにおける Authenticator の動作変更と、ユーザーがブロックされた際のサポート チケット発生の可能性に備えてください。
- 新しい「Revoke sessions」の挙動を誤解しないよう、セッション取り消しに関する運用手順書を更新してください。
- PIM iteration 2 エンドポイントに依存している場合は、API モダナイゼーションを開始してください。
Recommended next steps
- ブラウザーおよび管理対象エンドポイント全体で サインイン フローをテストし、Entra サインイン ページにスクリプトを注入するツールは削除/置き換えを実施します。
- 2026年2月に先立ち、Authenticator の脱獄/ルート検出と必要な是正対応について エンドユーザーへ事前通知します。
- ヘルプデスク/管理者向けドキュメントを更新して Revoke sessions を用いるようにし、その影響範囲が広いことを明記します。
- PIM API の移行計画を今すぐ開始し、iteration 2 API での新規開発を停止して iteration 3 の互換性を検証します。
- プレビュー(Agent ID、Prompt Shield、passkeys recovery)を管理されたパイロットで評価し、ガバナンスおよびセキュリティ要件への適合性を確認します。
Microsoftテクノロジーの最新情報を入手
Microsoft EntraEntra IDConditional AccessAuthenticationIdentity Governance