Microsoft Entra 2025년 11월 업데이트: Agent 거버넌스와 로그인 보호

Introduction: why this matters

Microsoft Entra의 2025년 11월 업데이트는 명확한 주제를 다시 확인시켜 줍니다. ID 보안은 AI agent, 최신 인증, 그리고 더 안전한 로그인 표면까지 확장되어야 합니다. IT 관리자에게 이번 달은 agent를 거버넌스하고 GenAI 앱을 보호하기 위한 새로운 preview를 제공하는 동시에, 기존 워크플로에 영향을 줄 수 있는 보안 강화 및 수명주기/API 변경을 도입합니다.

What’s new (highlights)

AI-era identity & agent governance

• Microsoft Entra Agent ID (Public Preview): Agent 365 control plane의 일부로 AI agent를 관리, 거버넌스, 보호하기 위한 새로운 기능을 제공합니다.
• Security Copilot included in Microsoft 365 E5: Entra 및 새로운 Entra agent에서 Copilot 경험에 대한 접근을 확대하여, 더 많은 관리자에게 고급 보안 지원을 제공합니다.
• Entra Suite Prompt Shield (Public Preview): prompt injection attacks로부터 엔터프라이즈 GenAI 애플리케이션을 보호하는 데 도움을 줍니다.
• Synced passkeys + self-service account recovery (Public Preview): 인증 방법 전반에서 더 폭넓은 복구 옵션을 제공하여, 피싱 저항성이 있는 인증 도입을 개선합니다.

Microsoft Entra ID: security and admin experience changes

• Block external script injection during Entra ID sign-in (Action may be required): Entra ID는 login.microsoftonline.com에서 무단 스크립트 실행을 방지하고 XSS 위험을 줄이기 위해 더 엄격한 **Content Security Policy (CSP)**를 적용했습니다.
• Jailbreak/Root detection in Microsoft Authenticator (Action may be required): 2026년 2월부터 Authenticator는 탈옥/루팅된 기기(iOS 및 Android)에서 Entra credentials를 비활성화하고 삭제합니다. 관리자 구성이 필요하지 않습니다.
• Replace “Revoke MFA sessions” with “Revoke sessions” (Action may be required): 2026년 2월부터 포털 작업은 모든 사용자 세션(MFA 포함)을 무효화하여, Conditional Access 및 사용자별 MFA 전반에서 동작을 일관되게 맞춥니다.

Governance, External ID, and network access updates

Entra ID Governance

• 외부 사용자를 내부 멤버로 전환, SCIM 2.0 SAP CIS connector(그룹 프로비저닝 포함), Entitlement Management의 eligible group memberships/ownerships, Lifecycle Workflows 개선(실패 재처리, sensitivity label 지원, 비활성 직원/게스트 트리거) 등 새로운 기능이 포함됩니다.
• PIM API deprecation (Action may be required): Iteration 2 (beta) PIM API는 2026년 10월 28일에 데이터 반환을 중단합니다. Iteration 3 (GA) API로의 마이그레이션을 권장합니다.

Entra External ID

• Australia 및 Japan으로 지역 확장, 외부 tenant를 위한 Azure Monitor/Sentinel 설정 단순화, 추가적인 fraud/WAF 통합이 포함됩니다.

Global Secure Access

• GSA + Netskope ATP/DLP, Internet Access TLS Inspection 등 새로운 통합이 추가됩니다.

Impact for IT administrators

• CSP 강화로 인해(특히 확장 프로그램 또는 도구가 스크립트를 주입하는 경우) 로그인 흐름 호환성 테스트가 필요할 수 있습니다.
• 손상된 기기에서의 Authenticator 동작 변경과 사용자 차단으로 인한 잠재적 지원 티켓을 대비해야 합니다.
• 새로운 “Revoke sessions” 동작을 오해하지 않도록 세션 철회 관련 운영 Runbook을 업데이트하세요.
• PIM iteration 2 엔드포인트에 의존한다면 API 현대화 작업을 시작하세요.

Recommended next steps

1. 브라우저 및 관리되는 엔드포인트 전반에서 로그인 흐름을 테스트하고, Entra 로그인 페이지에 스크립트를 주입하는 도구는 제거/대체하세요.
2. 2026년 2월 이전에 Authenticator의 탈옥/루팅 탐지 및 필요한 조치에 대해 최종 사용자에게 사전 안내하세요.
3. Revoke sessions를 사용하도록 헬프데스크/관리자 문서를 업데이트하고, 더 넓어진 영향을 문서화하세요.
4. 지금부터 PIM API 마이그레이션 계획을 시작하세요. iteration 2 API에 대한 신규 개발은 중단하고 iteration 3 호환성을 검증하세요.
5. preview(Agent ID, Prompt Shield, passkeys recovery)를 통제된 파일럿에서 평가하여 거버넌스 및 보안 적합성을 점검하세요.