Entra ID

Microsoft Entra 2025年11月更新:Agent治理与登录保护

3分钟阅读

摘要

Microsoft Entra 2025年11月更新聚焦“AI时代的身份安全”,新增 Entra Agent ID、Prompt Shield、同步通行密钥与自助恢复等预览功能,帮助企业治理 AI agents、保护 GenAI 应用并提升抗钓鱼登录能力。与此同时,微软还推出更严格的登录页脚本防护、即将对越狱/Root 设备禁用 Authenticator 凭据、调整会话撤销行为,并提醒管理员关注 PIM API 弃用等变更,因为这些更新可能直接影响现有认证、治理与自动化流程。

需要Entra ID方面的帮助?咨询专家

引言:为什么这很重要

Microsoft Entra 2025 年 11 月的更新进一步强化了一个明确主题:身份安全必须延伸到 AI agents、现代身份验证,以及更安全的登录表面。对于 IT 管理员而言,本月带来用于治理 agents 和保护 GenAI 应用的新预览功能,同时也引入了安全加固与生命周期/API 变更,可能会影响现有工作流。

新增内容(亮点)

AI 时代的身份与 agent 治理

  • Microsoft Entra Agent ID(Public Preview): 新增能力,用于在 Agent 365 control plane 中管理、治理并保护 AI agents。
  • Security Copilot 已包含在 Microsoft 365 E5 中: 扩大对 Entra 及新 Entra agents 中 Copilot 体验的访问,让更多管理员获得高级安全辅助能力。
  • Entra Suite Prompt Shield(Public Preview): 帮助保护企业 GenAI 应用免受 prompt injection attacks
  • Synced passkeys + self-service account recovery(Public Preview): 通过跨身份验证方法的更广泛恢复选项,提升对抗钓鱼的身份验证采用率。

Microsoft Entra ID:安全与管理体验变更

  • 在 Entra ID 登录期间阻止外部脚本注入(可能需要采取行动): Entra ID 已在 login.microsoftonline.com 上推出更严格的 Content Security Policy (CSP),以防止未授权脚本执行并降低 XSS 风险。
  • Microsoft Authenticator 的 Jailbreak/Root 检测(可能需要采取行动):2026 年 2 月起,Authenticator 将在已越狱/Root 的设备(iOS 和 Android)上禁用并清除 Entra credentials。无需管理员配置。
  • 用“Revoke sessions”替代“Revoke MFA sessions”(可能需要采取行动):2026 年 2 月起,门户中的该操作将使 所有用户会话(包括 MFA)失效,使其在 Conditional Access 与 per-user MFA 之间的行为保持一致。

治理、External ID 与网络访问更新

Entra ID Governance

  • 新增能力包括 将外部用户转换为内部成员SCIM 2.0 SAP CIS connector(支持组预配)、Entitlement Management 中的 eligible group memberships/ownerships,以及对 Lifecycle Workflows 的改进(重新处理失败项、支持 sensitivity label、为非活动员工/来宾提供触发器)。
  • PIM API 弃用(可能需要采取行动): Iteration 2(beta)PIM API 将于 2026 年 10 月 28 日停止返回数据。建议迁移到 Iteration 3(GA) API。

Entra External ID

  • 区域扩展至 Australia 和 Japan,并为外部租户简化 Azure Monitor/Sentinel 设置,同时新增更多 fraud/WAF 集成。

Global Secure Access

  • 新增集成,例如 GSA + Netskope ATP/DLP 以及 Internet Access TLS Inspection

对 IT 管理员的影响

  • 由于 CSP 收紧,预计需要进行 登录流程兼容性测试(尤其是在扩展或工具会注入脚本的情况下)。
  • 针对被攻陷设备上的 Authenticator 行为变化进行规划,并预期当用户被阻止时可能出现支持工单。
  • 更新 会话吊销相关的运行手册,避免对新的 “Revoke sessions” 行为产生误解。
  • 如果你依赖 PIM iteration 2 端点,请启动 API 现代化工作。

建议的后续步骤

  1. 在不同浏览器与受管终端上 测试登录流程;移除/替换任何会向 Entra 登录页面注入脚本的工具。
  2. 在 2026 年 2 月前 提前通知终端用户 Authenticator 的 jailbreak/root 检测与所需修复措施。
  3. 更新服务台/管理员文档,统一使用 Revoke sessions,并记录其更广泛的影响。
  4. 立即 开始 PIM API 迁移规划;停止在 iteration 2 API 上的新开发,并验证 iteration 3 兼容性。
  5. 在受控试点中评估各项预览(Agent ID、Prompt Shield、passkeys recovery),以判断其治理与安全适配性。

需要Entra ID方面的帮助?

我们的专家可以帮助您实施和优化Microsoft解决方案。

咨询专家

获取微软技术最新资讯

阅读ShobhitSahay的原文
Microsoft EntraEntra IDConditional AccessAuthenticationIdentity Governance

相关文章

Entra ID

Microsoft Entra Backup and Recovery Enters Preview

Microsoft has launched Microsoft Entra Backup and Recovery in public preview, giving organizations a Microsoft-managed way to restore critical identity objects and configurations to a known-good state. The service helps IT teams recover faster from accidental admin changes, provisioning errors, and malicious modifications that could otherwise disrupt access and security.

Entra ID

Microsoft Entra External MFA Now Generally Available

Microsoft has announced general availability of external MFA in Microsoft Entra ID, allowing organizations to integrate trusted third-party MFA providers using OpenID Connect. The feature lets IT teams keep Microsoft Entra ID as the central identity control plane while maintaining Conditional Access, risk evaluation, and unified authentication method management.

Entra ID

Microsoft Entra RSAC 2026 Identity Security Updates

At RSAC 2026, Microsoft announced major Microsoft Entra updates aimed at securing not only users and devices but also AI agents, workloads, and modern multi-tenant environments. The new capabilities—such as expanded Entra Agent ID governance, shadow AI detection, prompt injection protection, passkey enhancements, and adaptive risk-based access—matter because they strengthen Zero Trust identity security as organizations adopt AI and face more dynamic access risks.

Entra ID

Microsoft Entra Secure Access Report 2026 on AI Risk

Microsoft’s Entra Secure Access Report 2026 says AI adoption is significantly increasing identity and network access risk, with 97% of organizations reporting an access-related incident in the past year and 70% tying incidents to AI activity. The report argues that fragmented identity and network tools are making the problem worse, which matters because more organizations are now moving toward consolidated access platforms to better secure AI tools, agents, and machine identities.

Entra ID

Microsoft Entra Conditional Access“所有资源”策略变更指南

微软将从 2026 年 3 月 27 日起逐步更新 Entra 条件访问策略:即使“所有资源”策略配置了资源排除项,只要客户端应用仅请求 OIDC 或少量目录 scopes,这类登录今后也会被一致地执行条件访问控制,不再出现可能绕过策略评估的情况。此变更对配置了“All resources + 资源排除”的租户尤其重要,因为用户可能开始收到新的 MFA、设备合规等验证提示,管理员也应尽快检查并测试那些刻意只请求最小 scopes 的自定义应用是否能正确处理这些质询。

Entra ID

Microsoft Entra Access Priorities:安全 AI 访问与代理身份

微软发布由四场网络研讨会组成的 Microsoft Entra Access Priorities 系列,聚焦构建统一访问基础、保护员工在 AI 时代的访问、治理 AI 代理身份,以及用 Security Copilot agents 提升身份运维效率。此举的重要性在于,随着身份成为用户、应用、设备和 AI 代理的统一控制平面,企业需要以 Zero Trust、抗钓鱼认证和统一访问策略来同时降低复杂性、应对 AI 驱动的新型攻击,并更安全地扩展 AI 应用。