Microsoft Entra 版本和公告的存档
本文提供有关 Microsoft Entra 系列产品在六个月前(最多 18 个月)的版本和变更公告的信息。 如果要查找更多信息,请参阅 Microsoft Entra 版本和公告。
若要获得更为动态的体验,现在可以在 Microsoft Entra 管理中心内找到此存档信息。 若要了解详细信息,请参阅新增功能(预览版)。
2024 年 4 月
公共预览版 - Android Web 浏览器中的 FIDO2 身份验证
类型:新功能
服务类别:身份验证(登录)
产品功能:用户身份验证
用户现在可以在 Android 上的 Chrome 和 Microsoft Edge 中使用 FIDO2 安全密钥登录。 此更改适用于处于 FIDO2 身份验证方法范围内的所有用户。 Android Web 浏览器中的 FIDO2 注册尚不可用。
有关详细信息,请参阅支持使用 Microsoft Entra ID 进行 FIDO2 身份验证。
正式发布 - 使用云同步向 Active Directory 预配安全组
类型:新功能
服务类别:预配
产品功能:Microsoft Entra 云同步
支持通过 Azure 全球云和 Azure 政府云中的 Microsoft Entra Cloud Sync 向 Active Directory 预配安全组(也称为组写回),此功能现已正式发布。 借助这项新功能,你可使用 Microsoft Entra Governance 轻松治理基于 Active Directory 的本地应用程序(基于 Kerberos 的应用)。 为此,请参阅“使用 Microsoft Entra Cloud Sync 将组预配到 Active Directory”。
在 Microsoft Entra Connect Sync 中停用组写回 V2(公共预览版)
类型:更改计划
服务类别:预配
产品功能:Microsoft Entra Connect Sync
2024 年 6 月 30 日之后,将不再提供 Microsoft Entra Connect Sync 中组写回 V2 (GWB) 的公共预览版。 在此日期之后,Connect Sync 将不再支持将云安全组预配到 Active Directory。
Microsoft Entra Cloud Sync 中的另一个类似功能是组预配到 AD。 可以使用此功能代替 GWB V2 将云安全组预配到 AD。 Cloud Sync 的增强功能以及其他新功能正在开发中。
在 Connect Sync 中使用此预览功能的客户应将其配置从 Connect Sync 切换到 Cloud Sync。客户可以选择将所有混合同步移动到 Cloud Sync(如果它支持客户的需求)。 客户还可以选择并行运行 Cloud Sync,并仅将云安全组预配移动到 Cloud Sync 中的 Azure AD。
将 Microsoft 365 组预配到 AD 的客户可以继续使用 GWB V1 实现此功能。
客户可以使用此向导评估完全迁移到“云同步”:https://aka.ms/EvaluateSyncOptions
正式发布 - Azure 移动应用(iOS 和 Android)上的 PIM 审批和激活现已推出
类型:新功能
服务类别:Privileged Identity Management
产品功能: Privileged Identity Management
现在可在 iOS 和 Android 版的 Azure 移动应用上使用 PIM。 客户现在可以批准或拒绝传入的 PIM 激活请求。 客户还可以直接从设备上的应用激活 Microsoft Entra ID 和 Azure 资源角色分配。 有关详细信息,请参阅“使用 Azure 移动应用激活 PIM 角色”。
正式发布 - 本地密码重置可消除用户风险
类型:新功能
服务类别: 标识保护
产品功能:标识安全和保护
已启用密码哈希同步的组织现在可以允许在本地更改密码以消除用户风险。 还可以使用此功能,在基于风险的条件访问策略中进行自动自助修正,从而节省混合用户的时间并保持其工作效率。 有关详细信息,请参阅“修正风险并解除阻止用户”。
正式发布 - 自定义声明提供程序支持从外部数据源增强令牌声明
类型:新功能
服务类别:身份验证(登录)
产品功能: 扩展性
使用自定义身份验证扩展时,可以通过与外部系统集成来自定义 Microsoft Entra 身份验证体验。 自定义声明提供程序是一种自定义身份验证扩展,它会调用 REST API 来从外部系统提取声明。 自定义声明提供程序会将声明从外部系统映射到令牌中,该提供程序可以分配给目录中的一个或多个应用程序。 有关详细信息,请参阅“自定义身份验证扩展概述”。
正式发布 - 动态组配额增加到 15,000。
类型:已更改的功能
服务类别:组管理
产品功能: 目录
Microsoft Entra 组织以前最多可以拥有 15,000 个动态成员身份组和动态管理单元的组合。
此配额已增加到 15,000。 例如,现在可以拥有 15,000 个动态成员身份组和 10,000 个动态 AU(或总计达 15,000 的任何其他组合)。 无需执行任何操作即可利用此更改 - 此更新现已可用。 有关详细信息,请参阅“Microsoft Entra 服务限制和局限性”。
正式发布 - 生命周期工作流:将工作流历史记录数据导出到 CSV 文件
类型:新功能
服务类别:生命周期工作流
产品功能: 标识治理
在生命周期工作流中,IT 管理员现在可以将涉及多个用户、运行和任务的工作流历史数据导出到 CSV 文件,以满足组织的报告和审核需求。
有关详细信息,请参阅“下载工作流历史记录报表”。
公共预览版 - Microsoft Entra 外部 ID 的本机身份验证
类型:新功能
服务类别:身份验证(登录)
产品功能:用户身份验证
通过本机身份验证,开发人员能够完全控制移动应用程序的登录体验的设计。 开发人员可借此制作令人惊叹的、像素完美的身份验证屏幕,并将其无缝集成到他们的应用程序中,而不是依赖基于浏览器的解决方案。 有关详细信息,请参阅“本机身份验证(预览版)”。
公共预览版 - Microsoft Authenticator 中的通行密钥
类型:新功能
服务类别: Microsoft Authenticator 应用
产品功能:用户身份验证
用户现可在 Microsoft Authenticator 中创建设备绑定的密钥来访问 Microsoft Entra ID 资源。 用户可通过使用 Authenticator 应用中的密钥,在移动设备中实现经济高效、防网络钓鱼且无缝的身份验证。 有关详细信息,请参阅 https://aka.ms/PasskeyInAuthenticator。
正式发布 - 生命周期工作流中的最大工作流限制现在为 100
类型:已更改的功能
服务类别:生命周期工作流
产品功能: 标识治理
生命周期工作流中可配置的最大工作流数量已提升。 现在,IT 管理员可以在生命周期工作流中创建多达 100 个工作流。 有关详细信息,请参阅 Microsoft Entra ID Governance 服务限制。
公共预览版 - 配置自定义工作流以在用户作业配置文件更改时运行员工调动任务
类型:新功能
服务类别:生命周期工作流
产品功能: 标识治理
生命周期工作流现在支持基于工作变更事件(例如员工部门、工作角色或位置的更改)触发工作流的功能,并查看工作流计划上执行的工作流。 借助此功能,客户可以利用新的工作流触发器来创建自定义工作流,以执行与组织内员工调动相关的任务,包括:
- 指定属性更改时的工作流
- 添加或删除用户组成员资格时的工作流
- 向用户的管理员通知员工调动相关内容的任务
- 分配许可证或删除用户所选许可证的任务
要了解详细信息,请参阅使用 Microsoft Entra 管理中心在员工换工作时自动执行员工调动任务教程。
正式发布 - Microsoft Graph 活动日志
类型:新功能
服务类别:Microsoft Graph
产品功能:监视和报告
Microsoft Graph 活动日志现已正式发布! 通过 Microsoft Graph 活动日志,可以查看向租户中的 Microsoft Graph 服务发出的 HTTP 请求。 随着安全威胁的快速增长和攻击数量的不断增加,此日志数据源允许你执行安全分析、威胁搜寻并监控租户中的应用程序活动。 有关详细信息,请参阅访问 Microsoft Graph 活动日志。
正式发布 - Microsoft Entra 应用程序库中的新预配连接器 - 2024 年 4 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
Microsoft 在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
CultureHQeliaGoSkillsIslandJellyfish
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅“使用 Microsoft Entra 自动将用户预配到 SaaS 应用程序”。
正式发布 - 快速 Microsoft Entra 验证 ID 设置
类型:新功能
服务类别:已验证 ID
产品功能:分散式标识
Microsoft Entra 验证 ID 快速设置现已正式发布,免除了管理员需要完成的多个配置步骤,只需选择“开始”按钮即可。 快速设置用于签名密钥、注册分散式 ID 以及确认域所有权。 它还会为你创建验证工作区凭据。 有关详细信息,请参阅Microsoft Entra 验证 ID 快速设置。
公共预览版 - 使用权利管理分配 Microsoft Entra 角色
类型:新功能
服务类别:权利管理
产品功能: 权利管理
通过使用权利管理将 Microsoft Entra 角色分配给员工和来宾,你可以查看用户的权利,以快速确定分配给该用户的角色。 将 Microsoft Entra 角色作为资源包含在访问包中时,还可以指定该角色分配是“符合条件”还是“活动”。
通过访问包分配 Microsoft Entra 角色有助于高效地大规模管理角色分配,并改进角色。 有关详细信息,请参阅“分配 Microsoft Entra 角色(预览版)”。
正式发布 - 已扩展自助式密码重置管理员策略,以包含更多角色
类型:已更改的功能
服务类别:自助服务密码重置
产品功能:标识安全和保护
管理员的自助式密码重置 (SSPR) 策略扩展为包括三个额外的内置管理员角色。 这些额外的角色包括:
- Teams 管理员
- Teams 通信管理员
- Teams 设备管理员
有关管理员自助式密码重置的详细信息,包括作用域内管理员角色的完整列表,请参阅管理员重置策略差异。
2024 年 3 月
公共预览版 - 将外部用户转换为内部用户
类型:新功能
服务类别: 用户管理
产品功能: 用户管理
通过外部用户转换,客户无需删除并新建用户对象即可将外部用户转换为内部成员。 维护相同的基础对象可确保用户帐户和对资源的访问不会中断,并且其活动历史记录在与主机组织的关系发生更改时保持不变。
外部到内部用户转换功能还包括转换本地同步用户。 有关详细信息,请参阅:将外部用户转换为内部用户(预览版)。
公共预览版 - 密码箱请求的备用电子邮件通知
类型:新功能
服务类别:其他
产品功能:访问控制
Microsoft Azure 的客户密码箱将推出一项新功能,以支持客户使用备用电子邮件 ID 来获取客户密码箱通知。 借助此功能,密码箱客户就可以在其 Azure 帐户未启用电子邮件的情况下或有服务主体定义为租户管理员或订阅所有者的情况下接收通知。
规划更改 - 条件访问的位置条件将上移
类型:更改计划
服务类别:条件访问
产品功能:标识安全和保护
从 2024 年 4 月中旬开始,条件访问的“位置”条件将上移。 位置将成为“网络”分配,新的全局安全访问分配将为“所有合规的网络位置”。
此更改将自动进行,因此管理员无需执行任何操作。 下面提供了更多详细信息:
- 熟悉的“位置”条件保持不变,在“位置”条件中更新策略时会反映在“网络”分配中,反之亦然。
- 没有任何功能上的更改,现有策略将继续工作而不会发生更改。
正式发布 - 使用适用于组的 PIM 进行即时应用程序访问
类型:新功能
服务类别:Privileged Identity Management
产品功能: Privileged Identity Management
提供对非 Microsoft 应用程序(如 AWS 和 GCP)的即时访问。 此功能集成了组的 PIM。 在请求即时访问非 Microsoft 应用中的角色时,使用 PIM 进行应用程序预配可以将激活时间从 40 多分钟缩短到大约 2 分钟。
有关详细信息,请参阅:
公共预览版 - 订阅范围请求的 Azure 密码箱审批者角色
类型:新功能
服务类别:其他
产品功能: 标识治理
Microsoft Azure 的客户密码箱将推出一个新的内置型 Azure 基于角色的访问控制角色,使客户能够为负责批准/拒绝客户密码箱请求的用户使用权限较低的角色。 此功能针对的是客户管理工作流。在该工作流中,当 Microsoft 支持部门的工程师请求访问客户订阅中的 Azure 资源时,密码箱审批者将对其请求进行处理。
在第一阶段,我们将启动一个新的内置 Azure 基于角色的访问控制角色。 此角色可以帮助对订阅及其资源具有 Azure 客户密码箱审批者权限的个人缩小可能的访问范围。 后续版本中将提供针对租户范围的请求的类似角色。
正式发布 - Microsoft Entra 应用程序库中的新预配连接器 - 2024 年 3 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:什么是 Microsoft Entra ID 中的应用预配?
正式发布 - Microsoft Entra 的 TLS 1.3 支持
类型:新功能
服务类别:其他
产品功能:平台
我们很高兴地宣布,Microsoft Entra 将推出针对其终结点的传输层安全性 (TLS) 1.3 支持,以遵循安全最佳做法 (NIST - SP 800-52 Rev. 2)。 通过此更改,Microsoft Entra ID 相关终结点支持 TLS 1.2 和 TLS 1.3 协议。 有关详细信息,请参阅:Microsoft Entra 服务的 TLS 1.3 支持。
正式发布 - API 驱动的入站预配
类型:新功能
服务类别:预配
产品功能:入站到 Microsoft Entra ID
借助 API 驱动的入站预配,Microsoft Entra ID 预配服务现在支持与任何记录系统集成。 客户和合作伙伴可选择任何自动化工具从任何记录系统中检索工作人员数据,以预配到 Microsoft Entra ID。 此功能也适用于已连接的本地 Active Directory 域。 IT 管理员可完全控制如何使用属性映射处理和转换数据。 Microsoft Entra ID 中提供工作人员数据后,IT 管理员可以使用 Microsoft Entra ID 治理生命周期工作流配置相应的 joiner-mover-leaver 业务流程。 有关详细信息,请参阅:API 驱动的入站预配概念。
正式发布 - 在“我的安全信息”中更改密码
类型:新功能
服务类别: 我的安全信息
产品功能: 最终用户体验
现已正式发布,“我的登录”(我的登录 (microsoft.com)) 支持最终用户内联更改其密码。 当用户使用密码和 MFA 凭据进行身份验证,他们能够更改其密码,而无需输入其现有密码。 从 4 月 1 日起,通过分阶段推出,来自更改密码 (windowsazure.com) 门户的流量将重定向到新的“我的登录”更改体验。 更改密码 (windowsazure.com) 在 2024 年 6 月之后将不再可用,但会继续重定向到新体验。
有关详细信息,请参阅:
2024 年 2 月
正式发布 - Azure 移动应用上的标识保护和风险修正
类型:新功能
服务类别: 标识保护
产品功能:标识安全和保护
以前仅在门户上受支持的标识保护是一种功能强大的工具,使管理员能够主动管理标识风险。 现在可在 Azure 移动应用上使用,管理员可以轻松高效地响应潜在威胁。 此功能包括全面的报告,提供有关风险行为的见解,例如用户帐户泄露和可疑登录。
通过风险用户报告,管理员可查看标记为已泄露或易受攻击的帐户。 可以方便地访问阻止/取消阻止登录、确认泄露的合法性或重置密码等操作,确保及时缓解风险。
此外,风险登录报告提供了可疑登录活动的详细概述,帮助管理员识别潜在的安全漏洞。 虽然移动设备上的功能仅限于查看登录详细信息,但管理员可以通过门户执行必要的操作,例如阻止登录。或者,管理员可以选择管理相应的风险用户帐户,直到缓解所有风险。
在 Azure 移动应用中使用标识保护毫不费力地领先标识风险。 这些功能旨在为用户提供工具,以维护组织的安全环境和安宁。
可以通过以下链接下载移动应用:
更改计划 - Microsoft Entra ID 标识保护:低风险过期
类型:更改计划
服务类别: 标识保护
产品功能:标识安全和保护
从 2024 年 3 月 31 日起,Microsoft Entra ID 标识保护中所有超过六个月的“低”风险检测和用户将自动过期并清除。 此更改使客户能够专注于更相关的风险,并提供更干净的调查环境。 有关详细信息,请参阅:什么是风险检测?。
公共预览版 - 针对其他方案扩展条件访问重新身份验证策略
类型:已更改的功能
服务类别:条件访问
产品功能:标识安全和保护
重新身份验证策略允许要求用户再次以交互方式提供其凭据,通常在访问关键应用程序和采取敏感操作之前。 结合登录频率的条件访问会话控制,可以要求对有风险的用户和登录进行重新身份验证,或进行 Intune 注册。 使用此公共预览版,现在可以要求对受条件访问保护的任何资源重新进行身份验证。 有关详细信息,请参阅:每次需要重新身份验证。
正式发布 - 标识保护中提供了新的高级用户风险检测、可疑 API 流量
类型:新功能
服务类别: 标识保护
产品功能:标识安全和保护
我们在标识保护中发布了新的高级用户风险检测,称为可疑 API 流量。 标识保护检测到用户的异常图形流量时,将报告此检测。 可疑的 API 流量可能表明用户遭到入侵并在其环境中进行侦察。 有关包此项的标识保护检测的详细信息,请参阅以下链接中的公共文档:什么是风险检测?。
正式发布 - 条件访问策略列表的精细筛选
类型:新功能
服务类别:条件访问
产品功能:访问控制
现在可以根据行动者、目标资源、条件、授权控制和会话控制来筛选条件访问策略。 精细筛选体验可帮助管理员快速发现包含特定配置的策略。 有关详细信息,请参阅:什么是条件访问?。
终止支持 - 适用于 Forefront Identity Manager 的 Azure Active Directory 连接器(FIM WAAD 连接器)
类型:已弃用
服务类别: Microsoft Identity Manager
产品功能:入站到 Microsoft Entra ID
2014 年推出的 Forefront Identity Manager(FIM WAAD 连接器)的 Azure Active Directory 连接器已于 2021 年弃用。 对此连接器的标准支持已于 2024 年 4 月结束。 客户必须从其 MIM 同步部署中移除此连接器,并改用备用预配机制。 有关详细信息,请参阅:从适用于 Microsoft Entra ID 的 FIM 连接器迁移 Microsoft Entra 预配方案。
正式发布 - Microsoft Entra 应用程序库中的新预配连接器 - 2024 年 2 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:什么是 Microsoft Entra ID 中的应用预配?
正式发布 - Microsoft Entra 应用程序库中提供了新的联合应用 - 2024 年 2 月
类型:新功能
服务类别: 企业应用
产品功能:第三方集成
2024 年 2 月,我们在应用库中添加了以下 10 个支持联合的新应用程序:
Crosswise、Stonebranch 通用自动化中心(SaaS 云)、ProductPlan、Bigtincan for Outlook、Blinktime、Stargo、Garage Hive BC v2、Avochato、Luscii、LEVR、XM Discover、Sailsdock、Mercado Eletronico SAML、Moveworks、Silbo、Alation Data Catalog、Papirfly SSO、安全云用户集成、AlbertStudio、自动电子邮件管理器、Streamboxy、NewHotel PMS、Ving Room、Trevanna Tracks、Alteryx Server、RICOH Smart Integration、Genius、Othership Workplace Scheduler、GitHub Enterprise Managed User - ghe.com、Thumb Technologies、Freightender SSO for TRP(Tender 响应平台)、BeWhere Portal(UPS 访问)、Flexiroute、SEEDL、Isolocity、SpotDraft、Blinq、Cisco Phone OBTJ、Applitools Eyes。
你也可以访问 https://aka.ms/AppsTutorial 找到所有应用程序的文档。
有关如何在 Microsoft Entra 应用库中列出你的应用程序的信息,请在此处 (https://aka.ms/AzureADAppRequest) 阅读详细信息。
2024 年 1 月
正式发布 - 新的 Microsoft Entra 主页
类型:已更改的功能
服务类别:N/A
产品功能: 目录
我们重新设计了 Microsoft Entra 管理中心的主页,以帮助你执行以下任务:
- 了解产品套件
- 寻找最大化功能价值的机会
- 随时了解最新公告、新功能等!
请在此处了解新体验:https://entra.microsoft.com/
公共预览版 - 条件访问中基于证书的精细身份验证配置
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
借助条件访问中的身份验证强度功能,你现在可以创建自定义身份验证强度策略,并使用高级的基于证书的身份验证 (CBA) 选项来允许基于证书颁发者或策略 OID 的访问。 对于其 MFA 受到合作伙伴的 Microsoft Entra ID 租户信任的外部用户,还可以根据这些属性限制访问。 有关详细信息,请参阅:自定义条件访问身份验证强度。
正式发布 - 应用的条件访问筛选器
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
条件访问中的应用筛选器允许管理员使用自定义安全性来标记应用程序,并在条件访问策略中将其作为目标,而非使用直接分配,从而简化了策略管理。 借助此功能,客户可以纵向扩展其策略,并保护任意数量的应用。 有关详细信息,请参阅:条件访问:应用程序筛选器
公共预览版 - 跨租户管理器同步
类型:新功能
服务类别:预配
产品功能: 标识治理
跨租户同步现在支持跨租户同步管理器属性。 有关详细信息,请参阅:属性。
正式发布 - Identity Protection 中的 Microsoft Defender for Office 警报
类型:新功能
服务类别: 标识保护
产品功能:标识安全和保护
可疑发送模式风险检测类型是使用 Microsoft Defender for Office (MDO) 提供的信息发现的。 当组织中的某人发送可疑电子邮件时,将生成此警报。 该警报是因为该电子邮件可能受到发送限制,或者已经受到发送限制。 此检测会将用户移至中等风险状态,并且仅在部署了 MDO 的组织中触发。 有关详细信息,请参阅:什么是风险检测?。
公共预览版 - 有关从 MFA 服务器转移负载的新 Microsoft Entra 建议
类型:新功能
服务类别: MFA
产品功能:用户身份验证
我们已在 Microsoft Entra 管理中心发布了一项新建议,建议用户将负载从 MFA 服务器转移到 Microsoft Entra 多重身份验证。 MFA 服务器将于 2024 年 9 月 30 日停用。 任何在过去 7 天内有 MFA 服务器活动的客户都可以看到该建议,其中包括有关其当前使用情况的详细信息,以及有关如何迁移到 Microsoft Entra 多重身份验证的步骤。 有关详细信息,请参阅:从 MFA 服务器迁移到 Microsoft Entra 多重身份验证。
公共预览版 - Microsoft Entra 应用程序库中的新预配连接器 - 2024 年 1 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:什么是 Microsoft Entra ID 中的应用预配?
正式发布 - Microsoft Entra 应用程序库中提供了新的联合应用 - 2024 年 1 月
类型:新功能
服务类别: 企业应用
产品功能:第三方集成
2024 年 1 月,我们在应用库中添加了以下支持联合的新应用程序:
Boeing ToolBox、Kloud Connect Practice Management、トーニチ・ネクスタ・メイシ ( Tonichi Nexta Meishi )、Vinkey、Cognito Forms、Ocurus、Magister、eFlok、GoSkills、FortifyData、Toolsfactory platform, Briq、Mailosaur、Astro、JobDiva / Teams VOIP Integration、Colossyan SAML、CallTower Connect、Jellyfish、MetLife Legal Plans Member App、Navigo Cloud SAML、Delivery Scheduling Tool、Highspot for MS Teams、Reach 360、Fareharbor SAML SSO、HPE Aruba Networking EdgeConnect Orchestrator、Terranova Security Awareness Platform。
你也可以访问 https://aka.ms/AppsTutorial 找到所有应用程序的文档。
有关如何在 Microsoft Entra 应用库中列出你的应用程序的信息,请在此处 (https://aka.ms/AzureADAppRequest) 阅读详细信息。
2023 年12 月
公共预览版 – 适用于 B2B 协作的可配置兑换顺序
类型:新功能
服务类别:B2B
产品功能:B2B/B2C
使用可配置兑换,可以自定义来宾用户在接受邀请时登录的标识提供者的顺序。 通过该选项,可替代 Microsoft 设置的默认配置顺序,并使用自己的配置顺序。 此选项可用于帮助处理多种情况,例如在 Microsoft Entra ID 已验证域之前优先处理 SAML/WS 联合身份验证等。 此选项在兑换期间禁用某些标识提供者,甚至仅使用电子邮件一次性密码之类的内容作为兑换选项。 有关详细信息,请参阅:可配置兑换(预览版)。
正式发布 – 编辑动态组规则生成器
类型:已更改的功能
服务类别:组管理
产品功能: 目录
动态组规则生成器已更新,不再包含“包含”和“不包含”运算符,因为它们的性能较低。 如果需要,仍可通过直接在文本框中键入这些运算符来创建动态成员身份组规则。 有关详细信息,请参阅:Azure 门户中的规则生成器。
2023 年 11 月
在 Microsoft Entra Connect Sync 中停用组写回 V2(公共预览版)
类型:更改计划
服务类别:预配
产品功能:Microsoft Entra Connect Sync
2024 年 6 月 30 日之后,将不再提供 Microsoft Entra Connect Sync 中组写回 V2 (GWB) 的公共预览版。 在此日期之后,Connect Sync 将不再支持将云安全组预配到 Active Directory。
Microsoft Entra Cloud Sync 中提供了另一种类似功能,称为“组预配到 AD”,可以用其代替 GWB V2 将云安全组预配到 AD。 Cloud Sync 的增强功能以及其他新功能正在开发中。
在 Connect Sync 中使用此预览功能的客户应将其配置从 Connect Sync 切换到 Cloud Sync。可以选择将所有混合同步移动到 Cloud Sync(如果它支持这种需求)。 还可以并行运行 Cloud Sync,并仅将云安全组预配移动到 Cloud Sync 中的 AD。
将 Microsoft 365 组预配到 AD 的客户可以继续使用 GWB V1 实现此功能。
客户可以使用此向导评估完全迁移到“云同步”:https://aka.ms/EvaluateSyncOptions
正式发布 - Microsoft Entra Cloud Sync 现在支持为 Exchange 客户启用 Exchange 混合配置的功能
类型:新功能
服务类别:预配
产品功能:Microsoft Entra Connect
Exchange 混合功能允许在本地和 Microsoft 365 中同时存在 Exchange 邮箱。 Microsoft Entra Cloud Sync 会将一组特定的 Exchange 相关属性从 Microsoft Entra ID 同步回本地目录。 它还会同步任何断开连接的林(它们之间不需要网络信任)。 借助此功能,在 Microsoft Entra Connect Sync 中启用了此功能的现有客户现在可以迁移并使用 Microsoft Entra Cloud Sync 来应用此功能。有关详细信息,请参阅使用云同步实现的 Exchange 混合写回。
正式发布 - 来宾治理:非活动来宾见解
类型:新功能
服务类别: 报告
产品功能: 标识治理
对来宾帐户进行大规模监视,获取对组织中非活动来宾用户的智能见解。 根据组织的需求自定义非活动阈值,缩小要监视的来宾用户的范围,并识别可能处于非活动状态的来宾用户。 有关详细信息,请参阅:使用访问评审监视和清理过时的来宾帐户。
公共预览版 - signInActivity API 中的 lastSuccessfulSignIn 属性
类型:新功能
服务类别: MS Graph
产品功能: 最终用户体验
为 signInActivity API 添加了一个额外的属性,用于显示特定用户最后一次成功登录的时间,而不管登录是交互式的还是非交互式的。 系统不会为此属性回填数据,因此应该只会返回从 2023 年 12 月 8 日开始的成功登录数据。
正式发布 - 自动推出条件访问策略
类型:新功能
服务类别:条件访问
产品功能:访问控制
从 2023 年 11 月开始,Microsoft 会自动使用 Microsoft 托管的条件访问策略来保护客户。 Microsoft 在外部租户中创建和启用这些策略。 以下策略将推广到所有符合条件的租户,这些租户会在策略创建之前收到通知:
- 管理门户的多重身份验证:此策略涵盖特权管理员角色,且会在管理员登录到 Microsoft 管理门户时要求进行多重身份验证。
- 按用户多重身份验证用户的多重身份验证:此策略涵盖涉及按用户多重身份验证的用户,并会要求对所有资源进行多重身份验证。
- 高风险登录的多重身份验证:此策略涵盖所有用户,并会要求对高风险登录进行多重身份验证和重新身份验证。
有关详细信息,请参阅:
正式发布 - Microsoft Entra ID 中的自定义安全属性
类型:新功能
服务类别:目录管理
产品功能: 目录
Microsoft Entra ID 中的自定义安全属性是特定于业务的属性(键值对),你可以定义这些属性并将其分配给 Microsoft Entra 对象。 这些属性可用于存储信息、对对象进行分类,或对特定的 Azure 资源强制实施细化的访问控制。 自定义安全属性可以与基于 Azure 属性的访问控制 (Azure ABAC) 一起使用。 有关详细信息,请参阅:什么是 Microsoft Entra ID 中的自定义安全属性?。
在正式版中,我们对自定义安全属性审核日志进行了更改,这些更改可能会影响你的日常操作。 如果你在预览版期间使用了自定义安全属性审核日志,则必须在 2024 年 2 月之前执行一些操作,以确保审核日志操作不会中断。 有关详细信息,请参阅:自定义安全属性审核日志。
公共预览版 - Microsoft Entra 应用程序库中的新预配连接器 - 2023 年 11 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:什么是 Microsoft Entra ID 中的应用预配?
正式发布 - Microsoft Entra 应用程序库中提供的新联合应用 - 2023 年 11 月
类型:新功能
服务类别: 企业应用
产品功能:第三方集成
2023 年 11 月,我们在应用库中添加了以下 10 个支持联合的新应用程序:
Citrix Cloud、Freight Audit、Movement by project44、Alohi、AMCS Fleet Maintenance、Real Links Campaign App、Propely、Contentstack、Jasper AI、IANS Client Portal、Avionic Interface Technologies LSMA、CultureHQ、Hone、Collector Systems、NetSfere、Spendwise、Stage and Screen
你也可以访问 https://aka.ms/AppsTutorial 找到所有应用程序的文档。
有关如何在 Microsoft Entra 应用库中列出你的应用程序的信息,请在此处 (https://aka.ms/AzureADAppRequest) 阅读详细信息。
注意
在上一版发行说明的新更新中:Microsoft Authenticator 尚不符合 Android 上的 FIPS 140。 Android 上的 Microsoft Authenticator 当前正在等待 FIPS 合规性认证,以支持可能需要经 FIPS 验证的加密技术的客户。
2023 年 10 月
公共预览版 - 管理和更改“我的安全信息”中的密码
类型:新功能
服务类别: 我的配置文件/帐户
产品功能: 最终用户体验
我的登录(我的登录 (microsoft.com))现在支持最终用户管理和更改其密码。 用户能够在“我的安全信息”中管理密码并内联更改其密码。 如果用户使用密码和 MFA 凭据进行身份验证,他们能够更改其密码,而无需输入其现有密码。
有关详细信息,请参阅 Microsoft Entra 的合并安全信息注册概述。
公共预览版 - 使用 Microsoft Entra Governance 治理 AD 本地应用程序(基于 Kerberos)
类型:新功能
服务类别:预配
产品功能:Microsoft Entra 云同步
AD 的安全组预配(也称为组写回)现已通过 Microsoft Entra 云同步正式发布。借助这项新功能,你可使用 Microsoft Entra Governance 轻松治理基于 AD 的本地应用程序(基于 Kerberos 的应用)。
有关详细信息,请参阅使用 Microsoft Entra ID 治理来治理基于本地 Active Directory 的应用 (Kerberos)
公共预览版 - Microsoft Entra 权限管理:多个授权系统的权限分析报告 (PDF)
类型:已更改的功能
服务类别:
产品功能:权限管理
权限分析报表 (PAR) 列出了与权限管理中跨标识和资源的权限风险相关的调查结果。 PAR 是风险评估过程的组成部分,客户可在这个过程中发现云基础结构中风险最高的领域。 可直接在权限管理 UI 中查看此报告,以 Excel (XSLX) 格式下载报告,以及将报告导出为 PDF。 此报告适用于所有受支持的云环境:AWS Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP)。
对 PAR PDF 进行了重新设计,以提高可用性,确保与产品 UX 重新设计工作保持一致,并满足各种客户功能需求。 最多可以下载 10 个授权系统的 PAR PDF。
正式发布版 - 增强了设备列表管理体验
类型:已更改的功能
服务类别: 访问管理
产品功能: 最终用户体验
自发布公共预览版以来,“所有设备”列表已进行了多项更改,包括:
- 优先考虑不同组件之间的一致性和可访问性
- 实现了列表现代化并解决了主要客户反馈问题
- 添加了无限滚动、列重新排序以及选择所有设备的功能
- 添加了针对 OS 版本和 Autopilot 设备的筛选器
- 在 Microsoft Entra 和 Intune 之间创建了更多连接
- 在“合规性”和“MDM”列中添加了指向 Intune 的链接
- 添加了“安全设置管理”列
有关详细信息,请参阅查看和筛选设备。
正式发布 - Windows MAM
类型:新功能
服务类别:条件访问
产品功能:访问控制
Windows MAM 是 Microsoft 实现非托管 Windows 设备管理功能的第一步。 该功能推出之时,正值我们需要确保 Windows 平台与我们今天在移动平台上向最终用户提供的简单性和隐私性承诺相一致的关键时刻。 最终用户无需对整个设备进行 MDM 管理即可访问公司资源。
有关详细信息,请参阅需要 Windows 设备的应用保护策略。
正式发布 - Microsoft 安全电子邮件更新和 Azure Active Directory 重命名为 Microsoft Entra ID
类型:更改计划
服务类别:其他
产品功能: 最终用户体验
Microsoft Entra ID 是 Azure Active Directory (Azure AD) 的新名称。 重命名和新产品图标现正在 Microsoft 的体验中进行部署。 大多数更新都已在今年 11 月中旬完成。 如前所述,这是一个新名称更改,对部署或日常工作没有影响。 功能、许可、服务条款或支持没有任何变化。
从 10 月 15 日到 11 月 15 日,以前从 azure-noreply@microsoft.com 发送的 Azure AD 电子邮件将开始从 MSSecurity-noreply@microsoft.com 发送。 可能需要更新 Outlook 规则以匹配此更改。
此外,我们还会更新电子邮件内容,删除所有相关的 Azure AD 引用,并包含宣布此更改的信息性横幅。
可借助下面的资源在必要时重命名自己的产品体验或内容:
正式发布 - 最终用户不再能够在“我的应用”中添加密码 SSO 应用
类型:已弃用
服务类别: 我的应用
产品功能: 最终用户体验
自 2023 年 11 月 15 日起,最终用户不再能够将密码 SSO 应用添加到“我的应用程序”中的库中。 但是,管理员仍可按照这些说明添加密码 SSO 应用。 最终用户之前添加的密码 SSO 应用在“我的应用”中仍然可用。
有关详细信息,请参阅发现应用程序。
正式发布 - 创建 Microsoft Entra ID 租户的操作仅限于付费订阅
类型:已更改的功能
服务类别:Azure 资源的托管标识
产品功能: 最终用户体验
组织中的用户可以利用从 Microsoft Entra 管理中心创建新租户的功能从 Microsoft Entra ID 租户创建测试和演示租户,有关详情,请参阅详细了解如何创建租户。 如果错误使用此功能,则可能会导致创建不受你的组织管理或查看的租户。 建议限制此功能,以便只有受信任的管理员才能使用此功能,有关详情,请参阅详细了解如何限制成员用户的默认权限。 我们还建议使用 Microsoft Entra 审核日志监视目录管理:创建公司事件,该事件表示组织中的用户已创建新租户。
为了进一步保护组织,Microsoft 现已将此功能限制为仅付费客户可用。 试用订阅的客户将无法从 Microsoft Entra 管理中心创建其他租户。 在这种情况下,需要新试用租户的客户可以注册免费 Azure 帐户。
正式发布 - 用户在使用基于位置的访问控制时无法修改 GPS 位置
类型:更改计划
服务类别:条件访问
产品功能:用户身份验证
在不断变化的安全环境中,Microsoft Authenticator 正在更新其基于位置的访问控制 (LBAC) 条件访问策略的安全基线。 Microsoft 这样做是为了禁止用户使用与移动设备实际 GPS 位置不同的位置进行身份验证。 如今,用户可以在 iOS 和 Android 设备上修改设备报告的位置。 当我们检测到用户未使用安装了 Authenticator 的移动设备的实际位置时,Authenticator 应用将开始拒绝 LBAC 身份验证。
在 Authenticator 应用的 2023 年 11 月版本中,修改设备位置的用户在执行 LBAC 身份验证时会在该应用中看到拒绝消息。 Microsoft 确保用户不会使用旧版本的应用来继续通过修改的位置进行身份验证。 从 2024 年 1 月开始,任何使用 Android Authenticator 6.2309.6329 或更早版本和 iOS Authenticator 6.7.16 或更早版本的用户都将被禁止使用 LBAC。 你可以使用 MSGraph API 来确定哪些用户在使用旧版 Authenticator 应用。
公共预览版 -“我的访问权限”门户中的“概述”页
类型:新功能
服务类别:权利管理
产品功能: 标识治理
如今,当用户导航到 myaccess.microsoft.com 时,他们将登录到组织中的可用访问包列表。 新的“概述”页为用户提供了一个更相关的登录位置。 “概述”页面为用户指出了需要完成的任务,并帮助用户熟悉如何完成“我的访问权限”中的任务。
管理员可以通过登录到 Microsoft Entra 管理中心并导航到“权利管理”>“设置”>“选择加入预览功能”并在表中查找“我的访问权限概述页面”概述页面来启用/禁用概述页面预览。
有关详细信息,请参阅“我的访问权限概述”页。
公共预览版 - Microsoft Entra 应用程序库中的新预配连接器 - 2023 年 10 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:什么是 Microsoft Entra ID 中的应用预配?
公共预览版 - Microsoft Graph 活动日志
类型:新功能
服务类别:Microsoft Graph
产品功能:监视和报告
通过 MicrosoftGraphActivityLogs,管理员能够完全了解通过 Microsoft Graph API 访问租户资源的所有 HTTP 请求。 可使用这些日志查找遭到入侵的帐户的活动、识别异常行为或调查应用程序活动。 有关详细信息,请参阅访问 Microsoft Graph 活动日志(预览)。
公共预览版 - Microsoft Entra 验证 ID 快速设置
类型:新功能
服务类别:其他
产品功能: 标识治理
Microsoft Entra 验证 ID 快速设置现以预览版提供,免除了管理员需要完成的多个配置步骤,只需选择“开始”按钮即可。 快速设置用于签名密钥、注册分散式 ID 以及确认域所有权。 它还会为你创建验证工作区凭据。 有关详细信息,请参阅Microsoft Entra 验证 ID 快速设置。
2023 年 9 月
公共预览版 - FIDO2 身份验证方法和 Windows Hello 企业版的更改
类型:已更改的功能
服务类别:身份验证(登录)
产品功能:用户身份验证
从 2024 年 1 月开始,除了当前支持的 FIDO2 安全密钥外,Microsoft Entra ID 还将支持存储在计算机和移动设备上的设备绑定密钥(作为公共预览版中的身份验证方法)。 此更新使用户能够使用他们已有的设备执行防网络钓鱼身份验证。
我们将扩展现有的 FIDO2 身份验证方法策略和最终用户体验,以支持此预览版。 如果你的组织要选择采用此预览版,则需要强制实施密钥限制,以在 FIDO2 策略中允许指定的密钥提供程序。 在此处详细了解 FIDO2 密钥限制。
此外,Windows Hello 和 FIDO2 安全密钥的现有最终用户登录选项会以“人脸、指纹、PIN 或安全密钥”的方式显示。 更新后的登录体验中将提及术语“密钥”,包括安全密钥、移动设备和平台验证器(如 Windows Hello)提供的密钥凭据。
正式发布 - 恢复已删除的应用程序和服务主体功能现已发布
类型:新功能
服务类别: 企业应用
产品功能: 标识生命周期管理
在此版本中,现在可以恢复应用程序及其原始服务主体,无需进行大量重新配置和代码更改(了解详细信息)。 它显著改善了应用程序恢复情况,并解决了长期存在的客户需求。 此更改在以下方面对你有利:
- 更快的恢复速度:现在只需花费以前的一小部分时间即可恢复系统,从而减少停机时间并最大程度地减少中断。
- 节省成本:通过更快的恢复,可以节省与长时间中断和劳动密集型恢复工作相关的运营成本。
- 保留的数据:以前丢失的数据(如 SMAL 配置)现已保留,确保更顺利地转换回正常操作。
- 提升用户体验:更快的恢复时间可提升用户体验和客户满意度,因为应用程序能够快速备份和运行。
公共预览版 - Microsoft Entra 应用程序库中的新预配连接器 - 2023 年 9 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:什么是 Microsoft Entra ID 中的应用预配?
正式发布 - 适用于 Windows 的 Web Sign-In
类型:已更改的功能
服务类别:身份验证(登录)
产品功能:用户身份验证
我们很高兴地宣布,在 Windows 11 的 9 月活动中,我们将发布新的 Web Sign-In 体验,这将扩大受支持的方案的数量,并为用户极大地改善安全性、可靠性、性能和整体端到端体验。
Web Sign-In (WSI) 是已加入 AADJ 的设备的 Windows 锁定/登录屏幕上的凭据提供程序,它提供用于身份验证的 Web 体验,并将身份验证令牌返回给操作系统,以允许用户解锁/登录计算机。
Web Sign-In 最初旨在用于各种身份验证凭据场景;但是,它以前发布的版本只针对以下受限场景,例如:通过临时访问密码 (TAP)简化的 EDU Web 登录和恢复流。
Web 登录的底层提供程序已从头开始重新编写,并考虑到了安全性和性能提升。 此版本在 9 月暂时将 Web 登录基础结构从云主机体验 (CHX) WebApp 移至新编写的登录 Web 主机 (LWH)。 此版本提供更好的安全性和可靠性,以支持之前的 EDU 和 TAP 体验,以及可实现使用各种身份验证方法解锁/登录桌面的新工作流。
正式发布 - 条件访问中的 Microsoft 管理员门户支持
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
对 Microsoft 管理门户云应用使用条件访问策略时,将对颁发给以下 Microsoft 管理门户的应用程序 ID 的令牌强制实施该策略:
- Azure 门户
- Exchange 管理中心
- Microsoft 365 管理中心
- Microsoft 365 Defender 门户
- Microsoft Entra 管理中心
- Microsoft Intune 管理中心
- Microsoft Purview 合规性门户
有关详细信息,请参阅:Microsoft 管理员门户。
2023 年 8 月
正式发布 - 租户限制 V2
类型:新功能
服务类别:身份验证(登录)
产品功能:标识安全和保护
租户限制 V2 (TRv2) 现已正式发布,可通过代理用于身份验证平面。
TRv2 使组织能够实现安全、高效的跨公司协作,同时控制数据泄露风险。 借助 TRv2,可以使用外部颁发的身份来控制用户可以从你的设备或网络访问哪些外部租户,并针对每个组织、用户、组和应用程序提供精细的访问控制。
TRv2 使用跨租户访问策略,并提供身份验证和数据平面保护。 它在用户身份验证期间以及使用 Exchange Online、SharePoint Online、Teams 和 MSGraph 进行数据平面访问时强制执行策略。 虽然对 Windows GPO 和全局安全访问的数据平面支持仍处于公共预览阶段,但对代理的身份验证平面支持现已普遍可用。
有关 TRv2 的租户限制 V2 和全局安全访问客户端标记的详细信息,请访问 https://aka.ms/tenant-restrictions-enforcement 并请参阅通用租户限制。
公共预览版 - 跨租户访问设置支持自定义的基于角色的访问控制角色和受保护的操作
类型:新功能
服务类别:B2B
产品功能:B2B/B2C
可以使用组织定义的自定义角色管理跨租户访问设置。 通过此功能,可以定义自己的精细范围角色,以管理跨租户访问设置,而不是使用其中一个内置角色进行管理。 详细了解如何创建自己的自定义角色。
现在,还可以使用条件访问来保护跨租户访问设置内的特权操作。 例如,可以在允许更改 B2B 协作的默认设置之前要求 MFA。 详细了解受保护的操作。
正式发布 - 权利管理自动分配策略中的其他设置
类型:已更改的功能
服务类别:权利管理
产品功能: 权利管理
Microsoft Entra ID 治理权利管理自动分配策略中有三个新设置。 此功能使客户可以选择不让策略创建分配、不删除分配以及延迟分配删除。
公共预览版 - 来宾失去访问权限的设置
类型:已更改的功能
服务类别:权利管理
产品功能: 权利管理
管理员可以配置为,当通过权利管理引入的来宾丢失其上次访问包分配时,它们将在指定天数后被删除。 有关详细信息,请参阅在权利管理中管理外部用户的访问权限。
公共预览版 - 实时严格位置强制实施
类型:新功能
服务类别:连续访问评估
产品功能:访问控制
使用连续访问评估实时严格执行条件访问策略。 启用 Microsoft Graph、Exchange Online 和 SharePoint Online 等服务来阻止来自不允许位置的访问请求,作为针对令牌重放和其他未经授权的访问的分层防御的一部分。 有关详细信息,请参阅博客:公共预览版:通过连续访问评估严格执行位置策略和文档:通过连续访问评估严格执行位置策略(预览版)。
公共预览版 - Microsoft Entra 应用程序库中的新预配连接器 - 2023 年 8 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
- Airbase
- Airtable
- Cleanmail Swiss
- Informacast
- Kintone
- O'reilly 学习平台
- Tailscale
- Tanium SSO
- Vbrick Rev Cloud
- Xledger
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:什么是 Microsoft Entra ID 中的应用预配?
正式发布 - 公有云和 Gov 云中提供的工作负载标识的连续访问评估
类型:新功能
服务类别:连续访问评估
产品功能:标识安全和保护
现在,工作负载身份通常可以实时执行风险事件、吊销事件和条件访问位置策略。 业务线 (LOB) 应用程序的服务主体现在在访问 Microsoft Graph 时受到保护。 有关详细信息,请参阅:对工作负载标识进行持续访问评估(预览版)。
2023 年 7 月
正式发布:Azure Active Directory (Azure AD) 即将更名。
类型:已更改的功能
服务类别:N/A
产品功能: 最终用户体验
不需要采取任何行动,但可能需要更新一些文档。
Azure AD 将更名为 Microsoft Entra ID。 此名称更改将于 2023 年下半年在所有 Microsoft 产品和体验中实施。
产品的功能、许可和使用情况不会更改。 为了使过渡无缝进行,定价、条款、服务级别协议、URL、API、PowerShell cmdlet、Microsoft 身份验证库 (MSAL) 和开发人员工具将保持不变。
了解更多并获取更名详细信息:Azure Active Directory 的新名称。
正式发布 - 在条件访问策略中包含/排除“我的应用”
类型:已修复
服务类别:条件访问
产品功能: 最终用户体验
条件访问策略现可针对“我的应用”。 这解决了最大的客户阻碍。 此功能在所有云中都可用。 GA 还提供了新的应用启动器,可提高 SAML 和其他应用类型的应用启动性能。
请在此处详细了解如何设置条件访问策略:Azure AD 条件访问文档。
正式发布 - 受保护的操作的条件访问
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
受保护的操作是高风险操作,例如更改访问策略或更改信任设置,可能会大大影响组织的安全性。 为了添加额外的保护层,受保护的操作的条件访问允许组织为用户定义执行这些敏感任务的特定条件。 有关详细信息,请参阅:Azure AD 中的受保护操作是什么?。
正式发布 - 非活动用户的访问评审
类型:新功能
服务类别: 访问评审
产品功能: 标识治理
此新功能是 Microsoft Entra ID 治理 SKU 的一部分,允许管理员查看和寻址指定时段内未处于活动状态的过时帐户。 管理员可以设置特定的持续时间,以确定未用于交互式或非交互式登录活动的非活动帐户。 在评审过程中,可以自动删除过时的帐户。 有关详细信息,请参阅:Microsoft Entra ID 治理在访问评审中引入了两个新功能。
正式发布 - 在 Microsoft Entra ID 治理中自动分配访问包
类型:已更改的功能
服务类别:权利管理
产品功能: 权利管理
Microsoft Entra ID 治理允许客户在权利管理访问包中配置分配策略,其中包含应被分配访问权限的用户的基于属性的规则(类似于动态成员身份组)。 有关详细信息,请参阅:在权利管理中为访问包配置自动分配策略。
正式发布 - 权利管理中的自定义扩展
类型:新功能
服务类别:权利管理
产品功能: 权利管理
权利管理中的自定义扩展现已正式发布,可用于在请求访问权限或访问权限即将到期时,使用组织特定的流程和业务逻辑来延长访问权限生命周期。 借助自定义扩展,可以在断开连接的系统中为手动访问预配创建票证,向其他利益干系人发送自定义通知,或在业务应用程序中自动执行与访问权限相关的其他配置,例如在 Salesforce 中分配正确的销售区域。 还可以使用自定义扩展在访问请求中嵌入外部治理、风险和合规性 (GRC) 检查。
有关详细信息,请参阅:
正式发布 - 条件访问模板
类型:更改计划
服务类别:条件访问
产品功能:标识安全和保护
条件访问模板是预定义的条件和控件集,为部署符合 Microsoft 建议的新策略提供了一种便捷的方法。 客户可以放心,他们的策略反映了保护公司资产、促进混合员工安全、最佳访问的全新最佳做法。 有关详细信息,请参阅:条件访问模板。
正式发布 - 生命周期工作流
类型:新功能
服务类别:生命周期工作流
产品功能: 标识治理
用户标识生命周期是组织安全态势的关键部分,如果管理得当,可能会对入职者、换岗者和离职者的用户工作效率产生积极影响。 正在进行的数字化转型促进了对良好的标识生命周期管理的需求。 但是,IT 和安全团队在管理复杂、耗时且容易出错的手动流程方面面临着巨大的挑战,这些手动流程需要同时为数百名员工执行登入和登出任务。 此功能是 IT 管理员在数字化转型过程中在安全、治理和合规性方面持续面临的一个始终存在的复杂问题。
生命周期工作流是最新的 Microsoft Entra ID 治理功能之一,现已正式发布,可帮助组织进一步优化其用户标识生命周期。 有关详细信息,请参阅:生命周期工作流现已正式发布!
正式发布 - 在公司品牌功能中为登录和注册页启用扩展自定义功能。
类型:新功能
服务类别: 用户体验和管理
产品功能:用户身份验证
使用新的公司品牌功能更新 Microsoft Entra ID 和 Microsoft 365 登录体验。 可以使用预定义模板将公司的品牌指导应用于身份验证体验。 有关详细信息,请参阅:公司品牌打造
正式发布 - 为公司品牌中的自助式密码重置 (SSPR) 超链接、页脚超链接和浏览器图标启用自定义功能。
类型:已更改的功能
服务类别: 用户体验和管理
产品功能: 最终用户体验
针对 Microsoft Entra ID/Microsoft 365 登录体验更新公司品牌功能,以允许自定义自助式密码重置 (SSPR) 超链接、页脚超链接和浏览器图标。 有关详细信息,请参阅:公司品牌打造
正式发布 - 为组访问评审提供的用户与组隶属关系建议
类型:新功能
服务类别: 访问评审
产品功能: 标识治理
此功能为访问评审的评审者提供基于机器学习的建议,使评审体验变得更轻松且更准确。 此建议使用基于机器学习的评分机制,并根据组织的报表结构比较用户与组中其他用户的相对隶属关系。 有关详细信息,请参阅:查看有关访问评审的建议和访问评审中基于机器学习的建议简介
公共预览版 - 非活动来宾见解
类型:新功能
服务类别: 报告
产品功能: 标识治理
对来宾帐户进行大规模监视,获取对组织中非活动来宾用户的智能见解。 根据组织需要自定义非活动阈值,缩小要监视的来宾用户范围,并识别可能处于非活动状态的来宾用户。 有关详细信息,请参阅:使用访问评审监视和清理过时的来宾帐户。
公共预览版 - 使用 PIM 对组进行实时应用程序访问
类型:新功能
服务类别:Privileged Identity Management
产品功能: Privileged Identity Management
可以最大程度地减少 AWS/GCP 等应用程序中的永久性管理员数,并获取对 AWS 和 GCP 中组的 JIT 访问权限。 虽然适用于组的 PIM 已公开发行,但我们还发布了一个公共预览版,其将 PIM 与预配集成在一起,并将激活延迟从 40 多分钟减少到 1-2 分钟。
公共预览版 - Azure Active Directory 角色上 PIM 安全警报的图形 API(beta 版本)
类型:新功能
服务类别:Privileged Identity Management
产品功能: Privileged Identity Management
宣布推出用于管理 Azure Active Directory 角色的 PIM 安全警报的 API 支持(beta 版本)。 当组织的 Azure Active Directory(Microsoft Entra 的一部分)中存在可疑或不安全活动时,Azure Privileged Identity Management (PIM) 会生成警报。 现在可以使用 REST API 管理这些警报。 还可以通过 Azure 门户管理这些警报。 有关详细信息,请参阅:unifiedRoleManagementAlert
资源类型。
正式发布 - 在 Azure 移动应用上重置密码
类型:新功能
服务类别:其他
产品功能: 最终用户体验
Azure 移动应用已增强,使拥有特定权限的管理员能够方便地重置其用户密码。 当前不支持自助式密码重置。 但是,用户仍然能够更有效地控制和简化自己的登录和身份验证方法。 可在此处下载各平台的移动应用:
公共预览版 - API 驱动的入站用户预配
类型:新功能
服务类别:预配
产品功能:入站到 Azure AD
借助 API 驱动的入站预配,Microsoft Entra ID 预配服务现在支持与任何记录系统集成。 客户和合作伙伴可以使用自己选择的任何自动化工具,从任何记录系统中检索员工数据,以便预配到 Microsoft Entra ID 和连接的本地 Active Directory 域。 IT 管理员可完全控制如何使用属性映射处理和转换数据。 Microsoft Entra ID 中提供员工数据后,IT 管理员可以使用 Microsoft Entra ID 治理生命周期工作流配置适当的 joiner-mover-leaver 业务流程。 有关详细信息,请参阅:API 驱动的入站预配概念(公共预览版)。
公共预览版 - 基于 EmployeeHireDate 用户属性的动态组
类型:新功能
服务类别:组管理
产品功能: 目录
此功能使管理员能够基于用户对象的 employeeHireDate 属性创建动态成员身份组规则。 有关详细信息,请参阅:字符串类型的属性。
正式发布 - 增强型创建用户和邀请用户体验
类型:已更改的功能
服务类别: 用户管理
产品功能: 用户管理
我们增加了管理员在 Entra 管理门户中创建和邀请用户时能够定义的属性数量,使我们的用户体验与“创建用户 API”保持一致。 此外,管理员现在可以将用户添加到组或管理单元,并分配角色。 有关详细信息,请参阅:使用 Azure Active Directory 添加或删除用户。
正式发布 - 所有用户和用户配置文件
类型:已更改的功能
服务类别: 用户管理
产品功能: 用户管理
“所有用户”列表现在具有无限滚动功能,管理员现在可以修改用户配置文件中的更多属性。 有关详细信息,请参阅:如何创建、邀请和删除用户。
公共预览版 - Windows MAM
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
“什么时候会有适用于 Windows 的 MAM?” 是我们最常被问到的客户问题之一。 我们很高兴地报告,答案是:“现在!” 我们十分期待在 Windows 上的 Microsoft Edge for Business 公共预览版中提供这一期待已久的新 MAM 条件访问功能。
使用 MAM 条件访问,Microsoft Edge for Business 为用户提供对个人 Windows 设备上的组织数据的安全访问权限,并提供可自定义的用户体验。 我们已将应用保护策略 (APP) 、Windows Defender 客户端威胁防御和条件访问等熟悉的安全功能组合在一起,所有这些功能都基于 Azure AD 标识,以确保在授予数据访问权限之前,非托管设备都运行正常且受到保护。 此功能可以帮助企业提升其安全态势并保护敏感数据免受未经授权的访问,而无需完全注册移动设备。
新功能通过 Microsoft Edge for Business 将应用层管理的优势扩展到 Windows 平台。 管理员有权在非托管的 Windows 设备上配置用户体验并保护 Microsoft Edge for Business 中的组织数据。
有关详细信息,请参阅:需要 Windows 设备的应用保护策略(预览版)。
正式发布 - Azure AD 应用程序库中提供了新的联合应用 - 2023 年 7 月
类型:新功能
服务类别: 企业应用
产品功能:第三方集成
2023 年 7 月,我们在应用库中添加了以下 10 个支持联合身份验证的新应用程序:
Gainsight SAML、Dataddo、Puzzel、Worthix App、iOps360 IdConnect、Airbase、Couchbase Capella - SSO、SSO for Jama Connect®、Mediment (メディメント)、Netskope Cloud Exchange Administration Console、Uber、Plenda、Deem Mobile、40SEAS、Vivantio、AppTweak、Vbrick Rev Cloud、OptiTurn、Application Experience with Mist、クラウド勤怠管理システムKING OF TIME、Connect1、DB Education Portal for Schools、SURFconext、Chengliye Smart SMS Platform、CivicEye SSO、Colloquial、BigPanda、Foreman
你也可以访问 https://aka.ms/AppsTutorial 找到所有应用程序的文档。
有关如何在 Azure AD 应用库中列出你的应用程序的信息,请访问 https://aka.ms/AzureADAppRequest 查看详细信息
公共预览版 - Azure AD 应用程序库中的新预配连接器 - 2023 年 7 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:使用 Azure AD 自动将用户预配到 SaaS 应用程序。
正式发布 - 适用于 .NET 4.55.0 的 Microsoft 身份验证库
类型:新功能
服务类别:其他
产品功能:用户身份验证
本月早些时候,我们宣布发布了 MSAL.NET 4.55.0,它是适用于 .NET 平台的 Microsoft 身份验证库的最新版本。 新版本引入了以下支持:对象 ID 指定的用户分配的托管标识、WithTenantId
API 中的 CIAM 颁发机构、处理缓存序列化时的优化错误消息,以及使用 Windows 身份验证代理时改进的日志记录。
正式发布 - 适用于 Python 1.23.0 的 Microsoft 身份验证库
类型:新功能
服务类别:其他
产品功能:用户身份验证
本月早些时候,Microsoft 身份验证库团队宣布发布适用于 Python 版本 1.23.0 的 MSAL。 新版本的库增加了对使用客户端凭据时更好的缓存的支持,从而无需在存在缓存令牌时重复请求新令牌。
若要详细了解适用于 Python 的 MSAL,请参阅:适用于 Python 的 Microsoft 身份验证库 (MSAL)。