Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
本文包含有关 Microsoft Entra 系列产品中超过六个月但不超过18个月的发布和更改公告的信息。 如果您在查找更当前的信息,请参阅 Microsoft Entra 版本和公告。
2025 年 7 月
全面可用 - Microsoft Entra Connect Sync 上的基于应用的身份验证
类型:新功能
Service category: Microsoft Entra Connect
Product 功能: Microsoft Entra Connect
Application-Based 身份验证(ABA)功能现在是 Microsoft Entra Connect 的默认身份验证方法。 它使 Microsoft Entra Connect 能够安全地使用 Microsoft Entra ID 进行身份验证,而无需依赖本地存储的密码。 此功能使用Microsoft Entra ID应用程序标识和 Oauth 2.0 客户端凭据流对Microsoft Entra ID进行身份验证。 Microsoft Entra Connect 会自动在客户的 Entra ID 租户中创建单租户第三方应用程序,将证书注册为应用程序的凭据,并授予目录同步所需的权限。
此更改的 Microsoft Entra Connect Sync .msi 安装文件仅在 Microsoft Entra Connect 下的 Microsoft Entra 管理中心提供。
有关更改的更多详细信息,请查看我们的 版本历史记录页 。
正式发布 - 新的生命周期流程任务用于撤销刷新令牌
类型:新功能
服务类别: 生命周期工作流
产品功能: 标识治理
客户现在可以配置生命周期工作流任务,以在员工在组织内部变动或离开组织时自动撤销访问令牌。 有关详细信息,请参阅: 撤销用户的所有刷新令牌。
正式发布 - Microsoft Entra Connect Sync 中的审核管理员事件
类型:新功能
服务类别:预配
Product 功能: Microsoft Entra Connect
管理员审核日志记录功能使组织能够监视全局管理员或混合管理员对 Microsoft Entra Connect Sync 配置所做的更改。 它捕获通过 Microsoft Entra Connect 同步向导、PowerShell 或同步规则编辑器执行的操作,包括对同步规则的更改、身份验证设置(例如启用或禁用功能)以及联合身份验证设置。 这些事件记录在Windows Event Viewer中的专用Microsoft Entra Connect Sync 审核日志通道中,从而更深入地了解标识基础结构更改。 此功能支持故障排除、运营责任和法规合规。
此更改的 Microsoft Entra Connect Sync .msi 安装文件仅在 Microsoft Entra Connect 窗格内的 Microsoft Entra 管理中心提供。
有关更改的更多详细信息,请查看我们的 版本历史记录页 。
正式发布 - 针对Microsoft Graph资源的Bicep模板
类型:新功能
服务类别: MS Graph
产品功能:开发人员体验
Microsoft Graph资源的Bicep模板允许你使用Bicep模板文件以及Azure资源创作、部署和管理一组有限的Microsoft Graph资源(主要是Microsoft Entra ID资源)。
- Azure客户可以使用熟悉的工具,通过基础结构即代码(IaC)和 DevOps 实践部署Azure资源以及它们所依赖的Microsoft Entra资源,例如服务主体和应用程序。
- 它还为现有 Microsoft Entra 客户打开了大门,以便使用 Bicep 模板和 IaC 实践来部署和管理其租户的 Microsoft Entra 资源。
有关详细信息,请参阅 适用于 Microsoft Graph 的 Bicep 模板。
正式发布 - 条件访问 What If API
类型:新功能
服务类别:条件访问
产品功能:访问控制
条件访问 What If API 可用于以编程方式测试策略对用户和工作负荷身份登录的影响。
正式发布 - 受限管理的管理单元
类型:新功能
服务类别: RBAC
产品功能:身份验证/访问委派
通过受限管理的管理单元,您可以轻松地将用户、组或设备的访问权限限制为您指定的特定用户或应用程序。 租户级管理员(包括全局管理员)无法修改受限管理单元的成员,除非他们被显式分配角色到管理单元。 这样可以轻松锁定租户中的一组敏感组或用户帐户,而无需删除租户级角色分配。 有关详细信息,请参阅: Microsoft Entra ID 中的受限管理的管理单元。
2025 年 6 月
全面可用 - 更新为 Microsoft Entra 工作或学校默认背景图像
类型:已更改的功能
服务类别: 身份验证(登录)
产品功能:用户身份验证
从 2025 年 9 月 29 日起,我们将更改Microsoft Entra工作或学校身份验证屏幕的默认背景图像。 此新背景旨在帮助用户专注于登录其帐户、提高工作效率以及尽量减少干扰。 因此,我们旨在确保整个Microsoft身份验证流的视觉一致性和简洁、简化的用户体验-与Microsoft的现代化 Fluent 设计语言保持一致。 当我们的体验看起来和感觉一致时,它为用户提供了他们所了解和信任的熟悉体验。
有什么变化?
此更新只是视觉用户界面刷新,无需对功能进行更改。 此更改仅影响那些未应用公司品牌或用户看到默认背景图像的屏幕。 建议更新包含屏幕截图并通知技术支持的任何文档。 如果已在租户的公司品牌中配置了自定义背景图像,则不会对用户进行更改。
其他详细信息:
未配置自定义后台的租户:
a。 没有自定义背景的租户将在每个身份验证屏幕上看到更改。
b. 若要更改此背景并使用自定义背景,请配置 公司品牌。配置了自定义背景的租户:
a。 配置了自定义背景的租户将仅在 URL 没有指定租户 ID 参数时看到更改(例如直接访问 login.partner.microsoftonline.cn 没有 域提示或自定义 URL)。
b. 对于所有其他屏幕,配置了自定义背景的租户 不会看到所有客户端的体验有任何变化。Entra 外部 ID 租户不会在所有客户端上看到对其体验的任何更改
您需要做什么?
无需执行任何操作。 从 2025 年 9 月 29 日起,将自动应用更新。
已弃用 - 条件访问概述与监控选项卡将被淘汰
类型:已弃用
服务类别:条件访问
产品功能:标识安全和保护
Microsoft Entra 管理中心中的条件访问概述监视选项卡将于 7 月 18 日开始停用,并于 8 月 1 日前完成。 在此日期之后,管理员将不再有权访问此选项卡。我们鼓励客户过渡到条件访问 Per-Policy 报告和见解和报告仪表板,这两者都更可靠,提供更高的准确性,并且已收到来自客户的明显更好的反馈。 详细了解 Per-Policy Reporting 和 Insights and Reporting。
正式发布 - 条件访问受众报告
类型:新功能
服务类别:条件访问
产品功能:访问控制
条件访问的受众报告功能通过登录日志,使管理员能够查看条件访问在登录事件中评估的所有资源。 有关详细信息,请参阅:受众报告。
正式发布 - 微软所有应用程序的条件访问支持
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
只要服务主体出现在其租户中,管理员可以将条件访问策略分配给Microsoft的所有云应用。 有关详细信息,请参阅:Azure云应用程序。
正式发布 - 双向林信任用于 Microsoft Entra 域服务
类型:新功能
服务类别:Microsoft Entra 域服务
Product 功能: Microsoft Entra 域服务
Microsoft Entra 域服务的双向林信任现已正式发布。 此功能允许组织在Microsoft Entra域服务域和 on-premises Active Directory (AD) 域之间建立信任关系。 现在,林信任可以按三个方向进行配置:单向出站(如前所述)、单向入站和双向,取决于组织的需求。 森林域信任可用于在混合环境中跨受信任域启用资源访问。 此功能使您能够通过 Microsoft Entra 域服务更好地管理混合身份环境,提供更大的控制和灵活性。 信托需要企业版或高级版 SKU 许可证。 有关详细信息,请参阅:活动目录中林信任关系的工作原理。
2025年5月
正式发布 - Microsoft Entra External ID:使用 SAML/WS-Fed 标识提供者的用户身份验证
类型:新功能
服务类别:B2C - 用户标识管理
产品功能:B2B/B2C
设置 SAML 或 WS-Fed 标识提供者,使用户能够使用自己的帐户与标识提供者注册和登录应用程序。 用户将被重定向到标识提供者,然后在成功登录后重定向回Microsoft Entra。 有关详细信息,请参阅: SAML/WS-Fed 标识提供者。
公共预览版 - 在 Microsoft Entra Connect Sync 上推出基于应用程序的身份验证
类型:新功能
Service category: Microsoft Entra Connect
Product 功能: Microsoft Entra Connect
Microsoft Entra Connect 创建并使用 Microsoft Entra 连接器帐户对Active Directory到Microsoft Entra ID的标识进行身份验证和同步。 该帐户使用本地存储的密码对Microsoft Entra ID进行身份验证。 为了增强与应用程序的 Microsoft Entra Connect 同步过程的安全性,我们推出了对“基于 Application 身份验证”(ABA)的支持,该身份验证使用Microsoft Entra ID应用程序标识和 Oauth 2.0 客户端凭据流对Microsoft Entra ID进行身份验证。 若要启用此功能,Microsoft Entra Connect 会在客户的Microsoft Entra ID租户中创建单个租户第三方应用程序,将证书注册为应用程序的凭据,并授权应用程序执行本地目录同步。
此更改的 Microsoft Entra Connect Sync .msi 安装文件仅在 Microsoft Entra Connect 窗格内的Microsoft Entra管理中心上提供。
有关更改的更多详细信息,请查看我们的 版本历史记录页 。
正式发布 - 分析条件访问策略影响
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
单个条件访问策略的策略影响视图使管理员能够了解每个策略如何影响最近的登录。此功能在Microsoft Entra管理中心提供清晰的内置图形,使无需其他工具和资源(如Log Analytics)即可轻松可视化和评估影响。 有关详细信息,请参阅政策影响。
2025 年 4 月
公共预览版 - Microsoft Entra ID Governance:“我的访问”中建议的访问包
类型:新功能
服务类别:权利管理
产品功能: 权利管理
2024 年 12 月,我们在“我的访问”中引入了一项新功能:建议的访问包的特选列表。 用户可以基于同行的访问包和之前的分配查看最相关的访问包,无需滚动浏览长列表。 到 2025 年 5 月,默认情况下将启用建议,我们将在管理员的Microsoft Entra管理中心权利管理控制配置中引入新卡片,以查看“我的访问”设置。 建议管理员通过此设置为推荐访问包启用基于同行的见解。 有关详细信息,请参阅:“我的访问”中建议的访问包(预览版)。
公共预览版 - 条件访问 What If 评估 API
类型:新功能
服务类别:条件访问
产品功能:访问控制
条件访问 What If 评估 API - 使用 Microsoft Graph API 利用 What If 工具以编程方式评估租户中用户和服务主体登录的条件访问策略的适用性。有关详细信息,请参阅:conditionalAccessRoot: evaluate。
全面可用性 - 在 Microsoft Entra 应用中将托管标识用作凭据
类型:新功能
服务类别: Azure 资源的托管身份
产品功能:标识安全和保护
现在可以将托管标识用作Microsoft Entra应用的联合凭据,在单租户和多租户方案中启用安全、无机密的身份验证。 这消除了在使用Microsoft Entra应用跨租户访问Azure资源时存储和管理客户端机密或证书的需求。 此功能与 Microsoft 的 安全未来计划 支柱——保护跨系统的身份和秘密——保持一致。 了解如何在 官方文档中配置此功能。
规划更改 - 在 Microsoft Entra Connect Sync 上推出基于应用程序的身份验证
类型:更改计划
Service category: Microsoft Entra Connect
Product 功能: Microsoft Entra Connect
正在更改的内容
Microsoft Entra Connect 创建并使用 Microsoft Entra 连接器帐户对Active Directory到Microsoft Entra ID的标识进行身份验证和同步。 该帐户使用本地存储的密码对Microsoft Entra ID进行身份验证。 为了增强 Microsoft Entra Connect 应用程序同步过程的安全性,我们将在下周推出对“基于应用程序的身份验证”(ABA)的支持,该身份验证使用基于Microsoft Entra ID应用程序的标识和 Oauth 2.0 客户端凭据流对Microsoft Entra ID进行身份验证。 若要启用此功能,Microsoft Entra Connect 将在客户的Microsoft Entra ID租户中创建单租户第三方应用程序,将证书注册为应用程序的凭据,并授权应用程序执行本地目录同步
此更改的 Microsoft Entra Connect Sync .msi 安装文件将在 Microsoft Entra 管理中心的 Microsoft Entra Connect 窗格中专门提供。
查看下周的版本 历史记录页 ,了解更改的更多详细信息。
2025 年 3 月
公共预览版 - 在 Microsoft Entra 中使用可链接标识符跟踪和调查身份活动
类型:新功能
服务类别:身份验证(登录)
产品功能:用户身份验证
Microsoft将标准化可链接令牌标识符,并在Microsoft Entra和工作流审核日志中公开这些标识符。 这样,客户就可以加入日志来跟踪和调查任何恶意活动。 目前,Microsoft Entra登录日志、Exchange Online审核日志和 MSGraph 活动日志中提供了可链接标识符。
有关详细信息,请参阅:在 Microsoft Entra(预览版)中,使用可链接标识符跟踪和调查身份活动。
正式发布 - 条件访问重新身份验证策略
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
每次用户执行特定操作时,都需要重新身份验证,例如访问敏感应用程序、保护 VPN 后面的资源,或在 PIM 中保护特权角色提升时。 有关详细信息,请参阅:每次需要重新身份验证。
正式发布 - Microsoft Entra 域服务的自定义属性支持
类型:新功能
服务类别:Microsoft Entra 域服务
Product 功能: Microsoft Entra 域服务
Microsoft Entra Domain Services的自定义属性现已普遍可用。 此功能允许客户在其托管域中使用自定义属性。 旧版应用程序通常依赖于过去创建的自定义属性来存储信息、对对象进行分类或强制对资源的精细访问控制。 例如,这些应用程序可能使用自定义属性将员工 ID 存储在其目录中,并依赖其应用程序 LDAP 调用中的这些属性。 修改旧版应用程序可能成本高昂且有风险,客户可能缺乏进行这些更改所需的技能或知识。 Microsoft Entra域服务现在支持自定义属性,使客户无需修改即可将其旧版应用程序迁移到 Azure 云。 它还支持从Microsoft Entra ID同步自定义属性,使客户可以从云中的Microsoft Entra ID服务中受益。 有关详细信息,请参阅:Microsoft Entra 域服务的自定义属性。
公开预览 - 限制多租户应用的创建或推广
类型:新功能
服务类别:目录管理
产品功能:开发人员体验
应用 管理策略框架 添加了一项新功能,允许限制创建或提升多租户应用程序,使管理员能够更好地控制其应用环境。
如果策略不允许在应用中提供的 signInAudience 值,管理员现在可以使用新的 访问群体 限制来配置租户默认或自定义应用策略,以阻止新应用创建。 此外,如果策略不允许目标值,则可以限制现有应用更改其 signInAudience。 这些策略更改在应用创建或更新作期间应用,提供对应用程序部署和使用情况的控制。 有关详细信息,请参阅 audiencesConfiguration 资源类型。
正式发布 - 在 Microsoft Entra 管理中心下载 Microsoft Entra Connect Sync
类型:更改计划
Service category: Microsoft Entra Connect
产品功能: 标识治理
Microsoft Entra Connect Sync .msi 安装文件也可以在 Microsoft Entra 管理中心的 Microsoft Entra Connect 窗格中找到。 在此更改过程中,我们将停止在 Microsoft下载中心上传新的安装文件。
正式发布 - Microsoft 管理的新条件访问策略,旨在限制设备代码流和旧版身份验证流
类型:已更改的功能
服务类别:条件访问
产品功能:访问控制
作为我们持续致力于增强安全性和保护客户免受不断演变的网络威胁的一部分,我们将推出两个新的Microsoft托管的条件访问策略,旨在限制设备代码流和旧式身份验证流。 这些策略默认符合我们更广泛的 安全未来计划的安全原则,旨在提供可靠的安全措施,以默认保护组织。
已弃用 - 升级 Microsoft Entra Connect 同步版本以避免对同步向导造成影响
类型:已弃用
Service category: Microsoft Entra Connect
Product 功能: Microsoft Entra Connect
如 Microsoft Entra 新增功能 Blog 和 Microsoft 365 中心通信中宣布的那样,客户应在 2025 年 4 月 7 日之前将商业云的连接同步版本升级到至少 2.4.18.0,非商业云的版本升级到至少 2.4.21.0。 连接同步向导上的重大变更将影响所有需要身份验证的请求,例如架构刷新、配置暂存模式和用户登录更改。 有关详细信息,请参阅: 最低版本。
2025 年 2 月
全面可用 - 身份验证方法迁移向导
类型:新功能
服务类别: MFA
产品功能:用户身份验证
使用 Microsoft Entra 管理中心中的身份验证方法迁移指南,可以将方法管理从 legacy MFA 和 SSPR 策略自动迁移到 连接身份验证方法策略。 2023 年,我们公布将于 2025 年 9 月停用在旧式 MFA 和 SSPR 策略中管理身份验证方法的功能。 到目前为止,组织必须使用融合策略中的迁移开关手动迁移方法本身。 现在,使用迁移指南,只需进行几项选择即可完成迁移。 该指南会评估贵组织当前在这两种旧策略中启用的内容,并会生成建议的融合策略配置,以便进行审核并根据需要进行编辑。 从那里,确认配置,我们将其为您设置,并将您的迁移标记为完成。 有关详细信息,请参阅:
公共预览版 - 管理中心 UX 中的增强用户管理
类型:新功能
服务类别: 用户管理
产品功能: 用户管理
管理员现在可以通过Microsoft Entra管理中心一次性多选和编辑用户。 借助这项新功能,管理员可以批量编辑用户属性、将用户添加到组、编辑帐户状态等。 此 UX 增强功能可显著提高Microsoft Entra管理中心中的用户管理任务的效率。 有关详细信息,请参阅:在Microsoft Entra管理中心添加或更新用户配置文件信息和设置。
公共预览版 - 外部身份验证方法支持系统优选的多因素认证 (MFA)
类型:新功能
服务类别: MFA
产品功能: 第三方集成
支持外部身份验证方法,因为受支持的方法将于 2025 年 3 月初开始推出。 如果这在启用了系统首选功能的租户中运行,且用户位于外部身份验证方法策略的范围内,则如果用户最安全的已注册方法为 Microsoft Authenticator 通知,这些用户将被提示使用其外部身份验证方法。 外部身份验证方法将显示在最安全方法列表中的第三个。 如果用户已注册临时访问通行证(TAP)设备,系统会提示他们使用这些通行证。 此外,外部身份验证方法策略范围内的用户将能够从其帐户中删除所有已注册的第二因素方法,即使删除的方法被指定为默认登录方法或系统首选方法。 有关详细信息,请参阅: 系统首选的多重身份验证 - 身份验证方法策略。
2025 年 1 月
正式发布 - Microsoft Entra PowerShell
类型:新功能
服务类别: MS Graph
产品功能:开发人员体验
使用以方案为中心的Microsoft Entra PowerShell 模块以编程方式管理和自动化Microsoft Entra资源。 有关详细信息,请参阅:Microsoft Entra PowerShell 模块现已正式发布。
正式上线 - 提高对下游租户登录情况的可见性
类型:新功能
服务类别: 报告
产品功能:监视和报告
Microsoft Security 希望确保所有客户知道如何识别合作伙伴何时在访问下游租户的资源。 交互式登录日志当前提供登录事件列表,但没有明确指示哪些登录来自访问下游租户资源的合作伙伴。 例如,查看日志时,可能会看到一系列事件,但没有任何附加上下文,很难判断这些登录名是否来自访问另一租户数据的合作伙伴。
下面是一系列步骤,用于阐明哪些登录信息与合作伙伴租户相关联:
- 注意 CrossTenantAccessType 列中的“ServiceProvider”值:
- 可以应用此筛选器来优化日志数据。 激活后,它会立即隔离与合作伙伴登录相关的事件。
- 利用主租户 ID 和资源租户 ID 列:
- 这两列标识来自合作伙伴租户到下游租户的登录名。
在看到合作伙伴登录到下游租户的资源后,要执行的一项重要后续活动是验证下游环境中可能发生的活动。 要查看的一些日志示例包括Microsoft Entra ID事件的Microsoft Entra审核日志、Microsoft 365和Microsoft Entra ID事件的Microsoft 365统一审核日志(UAL),以及/或Azure事件的Azure Monitor活动日志。 通过执行这些步骤,可以清楚地识别合作伙伴何时登录到下游租户的资源和环境中的后续活动,从而提高管理和监视跨租户访问的能力。
若要提高对上述列的可见性,Microsoft Entra 将从 2025 年 3 月 7 日起在加载登录日志用户体验时默认启用这些列以显示。
公共预览版 - Microsoft Entra Connect 中的审核管理员事件
类型:新功能
Service category: Microsoft Entra Connect
Product 功能: Microsoft Entra Connect
我们发布了 Microsoft Entra Connect 的新版本 2.4.129.0,支持记录管理员在 Connect 同步向导和 PowerShell 上所做更改的日志。 有关详细信息,请参阅:在 Microsoft Entra Connect Sync(公共预览版)中审核管理员事件。
在受支持的位置,我们还会在 2025 年 2 月将客户自动升级到此版本的 Microsoft Entra Connect。 对于希望自动升级的客户,您应确保已配置自动升级。
有关升级相关指南,请参阅 Microsoft Entra Connect:从以前的版本升级到最新版本。
公共预览版 - 灵活的联合标识凭据
类型:新功能
服务类别:身份验证(登录)
产品功能:开发人员体验
灵活的联合标识凭据通过提供对某些声明使用通配符匹配的功能来扩展现有的联合标识凭据模型。 此功能目前可用于GitHub、GitLab 和 Terraform Cloud 方案,可用于降低托管类似方案所需的 FIC 总数。 有关详细信息,请参阅:灵活联合标识凭据(预览版)。
正式发布 - 硬删除的受保护操作
类型:新功能
服务类别:其他
产品功能:标识安全和保护
客户现在可以配置条件访问策略,以防止早期硬删除。 对硬删除进行保护的操作可以保护用户、Microsoft 365 组和应用程序的硬删除。 有关详细信息,请参阅:Microsoft Entra ID 中的受保护操作是什么?。
公开预览:Elevate Access事件现在可以通过Microsoft Entra审核日志导出。
类型:新功能
服务类别: RBAC
产品功能:监视和报告
此功能使管理员能够通过 Microsoft Entra 审核日志将导出和流式传输权限提升事件到第一方和第三方的 SIEM 解决方案。 它增强了检测并改进了日志记录功能,从而能够查看租户中谁利用了 Elevate Access。 有关如何使用该功能的详细信息,请参阅:查看提升访问日志条目。
已弃用 - 请在 2025 年 2 月 1 日前采取措施:停用 Azure AD Graph
类型:已弃用
Service category: Azure AD Graph
产品功能:开发人员体验
Azure AD Graph API服务于 2020 年[弃用]。 Azure AD Graph API 服务的停用于 2024 年 9 月开始,停用的下一阶段将于 2025 年 2 月 1 日开始。 除非采取行动,否则此阶段将影响新的和现有的应用程序。 可在以下位置找到有关 Azure AD Graph 停用的最新更新: 2 月 1 日之前采取作:Azure AD Graph 即将停用。
从 2 月 1 日起,新的和现有的应用程序将被阻止调用 Azure AD Graph API,除非它们被配置为使用扩展。 可能不会立即看到影响,因为我们正在跨租户分阶段推出此更改。 我们预计此更改将在2月底全面部署,国家云部署将在3月底完成。
如果尚未这样做,现在迫切需要查看租户上的应用程序,以查看哪些应用程序依赖于Azure AD Graph API访问,并在 2 月 1 日截止日期之前缓解或迁移这些应用程序。 对于尚未迁移到 Microsoft Graph API 的应用程序,可以将an 扩展设置为允许应用程序访问 Azure AD Graph,到 2025 年 6 月 30 日。
Microsoft Entra 建议功能是用于识别在您的租户中使用 Azure AD Graph API 并需要采取行动的应用程序的最佳工具。 参考这篇博客文章:Azure AD Graph API退役的分步指南以了解需要采取的操作。
正式发布 - Microsoft Entra Connect 版本 2.4.129.0
类型:已更改的功能
Service category: Microsoft Entra Connect
Product 功能: Microsoft Entra Connect
2025 年 1 月 15 日,我们发布了Microsoft Entra Connect Sync 版本 2.4.129.0,支持审核管理员事件。 如需了解更多详情,请参阅发行说明。 我们将在 2025 年 2 月自动将符合条件的客户升级到此最新版本的 Microsoft Entra Connect。 对于希望自动升级的客户,您应确保已配置自动升级。
已弃用 - 采取措施,避免在旧版 MSOnline 和 AzureAD PowerShell 模块停用时产生影响
类型:已弃用
服务类别: 旧版 MSOnline 和 AzureAD PowerShell 模块
产品功能:开发人员体验
如 Microsoft Entra 变更公告 和 Microsoft Entra 博客中宣布,MSOnline 和 Azure AD PowerShell 模块(用于 Microsoft Entra ID)于 2024 年 3 月 30 日停用。
MSOnline PowerShell 模块的停用从 2025 年 4 月初开始,将于 2025 年 5 月下旬结束。 如果使用 MSOnline PowerShell,则必须在 2025 年 3 月 30 日之前采取措施,通过将 MSOnline 的任何用法迁移到 Microsoft Graph PowerShell SDK 或 Microsoft Entra PowerShell,以避免停用后产生影响。
要点
- MSOnline PowerShell 将在 2025 年 4 月初到 2025 年 5 月下旬停用并停止工作
- AzureAD PowerShell 在 2025 年 3 月 30 日之后将不再受支持,但将于 2025 年 7 月初停用。 此推迟是让你有时间完成 MSOnline PowerShell 迁移
- 为了确保 MSOnline PowerShell 停用的客户就绪情况,2025 年 1 月至 2025 年 3 月,所有租户都会进行一系列临时中断测试。
有关详细信息,请参阅:需要执行的操作:MSOnline 和 AzureAD PowerShell 停用 - 2025 年的信息和资源。
2024 年 12 月
全面可用 - Microsoft Entra 的新增功能
类型:新功能
服务类别: 报告
产品功能:监视和报告
Microsoft Entra 中的新增功能,全面展示了 Microsoft Entra 产品的更新,包括产品路线图(如公共预览版和最新 GA),以及变更公告(例如弃用、重大改动、功能调整和由 Microsoft 管理的策略)。 这是 Microsoft Entra 管理员获取产品更新信息的一站式平台。
公共预览版 - Microsoft Entra ID Governance:审批者可以在 MyAccess 中撤销访问权限
类型:新功能
服务类别:权利管理
产品功能: 权利管理
对于Microsoft Entra ID Governance用户,访问包请求的审批者现在可以在 MyAccess 中撤销其决策。 只有执行审批操作的人员才能撤销访问权限。 若要选择使用此功能,管理员可以转到“Identity Governance 设置”页面并启用该功能。 有关详细信息,请参阅:我的Access门户是什么?。
正式发布 - 扩展 SSPR 策略审核日志记录
类型:新功能
服务类别:自助服务密码重置
产品功能:监视和报告
从 1 月中旬开始,我们正在改进 SSPR 策略更改审核日志。
进行此改进后,任何 SSPR 策略配置(包括启用或禁用)更改都将产生一条审核日志条目,其中包括有关所做更改的详细信息。 此外,将在审核日志中记录更改前后的值。 通过选择审核日志条目并选择条目中的“修改后的属性”选项卡,可以找到此类附加信息。
这些更改将分阶段推出:
阶段 1 包括身份验证方法、注册、通知和自定义配置设置的日志记录。
阶段 2 包括本地集成配置设置的日志记录。
此更改将自动进行,因此管理员无需执行任何操作。 有关此更改的更多信息和详细信息,请参阅:Microsoft Entra审核日志类别和活动。
正式发布 - 在 MyAccount 中更新个人资料照片
类型:新功能
服务类别: 我的配置文件/帐户
产品功能: 最终用户体验
用户现在可以直接从 MyAccount 门户更新其个人资料照片。 此更改会在用户帐户的个人资料照片部分显示新的编辑按钮。
在某些环境中,有必要阻止用户进行此更改。 全局管理员可以按照《在 Microsoft 365 中管理用户配置文件照片设置》文档中的指导,使用租户范围的策略和 Microsoft Graph API 来管理此策略。
公开预览 - Microsoft Entra ID 管理:访问包请求建议
类型:新功能
服务类别:权利管理
产品功能: 权利管理
选择加入 正如之前所传达的那样,我们很高兴在My Access中引入一项新功能:建议访问包的特选列表。 利用此功能,用户无需滚动浏览长列表,即可快速查看最相关的访问包(基于对等的访问包和以前的请求)。 12 月,可以在“选择使用 Identity Governance 的预览功能”中启用预览版。 从 1 月起,默认情况下此设置处于启用状态。
公共预览版 - 从 HR 源预配自定义安全属性
类型:新功能
服务类别:预配
产品功能:入站到 Entra ID
借助此功能,客户可以将“自定义安全属性”从权威 HR 源自动地在 Microsoft Entra ID 中进行预配。 支持的权威源包括:Workday、SAP SuccessFactors,以及使用 API 驱动型预配集成的任何 HR 系统。
正式发布 - Microsoft Entra 外部ID 自定义网址域名
类型:新功能
服务类别:身份验证(登录)
产品功能: 标识生命周期管理
利用此功能,用户可使用自己的品牌名称自定义其 Microsoft 默认登录身份验证终结点。 自定义 URL 域可帮助用户将外部 ID 终结点 < 租户名称 >.ciamlogin.com 更改为 login.contoso.com。
正式发布 - Azure基于角色的访问控制中的特权身份管理集成
类型:新功能
服务类别: RBAC
产品功能:访问控制
特权身份管理(PIM)功能现已集成到Azure角色基于访问控制(Azure RBAC)用户界面中。 在此集成之前,RBAC 管理员只能从 Azure RBAC UI 管理永久访问权限(活动永久角色分配)。 通过此集成,实时访问和时间限制访问(PIM 支持的功能)现已引入 Azure RBAC UI,供具有 P2 或 Identity Governance、许可证的客户使用。
RBAC 管理员可以从 Azure RBAC 添加角色分配流创建符合条件和时间限制的分配,在单个视图中查看角色分配的不同状态列表,以及从 Azure RBAC UI 转换其角色分配的类型和持续时间。 此外,最终用户现在直接从 Azure RBAC UI 登陆页面查看其不同状态的所有角色分配,从那里还可以激活其符合条件的角色分配。 有关详细信息,请参阅:在作用域内列出角色分配。
正式发布 - 新的专用第一方资源应用程序,用于通过 Microsoft Entra Connect Sync 启用 Active Directory 到 Microsoft Entra ID 的同步。
类型:已更改的功能
服务类别:预配
产品功能: 目录
作为持续安全强化的一部分,Microsoft部署Microsoft Entra AD 同步服务,这是一个专用的第一方应用程序,用于在Active Directory和Microsoft Entra ID之间启用同步。 此新应用程序(应用程序 ID 为 6bf85cfa-ac8a-4be5-b5de-425a0d0dc016)已在使用 Microsoft Entra Connect Sync 服务的客户租户中进行预配。
2024 年 11 月
公共预览版 - 在 MyAccount 中更新个人资料照片
类型:新功能
服务类别: 我的配置文件/帐户
产品功能: 最终用户体验
2024 年 11 月 13 日,用户能直接从 MyAccount 门户更新其个人资料照片。 此更改会在用户帐户的个人资料照片部分显示新的编辑按钮。
在某些环境中,有必要阻止用户进行此更改。 全局管理员可以按照《在 Microsoft 365 中管理用户配置文件照片设置》文档中的指导,使用租户范围的策略和 Microsoft Graph API 来管理此策略。
正式发布 - Microsoft Entra健康监测、健康指标功能
类型:新功能
服务类别: 报告
产品功能:监视和报告
Microsoft Entra运行状况监视,可从“运行状况”窗格中获取,其中包括一组低延迟预计算运行状况指标,可用于监视租户中关键用户方案的运行状况。 第一组健康方案包括 MFA、符合 CA 合规标准的设备、由 CA 管理的设备和 SAML 身份验证。 这组监视应用场景会随着时间推移而增长。 这些健康指标现已作为全面可用的数据流发布,并包括智能报警功能的公开预览。 有关详细信息,请参阅:什么是Microsoft Entra Health?。
正式发布 - Microsoft Entra Connect Sync 版本 2.4.27.0
类型:已更改的功能
服务类别:预配
产品功能: 标识治理
2025 年 11 月 14 日,我们发布了Microsoft Entra Connect Sync 版本 2.4.27.0,该版本使用 OLE DB 版本 18.7.4 进一步强化我们的服务。 升级到此最新版本的 Connect Sync 以提高安全性。 如需了解更多详情,请参阅发行说明。
公开预览 - Microsoft Entra健康监控和警报功能
类型:已更改的功能
服务类别:其他
产品功能:监视和报告
Microsoft Entra运行状况监视中的智能警报会通知租户管理员和安全工程师,只要受监视的方案从其典型模式中断。 Microsoft Entra的警报功能监视每个方案的低延迟运行状况信号,并在检测到异常时触发通知。 预警就绪的健康信号和方案集将会随着时间逐步增长。 此警报功能现已作为仅限 API 的公共预览版在 Microsoft Entra Health 中提供(UX 版本计划于 2025 年 2 月发布)。 有关详细信息,请参阅:如何使用 Microsoft Entra 健康监控警报(预览版)。
正式发布 - Log Analytics 登录日志架构与 MSGraph 架构一致
类型:更改计划
服务类别:身份验证(登录)
产品功能:监视和报告
为了保持我们核心日志记录原则的一致性,我们解决了一个遗留的一致性问题,即Azure Log Analytics登录日志的架构与MSGraph登录日志的架构不匹配。 这些更新包括 ClientCredentialType、CreatedDateTime、ManagedServiceIdentity、NetworkLocationDetails、tokenProtectionStatus、SessionID 等字段。 这些更改将在 2024 年 12 月的第一周生效。
我们相信,此增强功能提供更一致的日志记录体验。 与往常一样,可以执行预引入转换,从Azure Log Analytics存储工作区中删除任何不需要的数据。 有关如何执行这些转换的指导,请参阅:Azure Monitor 中的数据收集转换。
已弃用 - MIM 混合报告代理
类型:已弃用
Service category: Microsoft Identity Manager
产品功能:监视和报告
已弃用混合报告代理(用于将 MIM 服务事件日志发送到Microsoft Entra以在密码重置和自助服务组管理报告中显示)。 建议的替代项是使用Azure Arc将事件日志发送到Azure Monitor。 有关详细信息,请参阅 使用 Azure Monitor 的 Microsoft Identity Manager 2016 报告。
2024 年 9 月
公共预览版 - 要求设备合规性的新条件访问模板
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
要求设备合规性的新条件访问模板现已提供公共预览版。 此模板将对公司资源的访问仅限于注册了移动设备管理 (MDM) 且符合公司政策的设备。 要求设备合规性可提高数据安全性,降低数据泄露、恶意软件感染和未经授权访问的风险。 这是针对通过 MDM 的符合性策略面向的用户和设备的建议最佳做法。 有关详细信息,请参阅:常用策略:创建要求设备合规的条件访问策略
公共预览版 - 代表请求
类型:新功能
服务类别:权利管理
产品功能: 权利管理
利用权利管理,管理员能够创建访问包来管理其组织的资源。 管理员可以直接将用户分配给访问包,也可以配置允许用户和组成员请求访问权限的访问包策略。 此创建自助服务流程的选项非常有用,尤其是在组织扩大规模和雇佣更多员工时。 但是,加入组织的新员工可能并不总是知道需要访问哪些内容以及如何请求访问权限。 在这种情况下,新员工可能会依赖管理人员来指导其完成访问权限请求过程。
管理人员可以为员工请求访问包,而不是让新员工浏览请求流程,从而使入职过程更快、更流畅。 若要为管理人员启用此功能,管理员可以在设置访问包策略时选择允许管理人员代表其员工请求访问权限的选项。
扩展自助服务请求流以允许代表员工提出请求,可确保用户能够及时访问必要的资源并提高工作效率。 有关详细信息,请参阅:代表其他用户请求访问包(预览版)。
2024 年 8 月
更改公告 - 即将在 Microsoft Entra 管理中心执行 MFA
类型:更改计划
服务类别: MFA
产品功能:标识安全和保护
作为我们向客户提供最高安全级别的承诺的一部分,我们以前宣布,Microsoft需要多重身份验证(MFA)才能登录Azure。
除了 Azure 门户和 Intune 管理中心,我们还希望共享 MFA 强制实施范围包括 Microsoft Entra 管理中心的更新。 此更改分阶段推出,以便组织有时间规划其实施工作:
Phase 1:从2024年日历年的下半年开始,需要使用多因素身份验证才能登录到 Microsoft Entra 管理中心、Azure 门户和 Intune 管理中心。 这项强制措施将逐步向全球所有租户推出。 此阶段不会影响其他Azure客户端,例如Azure命令行接口、Azure PowerShell、Azure移动应用和基础结构即代码(IaC)工具。
Phase 2:从 2025 年初开始,在登录Azure CLI、Azure PowerShell、Azure移动应用和基础结构即代码工具(IaC)工具时逐步强制实施 MFA。
Microsoft通过电子邮件以及Azure Service Health通知向所有Microsoft Entra全局管理员发送提前 60 天的通知,以通知他们强制执行的开始日期和所需作。 通过Azure门户、Microsoft Entra管理中心和Microsoft 365消息中心发送额外的通知。
我们理解某些客户可能需要额外时间来准备此 MFA 要求。 因此,Microsoft 允许身处复杂环境或有技术障碍的客户延长时间。 我们的通知还包括有关客户如何推迟特定更改的详细信息。 这些更改包括对其租户强制实施的开始日期、推迟的持续时间,以及应用更改的链接。
正式发布 - Microsoft Entra Connect Sync 中目录同步帐户(DSA)角色的受限权限
类型:已更改的功能
服务类别:预配
Product 功能: Microsoft Entra Connects
作为持续安全强化的一部分,Microsof 会从特权“目录同步帐户”角色中删除未使用的权限。 此角色由 Microsoft Entra Connect Sync 独占使用,用于将Active Directory对象与Microsoft Entra ID同步。 客户无需执行任何操作即可从此强化中受益,此处记录了修订的角色权限: 目录同步帐户。
更改计划 - 我的安全信息添加登录方法选取器用户体验更新
类型:更改计划
服务类别: MFA
产品功能: 最终用户体验
从 2024 年 10 月中旬开始,“我的安全信息”页面上的“添加登录方法”对话框将获得更新,以现代的外观焕新登场。 通过此更改,将在每个方法下添加新的描述符,以便用户详细了解如何使用登录方法(例如Microsoft Authenticator - 批准登录请求或使用一次性代码)。
明年初,“添加登录”方法对话框将获得改进,将在初次使用时推荐登录的方法,而不是将可用于注册的登录方法全部列出。 建议的登录方法默认为基于组织的身份验证方法策略提供给用户的最佳方法。 用户可以选择“显示更多选项”,并从策略允许的所有可用登录方法中进行选择。
此更改将自动进行,因此管理员无需执行任何操作。
更改公告 - 推迟对我的群组管理控制的更改
类型:更改计划
服务类别:组管理
产品功能:身份验证/访问委派
在 2023年10月,我们宣布从2024年6月开始,Microsoft Entra 管理中心中的现有设置“限制用户访问‘我的组’中的组功能”将被停用。 这些更改正在审查中,可能会按原计划进行。 以后会宣布新的弃用日期。
正式发布 - 在 Red Hat Enterprise Linux 上对 M365/Azure 资源进行基于设备的条件访问
类型:新功能
服务类别:条件访问
产品功能: SSO
自 2022 年 10 月起,使用 Microsoft Edge 浏览器的 Ubuntu Desktop 20.04 LTS 和 Ubuntu 22.04 LTS 用户可以将他们的设备注册到 Microsoft Entra ID,加入到 Microsoft Intune 的管理中,并通过基于设备的条件访问策略安全地访问公司资源。
此版本扩展了对 Red Hat Enterprise Linux 8.x 和 9.x (LTS) 的支持,使这些功能成为可能:
- Microsoft Entra ID 注册和登记 RedHat LTS (8/9) 桌面。
- 通过Microsoft Edge保护 Web 应用程序的条件访问策略。 - 提供原生和 Web 应用的单点登录(例如:Azure CLI、Microsoft Edge 浏览器、Teams 渐进式 Web 应用(PWA)等) 访问 M365/Azure 受保护资源。
- 标准 Intune 合规性策略。
- 支持具有自定义合规性策略的 Bash 脚本。
- 除了 Debian DEB 包之外,Package Manager 现在还支持 RHEL RPM 包。
若要了解详细信息,请参阅:Microsoft Entra已注册的设备。
2024 年 7 月
一般可用性 - 使用 Azure 应用服务和 Microsoft Entra External ID 轻松进行身份验证
类型:已更改的功能
服务类别:B2C - 用户标识管理
产品功能:B2B/B2C
将Microsoft Entra External ID用作Azure App Service内置身份验证的标识提供者时,改进了体验,简化了为面向外部的应用配置身份验证和授权的过程。 可以直接从应用服务身份验证设置完成初始配置,而无需切换到外部租户。 有关详细信息,请参阅:
2024 年 6 月
公共预览版 - MS Graph API对每用户多重身份验证的支持
类型:新功能
服务类别: MFA
产品功能:标识安全和保护
MS Graph API对每用户多重身份验证的支持
从 2024 年 6 月开始,我们将发布通过 MS Graph API管理按用户多重身份验证的用户状态(强制、已启用、禁用)的功能。 此更新将替换即将停用的旧版 MSOnline PowerShell 模块。 使用Microsoft Entra多重身份验证保护用户的建议方法是条件访问(适用于许可组织)和安全默认值(对于未经许可的组织)。 有关详细信息,请参阅:启用每用户Microsoft Entra多重身份验证来保护登录事件。
公共预览版 - 使用 Azure App Service 和 Microsoft Entra External ID 轻松进行身份验证
类型:已更改的功能
服务类别:B2C - 用户标识管理
产品功能:B2B/B2C
我们改进了将Microsoft Entra External ID用作Azure App Service内置身份验证的标识提供者时的体验,简化了为面向外部的应用配置身份验证和授权的过程。 可以直接从应用服务身份验证设置完成初始配置,而无需切换到外部租户。 有关详细信息,请参阅:
正式发布 - Microsoft Authenticator中的重构帐户详细信息屏幕
类型:更改计划
Service category: Microsoft Authenticator App
产品功能:用户身份验证
7 月,Microsoft Authenticator 应用推出了 UX 功能增强。用户帐户的帐户详细信息页经过重新组织,以帮助用户更好地理解屏幕上的信息,并与信息和按钮进行交互。 用户今天可以执行的关键操作在重构页面中可用,但它们组织在三个部分或类别中,以帮助更好地与用户沟通:
- 应用中配置的凭据
- 他们可以配置更多的登录方法
- 应用中的帐户管理选项
正式发布 - 租户级别的 SLA 成就报告
类型:新功能
服务类别: 报告
产品功能:监视和报告
除了提供全局 SLA 性能之外,Microsoft Entra ID还报告具有至少 5,000 名活跃用户的组织的租户级 SLA 性能。 此功能于 2024 年 5 月正式发布。 服务级别协议(SLA)为Microsoft Entra ID用户身份验证的可用性设置最低标准为 99.99%,Microsoft Entra管理中心每月报告一次。 有关详细信息,请参阅:什么是Microsoft Entra Health?
预览版 - QR 码登录,一种适用于一线员工的新身份验证方法
类型:新功能
服务类别:身份验证(登录)
产品功能:用户身份验证
我们引入了一种新的简单方法,让一线员工使用 QR 码和 PIN 在Microsoft Entra ID中进行身份验证。 此功能无需用户输入和重新输入较长的 UPN 和字母数字密码。
从 2024 年 8 月开始,租户中的所有用户现在都会在导航到https://login.partner.microsoftonline.cn“登录选项”>>时看到新的链接“使用 QR 码登录”。 此新链接 使用 QR 码登录,仅在移动设备(Android/iOS/iPadOS)上可见。 如果你未参与预览版,在我们仍处于审查期时,租户中的用户将无法通过此方法登录。 如果尝试登录,他们会收到错误消息。
正式发布之前,该功能带有“预览”标记。 组织需要启用才能测试此功能。 公开预览版提供广泛的测试,稍后将公布。
虽然该功能处于预览状态,但未提供技术支持。 在此处了解有关预览期间支持的详细信息:Microsoft Entra ID预览计划信息。
2024 年 5 月
全面可用 - 世纪互联运营的 Microsoft Azure 现在支持我的登录记录和 MFA/SSPR 合并注册功能。
类型:已更改的功能
服务类别: MFA
产品功能:标识安全和保护
从 2024 年 6 月底开始,利用世纪互联运营Microsoft Azure的所有组织现在都可以访问“我的登录”活动报告。 他们需要使用 MFA 和 SSPR 的组合安全信息注册最终用户体验。 由于启用此功能,用户现在在收到注册 SSPR 或 MFA 的提示时,会看到统一的 SSPR 和 MFA 注册体验。 有关详细信息,请参阅: Microsoft Entra 概述中的合并安全信息注册。
正式发布 - signIn API 中的 $select
类型:新功能
服务类别: MS Graph
产品功能:监视和报告
期待已久的 $select 属性现已在 signIn API 中实现。 利用 $select 减少为每个日志返回的属性数。 此更新应该可以极大地帮助那些处理限制问题的客户,使每个客户都能更快且更高效地运行查询。
公测版 - Bicep 模板对 Microsoft Graph 的支持
类型:新功能
服务类别: MS Graph
产品功能:开发人员体验
Microsoft Graph Bicep扩展为Microsoft Graph资源带来了声明性基础结构即代码(IaC)功能。 它允许使用Bicep模板文件以及Azure资源创作、部署和管理核心Microsoft Entra ID资源。
- 现有Azure客户现在可以使用熟悉的工具来部署Azure资源和他们依赖的Microsoft Entra资源,例如应用程序和服务主体、IaC 和 DevOps 实践。
- 它还为现有 Microsoft Entra 客户打开了大门,以便使用 Bicep 模板和 IaC 实践来部署和管理其租户的 Microsoft Entra 资源。
有关详细信息,请参阅:适用于 Microsoft Graph 资源的 Bicep 模板
公测版 - 适用于 macOS 的平台单点登录 Microsoft Entra ID
类型:新功能
服务类别:身份验证(登录)
产品功能:用户身份验证
今天我们宣布,适用于 macOS 的平台 SSO 已在 Microsoft Entra ID 的公开预览版中提供。 平台 SSO 是适用于 Apple 设备的 Microsoft Enterprise SSO 插件的增强功能,使 Mac 设备的使用情况和管理比以往更加无缝且更安全。 在公共预览版开始时,平台 SSO 与 Microsoft Intune 配合使用。 其他移动设备管理(MDM)提供商即将到来。 有关支持和可用性的详细信息,请联系 MDM 提供商。 有关详细信息,请参阅 macOS 平台单一登录概述(预览版)。
正式发布 - LastSuccessfulSignIn
类型:已更改的功能
服务类别: MS Graph
产品功能:监视和报告
由于广泛的需求和对属性稳定性信心的增加,此次更新将 LastSuccessfulSignIn 和 LastSuccessfulSigninDateTime 添加到 V1 中。 现在您可以在生产环境中放心依赖这些属性。 有关详细信息,请参阅:signInActivity 资源类型。
正式发布 - 更改新应用程序的默认接受令牌版本
类型:更改计划
服务类别:其他
产品功能:开发人员体验
从 2024 年 8 月开始,使用任何接口(包括Microsoft Entra管理中心、Azure门户、Powershell/CLI 或 Microsoft Graph 应用程序 API)创建的新Microsoft Entra应用程序将应用注册设置为 2 的 requestedAccessTokenVersion 属性的默认值。 此功能是从上一个默认值 null`(表示 1)进行的更改。 这意味着新的资源应用程序默认接收 v2 访问令牌,而不是 v1。 此更新提高了应用的安全性。 若要详细了解各令牌版本之间的差异,请参阅:Microsoft 标识平台中的访问令牌和访问令牌声明参考。
正式发布 - Windows 帐户扩展现已成为 Microsoft 单点登录
类型:已更改的功能
服务类别:身份验证(登录)
产品功能: SSO
Windows帐户扩展现在是 docs 和 Chrome 应用商店中的Microsoft单一登录扩展。 Windows帐户扩展已更新,表示新的 macOS 兼容性。 此功能现在称为 Chrome 的 Microsoft 单一登录 (SSO) 扩展,通过适用于 Apple 设备的 Enterprise SSO 插件提供单一登录和设备标识功能。 此更新只对扩展的名称进行更改,对扩展本身没有进行软件更改。
2024 年 4 月
正式发布 - Azure 移动应用(iOS 和 Android)上的 PIM 审批和激活现已推出
类型:新功能
Service category: 特权身份管理
Product 功能特性: 特权身份管理
PIM 现已在 iOS 和 Android 中的Azure移动应用上提供。 客户现在可以批准或拒绝传入的 PIM 激活请求。 客户还可以直接从设备上的应用激活Microsoft Entra ID和Azure资源角色分配。 有关详细信息,请参阅:使用 Azure 移动应用激活 PIM 角色。
正式发布 - 动态组配额增加到 15,000。
类型:已更改的功能
服务类别:组管理
产品功能: 目录
Microsoft Entra组织以前最多可以有 15,000 个动态成员资格组和动态管理单元组合在一起。
此配额已增加到 15,000。 例如,你现在可以拥有 15,000 个动态成员身份组和 10,000 个动态 AU(或任何其他总计为 15,000 的组合)。 无需执行任何操作即可利用此更改 - 此更新现已可用。 有关详细信息,请参阅:Microsoft Entra服务限制。
正式发布 - Microsoft Graph活动日志
类型:新功能
Service category: Microsoft Graph
产品功能:监视和报告
Microsoft Graph活动日志现已正式发布! Microsoft Graph活动日志可让你查看对租户中Microsoft Graph服务发出的 HTTP 请求。 随着安全威胁的快速增长和攻击数量的不断增加,此日志数据源允许你执行安全分析、威胁搜寻并监控租户中的应用程序活动。 有关详细信息,请参阅:Access Microsoft Graph活动日志。
公共预览版 - 使用权利管理分配Microsoft Entra角色
类型:新功能
服务类别:权利管理
产品功能: 权利管理
通过使用权利管理向员工和来宾分配Microsoft Entra角色,可以查看用户的权利,快速确定分配给该用户的角色。 将 Microsoft Entra 角色作为资源包含在访问包中时,还可以指定该角色分配是 可选择的 还是 活动的。
通过访问包分配Microsoft Entra角色有助于大规模有效地管理角色分配并改进角色。 有关更多信息,请参阅:分配 Microsoft Entra 角色 (预览版)。
正式发布 - 自助式密码重置管理员策略已扩展,以包含更多角色
类型:已更改的功能
服务类别:自助服务密码重置
产品功能:标识安全和保护
管理员的自助式密码重置 (SSPR) 策略扩展为包括三个额外的内置管理员角色。 这些额外的角色包括:
- Teams 管理员
- Teams 通信管理员
- Teams 设备管理员
有关管理员自助式密码重置的详细信息,包括作用域内管理员角色的完整列表,请参阅管理员重置策略差异。
2024 年 3 月
公共预览版 - 将外部用户转换为内部用户
类型:新功能
服务类别: 用户管理
产品功能: 用户管理
通过外部用户转换,客户无需删除并新建用户对象即可将外部用户转换为内部成员。 维护相同的基础对象可确保用户帐户和对资源的访问不会中断,并且其活动历史记录在与主机组织的关系发生更改时保持不变。
外部到内部用户转换功能还包括转换本地同步用户。 有关详细信息,请参阅:将外部用户转换为内部用户(预览版)。
公共预览版 - 锁箱请求的备用电子邮件通知
类型:新功能
服务类别:其他
产品功能:访问控制
用于Azure的客户密码箱正在启动一项新功能,使客户能够使用备用电子邮件 ID 来获取密码箱通知。 此功能使 Lockbox 客户能够在他们的 Azure 帐户未启用电子邮件的情况下,或当其服务主体被定义为租户管理员或订阅所有者时接收通知。
更改计划 - 条件访问的位置条件将上移
类型:更改计划
服务类别:条件访问
产品功能:标识安全和保护
从 2024 年 4 月中旬开始,条件访问的“位置”条件将上移。 位置将被分配为“网络”,并引入新的全局安全访问分配——“所有合规的网络位置”。
此更改将自动进行,因此管理员无需执行任何操作。 下面提供了更多详细信息:
- 熟悉的“位置”条件保持不变,在“位置”条件中更新策略时会反映在“网络”分配中,反之亦然。
- 没有任何功能上的更改,现有策略将继续工作而不会发生更改。
公共预览 - Azure 密码箱订阅范围请求审批者角色
类型:新功能
服务类别:其他
产品功能: 标识治理
Azure 客户锁箱正在推出一个新的内置 Azure 基于角色的访问控制角色,使客户能够使用较低特权的角色来处理负责批准/拒绝客户锁箱请求的用户。 此功能针对客户管理员工作流程,其中锁箱审批者根据来自微软支持工程师的请求访问客户订阅中的 Azure 资源。
在第一阶段,我们将推出一个新的内置Azure基于角色的访问控制 (RBAC) 角色。 此角色有助于缩小对具有 Azure 客户锁箱审批权限的个人在订阅及其资源上的访问权限范围。 在随后的版本中,将提供针对租户范围请求的类似功能角色。
正式发布 - TLS 1.3 对Microsoft Entra的支持
类型:新功能
服务类别:其他
产品功能:平台
我们很高兴地宣布,Microsoft Entra 正在为其端点推出对传输层安全(TLS)1.3 的支持,以遵循安全最佳实践(NIST - SP 800-52 Rev. 2)。 通过此更改,Microsoft Entra ID相关终结点支持 TLS 1.2 和 TLS 1.3 协议。 有关详细信息,请参阅:TLS 1.3 对 Microsoft Entra 服务的支持。
正式发布 - 在“我的安全信息”中更改密码
类型:新功能
服务类别: 我的安全信息
产品功能: 最终用户体验
现已正式发布,“我的登录”(我的登录 (microsoft.com)) 支持普通用户直接更改其密码。 当用户使用密码和 MFA 凭据进行身份验证,他们能够更改其密码,而无需输入其现有密码。 从 4 月 1 日开始,通过分阶段推出,来自 更改密码 (azure.cn) 门户的流量将重定向到新的“我的登录”更改体验。 更改密码 (azure.cn) 在 2024 年 6 月之后将不再可用,但将继续重定向到新体验。
有关详细信息,请参阅:
2024 年 2 月
公共预览版 - 扩展条件访问重新验证策略以涵盖附加场景
类型:已更改的功能
服务类别:条件访问
产品功能:标识安全和保护
重新身份验证策略允许要求用户再次以交互方式提供其凭据,通常在访问关键应用程序和采取敏感操作之前。 结合登录频率的条件访问会话控制,你可以要求对有风险的用户和登录重新进行身份验证,或者进行 Intune 注册。 使用此公共预览版,现在可以要求对受条件访问保护的任何资源重新进行身份验证。 有关详细信息,请参阅:每次需要重新身份验证。
正式发布 - 条件访问策略列表的精细筛选
类型:新功能
服务类别:条件访问
产品功能:访问控制
条件访问策略现在可以根据执行组件、目标资源、条件、授予控制和会话控制进行筛选。 精细筛选体验可帮助管理员快速发现包含特定配置的策略。 有关详细信息,请参阅:什么是条件访问?。
终止支持 - 适用于 Forefront Identity Manager 的Azure Active Directory连接器(FIM WAAD 连接器)
类型:已弃用
Service category: Microsoft Identity Manager
产品能力:进入 Microsoft Entra ID
Azure Active Directory 连接器(用于 Forefront Identity Manager 的 FIM WAAD 连接器)最初于 2014 年推出,被弃用于 2021 年。 对此连接器的标准支持已于 2024 年 4 月结束。 客户必须从其 MIM 同步部署中移除此连接器,并改用备用预配机制。 有关详细信息,请参阅:从 FIM 连接器迁移 Microsoft Entra ID 的预配方案。
2024 年 1 月
全面可用 - 新的Microsoft Entra主页
类型:已更改的功能
服务类别:N/A
产品功能: 目录
我们重新设计了Microsoft Entra管理中心的主页,以帮助你执行以下任务:
- 了解产品套件
- 寻找最大化功能价值的机会
- 随时了解最新公告、新功能等!
请在此处了解新体验:https://entra.microsoftonline.cn/
正式发布 - 应用的条件访问筛选器
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
条件访问中的应用筛选器允许管理员使用自定义安全性来标记应用程序,并在条件访问策略中将其作为目标,而非使用直接分配,从而简化了策略管理。 借助此功能,客户可以纵向扩展其策略,并保护任意数量的应用。 有关详细信息,请参阅:条件访问:应用程序筛选器
2023 年 12 月
公共预览版 - 适用于 B2B 协作的可配置兑换顺序
类型:新功能
服务类别:B2B
产品功能:B2B/B2C
通过可配置的兑换,你可以自定义来宾用户在接受邀请时可以登录的身份提供程序顺序。 通过该选项,可替代 Microsoft 设置的默认配置顺序,并使用自己的配置顺序。 此选项可用于帮助处理一些场景,例如将 SAML/WS 协议的联合身份验证优先于 Microsoft Entra ID 已验证域。 此选项在兑换期间禁用某些标识提供者,甚至仅使用电子邮件一次性密码之类的内容作为兑换选项。 有关详细信息,请参阅:可配置兑换(预览版)。
正式发布 - 编辑动态组规则生成器
类型:已更改的功能
服务类别:组管理
产品功能: 目录
动态组规则生成器已更新,不再包含“包含”和“不包含”运算符,因为它们的性能较低。 如果需要,仍可通过直接在文本框中键入这些运算符来创建动态成员身份组规则。 有关详细信息,请参阅Azure门户中的 Rule 生成器。
2023 年 11 月
正式发布 - 来宾治理:非活动来宾见解
类型:新功能
服务类别: 报告
产品功能: 标识治理
对来宾帐户进行大规模监视,获取对组织中非活动来宾用户的智能见解。 根据组织的需求自定义非活动阈值,缩小要监视的来宾用户的范围,并识别可能处于非活动状态的来宾用户。 有关详细信息,请参阅:使用访问评审监控并清理过时的来宾帐户。
公共预览版 - signInActivity API 中的 lastSuccessfulSignIn 属性
类型:新功能
服务类别: MS Graph
产品功能: 最终用户体验
为 signInActivity API 添加了一个额外的属性,用于显示特定用户最后一次成功登录的时间,而不管登录是交互式的还是非交互式的。 系统不会为此属性回填数据,因此应该只会返回从 2023 年 12 月 8 日开始的成功登录数据。
正式发布 - 自动推出条件访问策略
类型:新功能
服务类别:条件访问
产品功能:访问控制
从 2023 年 11 月开始,Microsoft 会自动使用 Microsoft 托管的条件访问策略来保护客户。 Microsoft 在外部租户中创建和启用这些策略。 以下策略将推广到所有符合条件的租户,这些租户会在策略创建之前收到通知:
- 管理门户的多重身份验证:此策略涵盖特权管理员角色,且会在管理员登录到 Microsoft 管理门户时要求进行多重身份验证。
- 按用户多重身份验证用户的多重身份验证:此策略涵盖涉及按用户多重身份验证的用户,并会要求对所有资源进行多重身份验证。
- 高风险登录的多重身份验证:此策略涵盖所有用户,并会要求对高风险登录进行多重身份验证和重新身份验证。
有关详细信息,请参阅:
正式发布 - Microsoft Entra ID中的自定义安全属性
类型:新功能
服务类别:目录管理
产品功能: 目录
在 Microsoft Entra ID 中,自定义安全属性是可以定义并分配给 Microsoft Entra 对象的业务专用属性(键值对)。 这些属性可用于存储信息、对对象进行分类,或对特定Azure资源强制实施精细访问控制。 自定义安全属性可用于基于Azure基于属性的访问控制(Azure ABAC)。 有关详细信息,请参阅:Microsoft Entra ID 中的自定义安全属性是什么?。
在正式版中,我们对自定义安全属性审核日志进行了更改,这些更改可能会影响你的日常操作。 如果你在预览版期间使用了自定义安全属性审核日志,则必须在 2024 年 2 月之前执行一些操作,以确保审核日志操作不会中断。 有关详细信息,请参阅:自定义安全属性审核日志。
2023 年 10 月
公共预览版 - 管理和更改“我的安全信息”中的密码
类型:新功能
服务类别: 我的配置文件/帐户
产品功能: 最终用户体验
我的登录(我的登录 (microsoft.com))现在支持最终用户管理和更改其密码。 用户能够在“我的安全信息”中管理密码并内联更改其密码。 如果用户使用密码和 MFA 凭据进行身份验证,他们能够更改其密码,而无需输入其现有密码。
有关详细信息,请参阅: Microsoft Entra 概述中的合并安全信息注册。
正式发布 - 改进了设备列表管理体验
类型:已更改的功能
服务类别: 设备访问管理
产品功能: 最终用户体验
自发布公共预览版以来,“所有设备”列表已进行了多项更改,包括:
- 优先考虑不同组件之间的一致性和可访问性
- 实现了列表现代化并解决了主要客户反馈问题
- 添加了无限滚动、列重新排序以及选择所有设备的功能
- 添加了针对 OS 版本和 Autopilot 设备的筛选器
- 在 Microsoft Entra 与 Intune 之间创建了更多连接
- 在“合规性”和“MDM”列中添加了指向 Intune 的链接
- 添加了“安全设置管理”列
有关详细信息,请参阅查看和筛选设备。
正式发布 - Windows MAM
类型:新功能
服务类别:条件访问
产品功能:访问控制
Windows MAM 是 Microsoft 管理功能在非托管 Windows 设备上的第一步。 此功能是在我们需要确保Windows平台符合当今在移动平台上为最终用户提供的简单性和隐私承诺的关键时刻。 最终用户无需对整个设备进行 MDM 管理即可访问公司资源。
有关详细信息,请参阅:在 Windows 设备上发布应用保护策略。
正式发布 - Microsoft Azure Active Directory安全电子邮件更新和资源重命名为Microsoft Entra ID
类型:更改计划
服务类别:其他
产品功能: 最终用户体验
Microsoft Entra ID是Azure Active Directory(Azure AD)的新名称。 重命名和新产品图标现正在 Microsoft 的体验中进行部署。 大多数更新都已在今年 11 月中旬完成。 如前所述,这是一个新名称更改,对部署或日常工作没有影响。 功能、许可、服务条款或支持没有任何变化。
从 10 月 15 日至 11 月 15 日,Azure以前从 azure-noreply@microsoft.com 发送的 AD 电子邮件将从 MSSecurity-noreply@microsoft.com 开始发送。 可能需要更新Outlook规则以匹配此更改。
此外,我们会更新电子邮件内容,以删除Azure AD 的所有相关引用,并包含一个可宣布此更改的信息性横幅。
可借助下面的资源在必要时重命名自己的产品体验或内容:
正式发布 - 将Microsoft Entra ID租户创建限制为仅限付费订阅
类型:已更改的功能
服务类别: Azure 资源的托管身份
产品功能: 最终用户体验
从 Microsoft Entra 管理中心创建新租户的功能允许组织中的用户从Microsoft Entra ID租户创建测试和演示租户,Learn 详细了解如何创建租户。 如果错误使用此功能,则可能会导致创建不受你的组织管理或查看的租户。 建议限制此功能,以便只有受信任的管理员才能使用此功能,有关详情,请参阅详细了解如何限制成员用户的默认权限。 我们还建议您使用Microsoft Entra审核日志记录来监视“目录管理:创建公司”事件,该事件指示组织中用户创建的新租户。
为了进一步保护组织,Microsoft 现已将此功能限制为仅付费客户可用。 试用订阅上的客户无法从Microsoft Entra管理中心创建更多租户。 在这种情况下,需要新试用租户的客户可以注册 Free Azure 帐户。
一般可用性 - 用户在使用基于位置的访问控制时无法修改 GPS 位置
类型:更改计划
服务类别:条件访问
产品功能:用户身份验证
在不断发展的安全环境中,Microsoft Authenticator 正在更新其基于位置的访问控制(LBAC)条件访问控制策略的安全基线。 Microsoft 这样做是为了禁止用户使用与移动设备实际 GPS 位置不同的位置进行身份验证。 如今,用户可以在 iOS 和 Android 设备上修改设备报告的位置。 当我们检测到用户未使用安装了 Authenticator 的移动设备的实际位置时,Authenticator 应用将开始拒绝 LBAC 身份验证。
在 Authenticator 应用的 2023 年 11 月版本中,修改设备位置的用户在执行 LBAC 身份验证时会在该应用中看到拒绝消息。 Microsoft 确保用户不会使用旧版本的应用来继续通过修改的位置进行身份验证。 从 2024 年 1 月开始,任何使用 Android Authenticator 6.2309.6329 或更早版本和 iOS Authenticator 6.7.16 或更早版本的用户都将被禁止使用 LBAC。 你可以使用 MSGraph API 来确定哪些用户在使用旧版 Authenticator 应用。
公共预览版 -“我的访问权限”门户中的“概述”页
类型:新功能
服务类别:权利管理
产品功能: 标识治理
如今,当用户导航到 myaccess.microsoftonline.cn 时,他们将登录到其组织中的可用访问包列表。 新的“总览”页为用户提供了一个更符合需求的着陆页面。 “概述”页面为用户指出了需要完成的任务,并帮助用户熟悉如何完成“我的访问权限”中的任务。
管理员可以通过登录 Microsoft Entra 管理中心,导航到权利管理> 设置> 启用预览功能,在表格中找到“我的访问概述”页面来启用或禁用概述页面预览。
有关详细信息,请参阅“我的访问权限概述”页。
公共预览版 - Microsoft Graph活动日志
类型:新功能
Service category: Microsoft Graph
产品功能:监视和报告
MicrosoftGraphActivityLogs 为管理员提供了通过Microsoft Graph API访问租户资源的所有 HTTP 请求的完全可见性。 可使用这些日志查找遭到入侵的帐户的活动、识别异常行为或调查应用程序活动。 有关详细信息,请参阅:Access Microsoft Graph活动日志(预览版)。
2023 年 9 月
正式可用 - 现已支持恢复已删除的应用程序和服务主体
类型:新功能
服务类别: 企业应用
产品功能: 标识生命周期管理
在此版本中,现在可以恢复应用程序及其原始服务主体,无需进行大量重新配置和代码更改(了解详细信息)。 它显著改善了应用程序恢复情况,并解决了长期存在的客户需求。 此更改在以下方面对你有利:
- 更快的恢复速度:现在只需花费以前的一小部分时间即可恢复系统,从而减少停机时间并最大程度地减少中断。
- 节省成本:通过更快的恢复,可以节省与长时间中断和劳动密集型恢复工作相关的运营成本。
- 保留的数据:以前丢失的数据(如 SMAL 配置)现已保留,确保更顺利地转换回正常操作。
- 提升用户体验:更快的恢复时间可提升用户体验和客户满意度,因为应用程序能够快速备份和运行。
正式发布 - 适用于Windows的网络登录
类型:已更改的功能
服务类别:身份验证(登录)
产品功能:用户身份验证
我们很高兴地宣布,作为9月Windows 11时刻的一部分,我们将发布一个新的 Web Sign-In 体验,这将扩大受支持的方案的数量,并极大地改善我们的用户的安全、可靠性、性能和整体端到端体验。
Web Sign-In(WSI)是已加入 AADJ 的设备的 Windows 锁定/登录屏幕上的凭据提供程序,提供用于身份验证的 Web 用户体验,并将身份验证令牌返回给操作系统,以允许用户解锁/登录到设备。
Web 登录最初旨在用于各种身份验证凭据场景;但是,它之前仅针对有限的场景发布,例如:简化版 EDU Web 登录和通过临时访问密码 (TAP) 恢复流程。
Web 登录的底层提供程序已从头开始重新编写,并考虑到了安全性和性能提升。 此版本在 9 月暂时将 Web 登录基础结构从云主机体验 (CHX) WebApp 移至新编写的登录 Web 主机 (LWH)。 此版本提供更好的安全性和可靠性,以支持之前的 EDU 和 TAP 体验,以及可实现使用各种身份验证方法解锁/登录桌面的新工作流。
正式发布 - 条件访问中的 Microsoft 管理员门户支持
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
当条件访问策略针对 Microsoft 管理门户云应用时,该策略适用于颁发给以下 Microsoft 管理门户的应用程序 ID 的令牌。
- Azure 门户
- Exchange 管理中心
- Microsoft 365管理中心
- Microsoft 365 Defender门户
- Microsoft Entra 管理中心
- Microsoft Intune管理中心
- Microsoft Purview门户
有关详细信息,请参阅:Microsoft 管理员门户。
2023 年 8 月
正式发布 - 租户限制 V2
类型:新功能
服务类别:身份验证(登录)
产品功能:标识安全和保护
租户限制 V2 (TRv2) 现已正式发布,可通过代理用于身份验证层。
TRv2 使组织能够实现安全、高效的跨公司协作,同时控制数据泄露风险。 借助 TRv2,可以使用外部颁发的身份来控制用户可以从你的设备或网络访问哪些外部租户,并针对每个组织、用户、组和应用程序提供精细的访问控制。
TRv2 使用跨租户访问策略,并提供身份验证和数据平面保护。 它在用户身份验证期间强制执行策略,并使用 Exchange Online、SharePoint Online、Teams 和 MSGraph 对数据平面访问实施策略。 虽然 Windows GPO 和全局安全访问的数据平面支持仍在公共预览中,但代理的身份验证平面支持现已正式上线。
有关租户限制 V2 的详细信息,请访问设置租户限制 v2。
公共预览 - 跨租户访问设置支持自定义的基于角色的访问控制和受保护的操作
类型:新功能
服务类别:B2B
产品功能:B2B/B2C
可以使用组织定义的自定义角色管理跨租户访问设置。 通过此功能,可以定义自己的精细范围角色,以管理跨租户访问设置,而不是使用其中一个内置角色进行管理。 详细了解如何创建自定义角色。
现在,还可以使用条件访问来保护跨租户访问设置内的特权操作。 例如,可以在允许更改 B2B 协作的默认设置之前要求 MFA。 详细了解受保护的操作。
正式发布 - 权利管理自动分配策略中的附加设置
类型:已更改的功能
服务类别:权利管理
产品功能: 权利管理
在Microsoft Entra ID Governance权利管理自动分配策略中,有三个新设置。 此功能使客户可以选择不让策略创建分配、不删除分配以及延迟分配删除。
公共预览版 - 来宾失去访问权限的设置
类型:已更改的功能
服务类别:权利管理
产品功能: 权利管理
管理员可以配置为,当通过权利管理引入的来宾丢失其上次访问包分配时,它们将在指定天数后被删除。 有关详细信息,请参阅在权利管理中管理外部用户的访问权限。