Microsoft Entra ID 新增功能存档
Microsoft Entra ID 新增功能发行说明这篇主要文章包含过去六个月的更新,而本文包含长达 18 个月的信息。
Microsoft Entra ID 的新增功能有什么? 发行说明提供了以下信息:
- 最新版本
- 已知问题
- Bug 修复
- 已弃用的功能
- 更改计划
2023 年 10 月
公共预览版 - 管理和更改“我的安全信息”中的密码
类型:新功能
服务类别: 我的配置文件/帐户
产品功能: 最终用户体验
我的登录(我的登录 (microsoft.com))现在支持最终用户管理和更改其密码。 用户能够在“我的安全信息”中管理密码并内联更改其密码。 如果用户使用密码和 MFA 凭据进行身份验证,他们能够更改其密码,而无需输入其现有密码。
有关详细信息,请参阅 Microsoft Entra 的合并安全信息注册概述。
公共预览版 - 使用 Microsoft Entra Governance 治理 AD 本地应用程序(基于 Kerberos)
类型:新功能
服务类别:预配
产品功能:Microsoft Entra 云同步
AD 的安全组预配(也称为组写回)现已通过 Microsoft Entra 云同步正式发布。借助这项新功能,你可使用 Microsoft Entra Governance 轻松治理基于 AD 的本地应用程序(基于 Kerberos 的应用)。
有关详细信息,请参阅使用 Microsoft Entra ID 治理来治理基于本地 Active Directory 的应用 (Kerberos)
公共预览版 - Microsoft Entra 权限管理:多个授权系统的权限分析报告 (PDF)
类型:已更改的功能
服务类别:
产品功能:权限管理
权限分析报表 (PAR) 列出了与权限管理中跨标识和资源的权限风险相关的调查结果。 PAR 是风险评估过程的组成部分,客户可在这个过程中发现云基础结构中风险最高的领域。 可直接在权限管理 UI 中查看此报告,以 Excel (XSLX) 格式下载报告,以及将报告导出为 PDF。 此报告适用于所有受支持的云环境:AWS Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP)。
PAR PDF 进行了重新设计,以提高可用性,与产品 UX 重新设计工作保持一致,以及处理各种客户功能请求。 最多可以下载 10 个授权系统的 PAR PDF。
正式发布版 - 增强了设备列表管理体验
类型:已更改的功能
服务类别: 访问管理
产品功能: 最终用户体验
自宣布推出公共预览版以来,“所有设备”列表已进行了多项更改,包括:
- 优先考虑不同组件之间的一致性和可访问性
- 实现了列表现代化并解决了主要客户反馈问题
- 添加了无限滚动、列重新排序以及选择所有设备的功能
- 添加了针对 OS 版本和 Autopilot 设备的筛选器
- 在 Microsoft Entra 和 Intune 之间创建了更多连接
- 在“合规性”和“MDM”列中添加了指向 Intune 的链接
- 添加了“安全设置管理”列
有关详细信息,请参阅查看和筛选设备。
正式发布 - Windows MAM
类型:新功能
服务类别:条件访问
产品功能:访问控制
Windows MAM 是 Microsoft 实现非托管 Windows 设备管理功能的第一步。 该功能推出之时,正值我们需要确保 Windows 平台与我们今天在移动平台上向最终用户提供的简单性和隐私性承诺相一致的关键时刻。 最终用户无需对整个设备进行 MDM 管理即可访问公司资源。
有关详细信息,请参阅需要 Windows 设备的应用保护策略。
正式发布 - Microsoft 安全电子邮件更新和 Azure AD 资源重命名为 Microsoft Entra ID
类型:更改计划
服务类别:其他
产品功能: 最终用户体验
Microsoft Entra ID 是 Azure Active Directory (Azure AD) 的新名称。 重命名和新产品图标现正在 Microsoft 的体验中进行部署。 大多数更新都已在今年 11 月中旬完成。 如前所述,这只是一个新名称,不会影响部署或日常工作。 功能、许可、服务条款或支持没有任何变化。
从 10 月 15 日到 11 月 15 日,以前从 azure-noreply@microsoft.com 发送的 Azure AD 电子邮件将开始从 MSSecurity-noreply@microsoft.com 发送。 可能需要更新 Outlook 规则才能应用此更新。
此外,我们将更新电子邮件内容,以删除所有相关的 Azure AD 引用,包含宣布此更改的信息性横幅。
可借助下面的资源在必要时重命名自己的产品体验或内容:
正式发布 - 最终用户不再能够在“我的应用”中添加密码 SSO 应用
类型:已弃用
服务类别: 我的应用
产品功能: 最终用户体验
自 2023 年 11 月 15 日起,最终用户不再能够将密码 SSO 应用添加到“我的应用程序”中的库中。 但是,管理员仍可按照这些说明添加密码 SSO 应用。 最终用户之前添加的密码 SSO 应用在“我的应用”中仍然可用。
有关详细信息,请参阅发现应用程序。
正式发布 - 创建 Microsoft Entra ID 租户的操作仅限于付费订阅
类型:已更改的功能
服务类别:Azure 资源的托管标识
产品功能: 最终用户体验
组织中的用户可以利用从 Microsoft Entra 管理中心创建新租户的功能从 Microsoft Entra ID 租户创建测试和演示租户,有关详情,请参阅详细了解如何创建租户。 如果错误使用此功能,则可能会导致创建不受你的组织管理或查看的租户。 建议限制此功能,以便只有受信任的管理员才能使用此功能,有关详情,请参阅详细了解如何限制成员用户的默认权限。 我们还建议使用 Microsoft Entra 审核日志监视目录管理:创建公司事件,指示组织中的用户已创建新租户。
为了进一步保护组织,Microsoft 现已将此功能限制为仅付费客户可用。 试用订阅的客户将无法从 Microsoft Entra 管理中心创建其他租户。 在这种情况下,需要新试用租户的客户可以注册免费 Azure 帐户。
正式发布 - 用户在使用基于位置的访问控制时无法修改 GPS 位置
类型:更改计划
服务类别:条件访问
产品功能:用户身份验证
在不断演进的安全环境下,Microsoft Authenticator 正在更新其基于位置的访问控制 (LBAC) 条件访问策略的安全基线,以禁止在用户可能使用与移动设备的实际 GPS 位置不同的位置时进行身份验证。 如今,用户可以在 iOS 和 Android 设备上修改设备报告的位置。 当我们检测到用户未使用安装了 Authenticator 的移动设备的实际位置时,Authenticator 应用将开始拒绝 LBAC 身份验证。
在 Authenticator 应用的 2023 年 11 月版本中,修改设备位置的用户在执行 LBAC 身份验证时会在该应用中看到拒绝消息。 为了确保用户不会使用较旧的应用版本继续通过修改后的位置进行身份验证,从 2024 年 1 月开始,使用 Android Authenticator 6.2309.6329 版本或更低版本以及 iOS Authenticator 版本 6.7.16 或更低版本的任何用户都将被阻止使用 LBAC。 你可以使用 MSGraph API 来确定哪些用户在使用旧版 Authenticator 应用。
公共预览版 -“我的访问权限”门户中的“概述”页
类型:新功能
服务类别:权利管理
产品功能: 标识治理
如今,当用户导航到 myaccess.microsoft.com 时,他们将登录到组织中的可用访问包列表。 新的“概述”页为用户提供了一个更相关的登录位置。 “概述”页面为用户指出了需要完成的任务,并帮助用户熟悉如何完成“我的访问权限”中的任务。
管理员可以通过登录到 Microsoft Entra 管理中心并导航到“权利管理”>“设置”>“选择加入预览功能”并在表中查找“我的访问权限概述页面”概述页面来启用/禁用概述页面预览。
有关详细信息,请参阅我的访问权限概述页面(预览)。
公共预览版 - Microsoft Entra 应用程序库中的新预配连接器 - 2023 年 10 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:什么是 Microsoft Entra ID 中的应用预配?
公共预览版 - Microsoft Graph 活动日志
类型:新功能
服务类别:Microsoft Graph
产品功能:监视和报告
通过 MicrosoftGraphActivityLogs,管理员能够完全了解通过 Microsoft Graph API 访问租户资源的所有 HTTP 请求。 可使用这些日志查找遭到入侵的帐户的活动、识别异常行为或调查应用程序活动。 有关详细信息,请参阅访问 Microsoft Graph 活动日志(预览)。
公共预览版 - Microsoft Entra 验证 ID 快速设置
类型:新功能
服务类别:其他
产品功能: 标识治理
Microsoft Entra 验证 ID 快速设置现以预览版提供,免除了管理员需要完成的多个配置步骤,只需选择“开始”按钮即可。 快速设置用于签名密钥、注册分散式 ID 以及确认域所有权。 它还会为你创建验证工作区凭据。 有关详细信息,请参阅Microsoft Entra 验证 ID 快速设置。
2023 年 9 月
公共预览版 - FIDO2 身份验证方法和 Windows Hello 企业版的更改
类型:已更改的功能
服务类别:身份验证(登录)
产品功能:用户身份验证
从 2024 年 1 月开始,除了当前支持的 FIDO2 安全密钥外,Microsoft Entra ID 还将支持存储在计算机和移动设备上的设备绑定密钥(作为公共预览版中的身份验证方法)。 这使用户能够使用他们已有的设备执行防钓鱼身份验证。
我们将扩展现有的 FIDO2 身份验证方法策略和最终用户体验,以支持此预览版。 如果你的组织要选择采用此预览版,则需要强制实施密钥限制,以在 FIDO2 策略中允许指定的密钥提供程序。 在此处详细了解 FIDO2 密钥限制。
此外,Windows Hello 和 FIDO2 安全密钥的现有最终用户登录选项现在由“人脸、指纹、PIN 或安全密钥”表示。 更新后的登录体验中将提及术语“密钥”,包括安全密钥、移动设备和平台验证器(如 Windows Hello)提供的密钥凭据。
正式发布 - 恢复已删除的应用程序和服务主体功能现已发布
类型:新功能
服务类别: 企业应用
产品功能: 标识生命周期管理
在此版本中,现在可以恢复应用程序及其原始服务主体,无需进行大量重新配置和代码更改(了解详细信息)。 它显著改善了应用程序恢复情况,并解决了长期存在的客户需求。 此更改在以下方面对你有利:
- 更快的恢复速度:现在只需花费以前的一小部分时间即可恢复系统,从而减少停机时间并最大程度地减少中断。
- 节省成本:通过更快的恢复,可以节省与长时间中断和劳动密集型恢复工作相关的运营成本。
- 保留的数据:以前丢失的数据(如 SMAL 配置)现已保留,确保更顺利地转换回正常操作。
- 改进的用户体验:更快的恢复时间可改善用户体验和客户满意度,因为应用程序会快速备份和运行。
公共预览版 - Microsoft Entra 应用程序库中的新预配连接器 - 2023 年 9 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:什么是 Microsoft Entra ID 中的应用预配?
正式发布 - 适用于 Windows 的 Web Sign-In
类型:已更改的功能
服务类别:身份验证(登录)
产品功能:用户身份验证
我们很高兴地宣布,在 Windows 11 的 9 月活动中,我们将发布新的 Web Sign-In 体验,这将扩大受支持的方案的数量,并为用户极大地改善安全性、可靠性、性能和整体端到端体验。
Web Sign-In (WSI) 是已加入 AADJ 的设备的 Windows 锁定/登录屏幕上的凭据提供程序,它提供用于身份验证的 Web 体验,并将身份验证令牌返回给操作系统,以允许用户解锁/登录计算机。
Web Sign-In 最初旨在用于各种身份验证凭据场景;但是,它以前发布的版本只针对以下受限场景,例如:通过临时访问密码 (TAP)简化的 EDU Web 登录和恢复流。
Web 登录的底层提供程序是从头开始重新编写的,考虑到了安全性和性能改进。 此版本在 9 月活动中将 Web 登录基础结构从云主机体验 (CHX) WebApp 迁移到新编写的登录 Web 主机 (LWH)。 此版本提供更好的安全性和可靠性,以支持以前的 EDU 和 TAP 体验,以及可实现使用各种身份验证方法解锁/登录桌面的新工作流。
正式发布 - 条件访问中的 Microsoft 管理员门户支持
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
对 Microsoft 管理门户云应用使用条件访问策略时,将对颁发给以下 Microsoft 管理门户的应用程序 ID 的令牌强制实施该策略:
- Azure 门户
- Exchange 管理中心
- Microsoft 365 管理中心
- Microsoft 365 Defender 门户
- Microsoft Entra 管理中心
- Microsoft Intune 管理中心
- Microsoft Purview 合规性门户
有关详细信息,请参阅:Microsoft 管理员门户。
2023 年 8 月
正式发布 - 租户限制 V2
类型:新功能
服务类别:身份验证(登录)
产品功能:标识安全和保护
租户限制 V2 (TRv2) 现已正式发布,可通过代理用于身份验证平面。
TRv2 使组织能够实现安全、高效的跨公司协作,同时控制数据泄露风险。 借助 TRv2,可以使用外部颁发的身份来控制用户可以从你的设备或网络访问哪些外部租户,并针对每个组织、用户、组和应用程序提供精细的访问控制。
TRv2 使用跨租户访问策略,并提供身份验证和数据平面保护。 它在用户身份验证期间以及使用 Exchange Online、SharePoint Online、Teams 和 MSGraph 进行数据平面访问时强制执行策略。 虽然对 Windows GPO 和全局安全访问的数据平面支持仍处于公共预览阶段,但对代理的身份验证平面支持现已普遍可用。
有关 https://aka.ms/tenant-restrictions-enforcement TRv2 的租户限制 V2 和全局安全访问客户端标记的详细信息,请参阅通用租户限制。
公共预览版 - 跨租户访问设置支持自定义的基于角色的访问控制角色和受保护的操作
类型:新功能
服务类别:B2B
产品功能:B2B/B2C
可以使用组织定义的自定义角色管理跨租户访问设置。 这使你能够定义自己的精细范围角色来管理跨租户访问设置,而不是使用其中一个内置角色进行管理。 详细了解如何创建自己的自定义角色。
现在,还可以使用条件访问来保护跨租户访问设置内的特权操作。 例如,可以在允许更改 B2B 协作的默认设置之前要求 MFA。 详细了解受保护的操作。
正式发布 - 权利管理自动分配策略中的其他设置
类型:已更改的功能
服务类别:权利管理
产品功能: 权利管理
Microsoft Entra ID 治理权利管理自动分配策略中有三个新设置。 这使客户可以选择不让策略创建分配、不删除分配以及延迟分配删除。
公共预览版 - 来宾失去访问权限的设置
类型:已更改的功能
服务类别:权利管理
产品功能: 权利管理
管理员可以配置为,当通过权利管理引入的来宾丢失其上次访问包分配时,它们将在指定天数后被删除。 有关详细信息,请参阅在权利管理中管理外部用户的访问权限。
公共预览版 - 实时严格位置强制实施
类型:新功能
服务类别:连续访问评估
产品功能:访问控制
使用连续访问评估实时严格执行条件访问策略。 启用 Microsoft Graph、Exchange Online 和 SharePoint Online 等服务来阻止来自不允许位置的访问请求,作为针对令牌重放和其他未经授权的访问的分层防御的一部分。 有关详细信息,请参阅博客:公共预览版:通过连续访问评估严格执行位置策略和文档:通过连续访问评估严格执行位置策略(预览版)。
公共预览版 - Microsoft Entra 应用程序库中的新预配连接器 - 2023 年 8 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
- Airbase
- Airtable
- Cleanmail Swiss
- Informacast
- Kintone
- O'reilly 学习平台
- Tailscale
- Tanium SSO
- Vbrick Rev Cloud
- Xledger
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:什么是 Microsoft Entra ID 中的应用预配?
正式发布 - 公有云和 Gov 云中提供的工作负载标识的连续访问评估
类型:新功能
服务类别:连续访问评估
产品功能:标识安全和保护
现在,工作负载身份通常可以实时执行风险事件、吊销事件和条件访问位置策略。 业务线 (LOB) 应用程序的服务主体现在在访问 Microsoft Graph 时受到保护。 有关详细信息,请参阅:对工作负载标识进行持续访问评估(预览版)。
2023 年 7 月
正式发布:Azure Active Directory (Azure AD) 即将更名。
类型:已更改的功能
服务类别:N/A
产品功能: 最终用户体验
不需要采取任何行动,但可能需要更新一些文档。
Azure AD 将更名为 Microsoft Entra ID。 此名称更改将于 2023 年下半年在所有 Microsoft 产品和体验中实施。
产品的功能、许可和使用情况不会更改。 为了使过渡无缝进行,定价、条款、服务级别协议、URL、API、PowerShell cmdlet、Microsoft 身份验证库 (MSAL) 和开发人员工具将保持不变。
了解更多并获取更名详细信息:Azure Active Directory 的新名称。
正式发布 - 在条件访问策略中包含/排除“我的应用”
类型:已修复
服务类别:条件访问
产品功能: 最终用户体验
条件访问策略现可针对“我的应用”。 这解决了最大的客户阻碍。 此功能在所有云中都可用。 GA 还提供了新的应用启动器,可提高 SAML 和其他应用类型的应用启动性能。
请在此处详细了解如何设置条件访问策略:Azure AD 条件访问文档。
正式发布 - 受保护的操作的条件访问
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
受保护的操作是高风险操作,例如更改访问策略或更改信任设置,可能会大大影响组织的安全性。 为了添加额外的保护层,受保护的操作的条件访问允许组织为用户定义执行这些敏感任务的特定条件。 有关详细信息,请参阅:Azure AD 中的受保护操作是什么?。
正式发布 - 非活动用户的访问评审
类型:新功能
服务类别: 访问评审
产品功能: 标识治理
此新功能是 Microsoft Entra ID 治理 SKU 的一部分,允许管理员查看和寻址指定时段内未处于活动状态的过时帐户。 管理员可以设置特定的持续时间,以确定未用于交互式或非交互式登录活动的非活动帐户。 在评审过程中,可以自动删除过时的帐户。 有关详细信息,请参阅:Microsoft Entra ID 治理在访问评审中引入了两个新功能。
正式发布 - 在 Microsoft Entra ID 治理中自动分配访问包
类型:已更改的功能
服务类别:权利管理
产品功能: 权利管理
Microsoft Entra ID 治理提供客户在权利管理访问包中配置分配策略的功能,权利管理访问包中包含应被分配访问权限的用户的基于属性的规则(类似于动态组)。 有关详细信息,请参阅:在权利管理中为访问包配置自动分配策略。
正式发布 - 权利管理中的自定义扩展
类型:新功能
服务类别:权利管理
产品功能: 权利管理
权利管理中的自定义扩展现已正式发布,可用于在请求访问权限或访问权限即将到期时,使用组织特定的流程和业务逻辑来延长访问权限生命周期。 借助自定义扩展,可以在断开连接的系统中为手动访问预配创建票证,向其他利益干系人发送自定义通知,或在业务应用程序中自动执行与访问权限相关的其他配置,例如在 Salesforce 中分配正确的销售区域。 还可以利用自定义扩展在访问请求中嵌入外部治理、风险和合规性 (GRC) 检查。
有关详细信息,请参阅:
正式发布 - 条件访问模板
类型:更改计划
服务类别:条件访问
产品功能:标识安全和保护
条件访问模板是预定义的条件和控件集,为部署符合 Microsoft 建议的新策略提供了一种便捷的方法。 客户可以放心,他们的策略反映了保护公司资产、促进混合员工安全、最佳访问的全新最佳做法。 有关详细信息,请参阅:条件访问模板。
正式发布 - 生命周期工作流
类型:新功能
服务类别:生命周期工作流
产品功能: 标识治理
用户标识生命周期是组织安全状况的关键部分,如果管理得当,可能会对其用户在入职者、换岗者和离职者的工作效率产生积极影响。 正在进行的数字化转型促进了对良好的标识生命周期管理的需求。 但是,IT 和安全团队在管理复杂、耗时且容易出错的手动流程方面面临着巨大的挑战,这些手动流程需要同时为数百名员工执行登入和登出任务。 这是 IT 管理员在安全性、治理和合规性方面持续面临的数字化转型中一直存在的复杂问题。
生命周期工作流是最新的 Microsoft Entra ID 治理功能之一,现已正式发布,可帮助组织进一步优化其用户标识生命周期。 有关详细信息,请参阅:生命周期工作流现已正式发布!
正式发布 - 在公司品牌功能中为登录和注册页启用扩展自定义功能。
类型:新功能
服务类别: 用户体验和管理
产品功能:用户身份验证
使用新的公司品牌功能更新 Microsoft Entra ID 和 Microsoft 365 登录体验。 可以使用预定义模板将公司的品牌指导应用于身份验证体验。 有关详细信息,请参阅:公司品牌打造
正式发布 - 为公司品牌中的自助式密码重置 (SSPR) 超链接、页脚超链接和浏览器图标启用自定义功能。
类型:已更改的功能
服务类别: 用户体验和管理
产品功能: 最终用户体验
针对 Microsoft Entra ID/Microsoft 365 登录体验更新公司品牌功能,以允许自定义自助式密码重置 (SSPR) 超链接、页脚超链接和浏览器图标。 有关详细信息,请参阅:公司品牌打造
正式发布 - 为组访问评审提供的用户与组隶属关系建议
类型:新功能
服务类别: 访问评审
产品功能: 标识治理
此功能为 Azure AD 访问评审的评审者提供基于机器学习的建议,使评审体验变得更轻松且更准确。 此建议利用基于机器学习的评分机制,并根据组织的报表结构比较用户与组中其他用户的相对隶属关系。 有关详细信息,请参阅:查看有关访问评审的建议和 Azure AD 访问评审中基于机器学习的建议简介
公共预览版 - 非活动来宾见解
类型:新功能
服务类别: 报告
产品功能: 标识治理
对来宾账户进行大规模监视,获取对组织中非活动来宾用户的智能见解。 根据组织的需要自定义非活动阈值,缩小要监视的来宾用户的范围,并确定可能处于非活动状态的来宾用户。 有关详细信息,请参阅:使用访问评审监视和清理过时的来宾帐户。
公共预览版 - 使用 PIM 对组进行实时应用程序访问
类型:新功能
服务类别:Privileged Identity Management
产品功能: Privileged Identity Management
可以最大程度地减少 AWS/GCP 等应用程序中的永久性管理员数,并获取对 AWS 和 GCP 中组的 JIT 访问权限。 虽然适用于组的 PIM 已公开发行,但我们还发布了一个公共预览版,其将 PIM 与预配集成在一起,并将激活延迟从 40 多分钟减少到 1-2 分钟。
公共预览版 - Azure AD 角色上 PIM 安全警报的图形 API(beta 版本)
类型:新功能
服务类别:Privileged Identity Management
产品功能: Privileged Identity Management
宣布推出用于管理 Azure AD 角色的 PIM 安全警报的 API 支持(beta 版本)。 当属于 Microsoft Entra 的 Azure Active Directory (Azure AD) 的组织中存在可疑或不安全活动时,Azure Privileged Identity Management (PIM) 会生成警报。 现在可以使用 REST API 管理这些警报。 还可以通过 Azure 门户管理这些警报。 有关详细信息,请参阅:unifiedRoleManagementAlert 资源类型。
正式发布 - 在 Azure 移动应用上重置密码
类型:新功能
服务类别:其他
产品功能: 最终用户体验
Azure 移动应用已增强,使管理员能够使用特定权限方便地重置其用户密码。 当前不支持自助式密码重置。 但是,用户仍然能够更有效地控制和简化自己的登录和身份验证方法。 可在此处下载各平台的移动应用:
公共预览版 - API 驱动的入站用户预配
类型:新功能
服务类别:预配
产品功能:入站到 Azure AD
借助 API 驱动的入站预配,Microsoft Entra ID 预配服务现在支持与任何记录系统集成。 客户和合作伙伴可以使用自己选择的任何自动化工具,从任何记录系统中检索员工数据,以便预配到 Microsoft Entra ID 和连接的本地 Active Directory 域。 IT 管理员可完全控制如何使用属性映射处理和转换数据。 Microsoft Entra ID 中提供员工数据后,IT 管理员可以使用 Microsoft Entra ID 治理生命周期工作流配置适当的 joiner-mover-leaver 业务流程。 有关详细信息,请参阅:API 驱动的入站预配概念(公共预览版)。
公共预览版 - 基于 EmployeeHireDate 用户属性的动态组
类型:新功能
服务类别:组管理
产品功能: 目录
此功能使管理员能够基于用户对象的 employeeHireDate 属性创建动态组规则。 有关详细信息,请参阅:字符串类型的属性。
正式发布 - 增强型创建用户和邀请用户体验
类型:已更改的功能
服务类别: 用户管理
产品功能: 用户管理
我们增加了管理员在 Entra 管理门户中创建和邀请用户时能够定义的属性数量,使我们的用户体验与“创建用户 API”保持一致。 此外,管理员现在可以将用户添加到组或管理单元,并分配角色。 有关详细信息,请参阅:使用 Azure Active Directory 添加或删除用户。
正式发布 - 所有用户和用户配置文件
类型:已更改的功能
服务类别: 用户管理
产品功能: 用户管理
“所有用户”列表现在具有无限滚动功能,管理员现在可以修改用户配置文件中的更多属性。 有关详细信息,请参阅:如何创建、邀请和删除用户。
公共预览版 - Windows MAM
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
“什么时候会有适用于 Windows 的 MAM?” 是我们最常被问到的客户问题之一。 我们很高兴地报告,答案是:“现在!” 我们十分期待在 Windows 上的 Microsoft Edge for Business 公共预览版中提供这一期待已久的新 MAM 条件访问功能。
使用 MAM 条件访问,Microsoft Edge for Business 为用户提供对个人 Windows 设备上的组织数据的安全访问权限,并提供可自定义的用户体验。 我们已将应用保护策略 (APP) 、Windows Defender 客户端威胁防御和条件访问等熟悉的安全功能组合在一起,所有这些功能都基于 Azure AD 标识,确保在授予数据访问权限之前,非托管设备都运行正常且受到保护。 这可以帮助企业改善其安全状况并保护敏感数据免受未经授权的访问,而无需完全注册移动设备。
新功能通过 Microsoft Edge for Business 将应用层管理的优势扩展到 Windows 平台。 管理员有权在非管理的 Windows 设备上配置用户体验和保护 Microsoft Edge for Business 中的组织数据。
有关详细信息,请参阅:需要 Windows 设备的应用保护策略(预览版)。
正式发布 - Azure AD 应用程序库中提供了新的联合应用 - 2023 年 7 月
类型:新功能
服务类别: 企业应用
产品功能:第三方集成
2023 年 7 月,我们在应用库中添加了以下 10 个支持联合身份验证的新应用程序:
Gainsight SAML、Dataddo、Puzzel、Worthix App、iOps360 IdConnect、Airbase、Couchbase Capella - SSO、SSO for Jama Connect®、mediment (メディメント)、Netskope Cloud Exchange Administration Console、Uber、Plenda、Deem Mobile、40SEAS、Vivantio、AppTweak、Vbrick Rev Cloud、OptiTurn、Application Experience with Mist、クラウド勤怠管理システムKING OF TIME、Connect1、DB Education Portal for Schools、SURFconext、Chengliye Smart SMS Platform、CivicEye SSO、Colloquial、BigPanda、Foreman
你也可以访问 https://aka.ms/AppsTutorial 找到所有应用程序的文档。
有关如何在 Azure AD 应用库中列出你的应用程序的信息,请访问 https://aka.ms/AzureADAppRequest 查看详细信息
公共预览版 - Azure AD 应用程序库中的新预配连接器 - 2023 年 7 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:使用 Azure AD 自动将用户预配到 SaaS 应用程序。
正式发布 - 适用于 .NET 4.55.0 的 Microsoft 身份验证库
类型:新功能
服务类别:其他
产品功能:用户身份验证
本月早些时候,我们宣布发布了 MSAL.NET 4.55.0,它是适用于 .NET 平台的 Microsoft 身份验证库的最新版本。 新版本引入了以下支持:对象 ID 指定的用户分配的托管标识、WithTenantId API 中的 CIAM 颁发机构、处理缓存序列化时的优化错误消息,以及使用 Windows 身份验证代理时改进的日志记录。
正式发布 - 适用于 Python 1.23.0 的 Microsoft 身份验证库
类型:新功能
服务类别:其他
产品功能:用户身份验证
本月早些时候,Microsoft 身份验证库团队宣布发布适用于 Python 版本 1.23.0 的 MSAL。 新版本的库增加了对使用客户端凭据时更好的缓存的支持,从而无需在存在缓存令牌时重复请求新令牌。
若要详细了解适用于 Python 的 MSAL,请参阅:适用于 Python 的 Microsoft 身份验证库 (MSAL)。
2023 年 6 月
公共预览版 - Azure AD 应用程序库中的新预配连接器 - 2023 年 6 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
- Headspace
- Humbol
- LUSID
- Markit 采购服务
- Moqups
- Notion
- OpenForms
- SafeGuard Cyber
- Uni-tel A/S
- 保管库平台
- V-Client
- Veritas Enterprise Vault.cloud SSO-SCIM
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:使用 Azure AD 自动将用户预配到 SaaS 应用程序。
正式发布 - 在条件访问策略中包含/排除权利管理
类型:新功能
服务类别:权利管理
产品功能: 权利管理
条件访问策略现在可针对权利管理服务包含或排除应用程序。 要以权利管理服务为目标,请在云应用选取器中选择“Azure AD Identity Governance - 权利管理”。 “权利管理”应用包括“我的访问权限”的权利管理部分、Entra 和 Azure 门户的“权利管理”部分,以及 MS Graph 的权利管理部分。 有关详细信息,请参阅:查看条件访问策略。
正式发布 - Azure 移动端上的 Azure Active Directory 用户和组功能现已推出
类型:新功能
服务类别:Azure 移动应用
产品功能: 最终用户体验
Azure 移动应用现在包含 Azure Active Directory 部分。 在移动版 Azure Active Directory 中,用户可以搜索并查看有关用户和组的更多详细信息。 此外,受允许的用户可以邀请来宾用户加入其活动租户,为用户分配组成员身份和所有权,以及查看用户登录日志。 有关详细信息,请参阅获取 Azure 移动应用。
规划变更 - 新式化使用条款体验
类型:更改计划
服务类别:使用条款
产品功能:授权/访问委派
最近,我们宣布了使用条款最终用户体验的新式化,作为持续服务改进的一部分。 如前所述,最终用户体验将更新为使用新的 PDF 查看器,并将从 https://account.activedirectory.windowsazure.com 移动到 https://myaccount.microsoft.com。
从今天开始,可通过 https://myaccount.microsoft.com/termsofuse/myacceptances 使用以前接受的使用条款的现代化体验。 我们鼓励你查看现代化体验,它遵循更新的设计模式,与同属登录流、即将新式化的使用条款的接受或拒绝体验保持一致。 在开始新式化登录流之前,如果有任何反馈,我们将十分感谢。
正式发布 - 适用于组的 Privileged Identity Management
类型:新功能
服务类别:Privileged Identity Management
产品功能: Privileged Identity Management
适用于组的 Privileged Identity Management 现已正式发布。 借助此功能,你可以在组中授予用户即时成员身份,从而提供对 Azure Active Directory 角色、Azure 角色、Azure SQL、Azure Key Vault、Intune、其他应用程序角色以及第三方应用程序的访问权限。 通过一次激活,即可跨不同的应用程序和 RBAC 系统方便地分配各种权限。
适用于组的 PIM 套餐也可用于处理即时所有权。 作为组的所有者,你可以管理组属性,包括成员身份。 有关详细信息,请参阅:适用于组的 Privileged Identity Management (PIM)。
正式发布 - Privileged Identity Management 和条件访问集成
类型:新功能
服务类别:Privileged Identity Management
产品功能: Privileged Identity Management
Privileged Identity Management (PIM) 与条件访问身份验证上下文的集成已正式发布。 可以在角色激活期间要求用户满足各种要求,例如:
- 通过身份验证强度设置特定的身份验证方法
- 从合规设备激活
- 基于 GPS 验证位置
- 没有标识保护所识别的特定登录风险级别
- 满足条件访问策略中定义的其他要求
此集成适用于所有提供程序:适用于 Azure AD 角色的 PIM、适用于 Azure 资源的 PIM、适用于组的 PIM。 有关详细信息,请参阅:
- 在 Privileged Identity Management 中配置 Azure AD 角色设置
- 在 Privileged Identity Management 中配置 Azure 资源角色设置
- 配置 PIM 的组设置
正式发布 - 更新了每用户 MFA 的外观和感观
类型:更改计划
服务类别: MFA
产品功能:标识安全和保护
作为持续服务改进的一部分,我们将更新每用户 MFA 管理配置体验,使其符合 Azure 的外观和感观。 此更改不包括对核心功能的任何更改,并且将仅包括视觉改进。 有关详细信息,请参阅:启用每用户 Microsoft Entra 多重身份验证以保护登录事件。
正式发布 - US Gov 云中的融合身份验证方法
类型:新功能
服务类别: MFA
产品功能:用户身份验证
使用聚合身份验证方法策略,可以在一个策略中管理用于 MFA 和 SSPR 的所有身份验证方法,迁移出旧的 MFA 和 SSPR 策略,并将身份验证方法定向到用户组,而不是为租户中的所有用户启用它们。 客户应在 2024 年 9 月 30 日之前将身份验证方法的管理从旧版 MFA 和 SSPR 策略中迁移出来。 有关详细信息,请参阅:管理 Azure AD 身份验证方法。
正式发布 - 对使用 Azure AD 云同步的目录扩展的支持
类型:新功能服务类别:预配产品功能:Azure AD Connect 云同步
混合 IT 管理员现在可以使用 Azure AD Connect 云同步来同步 Active Directory 和 Azure AD Directory 扩展。这项新功能增加了动态发现 Active Directory 和 Azure Active Directory 架构的功能,使客户能够使用云同步的属性映射体验映射所需的属性。有关详细信息,请参阅:云同步中的 Directory 扩展和自定义属性映射。
公共预览版 - 受限管理单元
类型:新功能
服务类别:目录管理
产品功能:访问控制
受限管理单元允许在 Azure AD 中限制对用户、安全组和设备进行修改,以便只有指定的管理员才能进行更改。 全局管理员和其他租户级管理员无法修改添加到受限管理单元的用户、安全组或设备。 有关详细信息,请参阅:Azure Active Directory 中的受限管理单元(预览版)。
正式发布 - 报告可疑活动与标识保护集成
类型:已更改的功能
服务类别: 标识保护
产品功能:标识安全和保护
报告可疑活动是 MFA 欺诈警报的更新实现,用户可以将语音或电话应用 MFA 提示报告为可疑。 如果启用,则报告提示的用户的风险设置会变为“高”,使管理员能够使用基于标识保护风险的策略或风险检测 API 采取修正操作。 报告可疑活动目前与旧版 MFA 欺诈警报同时运行。 有关详细信息,请参阅:配置 Microsoft Entra 多重身份验证设置。
2023 年 5 月
正式发布 - 针对成员、外部用户和 FIDO2 限制的条件访问身份验证强度
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
身份验证强度是一种条件访问控制,它允许管理员指定可以使用哪种身份验证方法组合来访问资源。 例如,管理员可以只使用防钓鱼的身份验证方法来访问敏感资源。 同样地,若要访问非敏感资源,他们可允许安全性更低的多重身份验证 (MFA) 组合,例如密码 + 短信。
身份验证强度现已正式发布,适用于来自任何 Microsoft 云和 FIDO2 限制的成员和外部用户。 有关详细信息,请参阅:条件访问身份验证强度。
正式发布 - 基于 SAML/Ws-Fed 的标识提供者身份验证,面向 US Sec 和 US Nat 云中的 Azure Active Directory B2B 用户
类型:新功能
服务类别:B2B
产品功能:B2B/B2C
现已在 US Sec、US Nat 和中国云中正式发布基于 SAML/Ws-Fed 的标识提供者(用于在 Azure AD B2B 中进行身份验证)。 有关详细信息,请参阅:与来宾用户的 SAML/WS-Fed 标识提供者联合。
正式发布 - 跨租户同步
类型:新功能
服务类别:预配
产品功能: 标识生命周期管理
通过跨租户同步,可设置一个可缩放的自动化解决方案,使用户能够跨组织中的租户访问应用程序。 它基于 Azure Active Directory B2B 功能构建,可在组织中的租户内自动创建、更新和删除 B2B 用户。 有关详细信息,请参阅:什么是跨租户同步?。
公共预览版(刷新)- 权利管理中的自定义扩展
类型:新功能
服务类别:权利管理
产品功能: 标识治理
去年,我们宣布推出权利管理中的自定义扩展公共预览版,你可使用它在请求访问权限或访问权限即将过期时自动执行复杂流程。 我们最近扩展了公共预览版,使得在外部进程运行时可暂停访问包分配请求。 此外,外部进程现在可向权利管理功能提供反馈,以便在 MyAccess 中向最终用户显示其他信息,甚至停止访问请求。 这将自定义扩展的应用场景从通知扩展到了其他利益干系人,或者从生成票证扩展到了外部治理、风险和合规性检查等高级应用场景。 在本次更新的过程中,我们还改进了审核日志、令牌安全性和发送到逻辑应用的有效负载。 若要了解有关预览版刷新的详细信息,请参阅:
- 使用权利管理中的自定义扩展触发逻辑应用(预览)
- accessPackageAssignmentRequest: resume
accessPackageAssignmentWorkflowExtension资源类型accessPackageAssignmentRequestWorkflowExtension资源类型
正式发布 - 适用于 .NET 的 Microsoft 身份验证库中的托管标识
类型:新功能
服务类别:身份验证(登录)
产品功能:用户身份验证
最新版本的 MSAL.NET 将托管标识 API 升级到正式发布支持模式,这意味着开发人员可将它们安全地集成到生产工作负载中。
托管标识是 Azure 基础结构的一部分,可简化开发人员处理凭据和机密来访问云资源的方式。 有了托管标识,开发人员无需手动处理凭据检索和安全性。 他们可以转而依赖于自动托管的标识集来连接到支持 Azure Active Directory 身份验证的资源。 若要了解详细信息,可参阅什么是 Azure 资源托管标识?
在 MSAL.NET 4.54.0 中,托管标识 API 现在是稳定的。 我们添加了一些更改,使它们更易于使用和集成,如果你已经使用我们的实验性实现,那么可能需要调整代码:
- 使用托管标识 API 时,开发人员在创建 ManagedIdentityApplication 时需要指定标识类型。
- 使用托管标识 API 获取令牌并使用默认 HTTP 客户端时,MSAL 会重试某些异常代码的请求。
- 我们添加了一个新的 MsalManagedIdentityException 类,该类表示任何与托管标识相关的异常。 它包括常规异常信息,例如导致出现异常的 Azure 源。
- MSAL 现在将主动刷新使用托管标识获取的令牌。
若要在 MSAL.NET 中开始使用托管标识,可以将 Microsoft.Identity.Client 包与 ManagedIdentityApplicationBuilder 类结合使用。
公共预览版 - 全新的“我的组”体验
类型:已更改的功能
服务类别:组管理
产品功能: 最终用户体验
现已在 myaccount.microsoft.com/groups 中提供全新改进的“我的组”体验。 此体验取代了 5 月在 mygroups.microsoft.com 中提供的现有“我的组”体验。 有关详细信息,请参阅:在“我的应用”门户中更新组信息。
正式发布 - 管理员可限制其用户创建租户
类型:新功能
服务类别: 用户访问管理
产品功能: 用户管理
几乎从 Azure 门户开始以来,Azure AD 中一直提供用户通过“管理租户”概述创建租户的功能。 通过“用户设置”窗格中的这项新功能,管理员可限制其用户创建新租户的能力。 还有一个新的租户创建者角色,允许特定用户创建租户。 有关详细信息,请参阅默认用户权限。
正式发布 - 挂起设备的设备自助功能
类型:新功能
服务类别: 访问管理
产品功能: 最终用户体验
在“所有设备”视图的“已注册”列下,现可选择拥有的任何挂起设备,这样做将打开上下文窗格,帮助排查设备可能挂起的原因。 还可以提供有关汇总信息是否有用的反馈。 有关详细信息,请参阅:Azure Active Directory 中的挂起设备。
正式发布 - 管理员现可限制用户自助访问其 BitLocker 密钥
类型:新功能
服务类别: 访问管理
产品功能: 用户管理
管理员现在可通过“设备设置”页限制其用户自助访问他们的 BitLocker 密钥。 启用此功能会隐藏所有非管理员用户的 BitLocker 密钥。 这有助于在管理员级别控制 BitLocker 访问管理。 有关详细信息,请参阅:限制成员用户的默认权限。
公共预览版 - Azure AD 应用程序库中新的预配连接器 - 2023 年 5 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:使用 Azure AD 自动将用户预配到 SaaS 应用程序。
正式发布 - Microsoft Entra 权限管理 Azure Active Directory 见解
类型:新功能
服务类别:其他
产品功能:权限管理
Microsoft Entra 权限管理中的“Azure Active Directory 见解”选项卡提供了一个视图来显示分配给全局管理员的所有永久角色分配,还提供了一个包含高度特权角色的特选列表。 然后,管理员可使用该报表在 Azure Active Directory 控制台中执行进一步操作。 有关详细信息,请参阅查看组织中的特权角色分配(预览版)。
公共预览版 - 门户中的多重身份验证配置指南
类型:新功能
服务类别: MFA
产品功能:标识安全和保护
门户中的多重身份验证配置指南可帮助你开始使用 Azure Active Directory 的 MFA 功能。 可在 Azure AD 概述的“教程”选项卡下找到该指南。
正式发布 - Authenticator Lite(在 Outlook 中)
类型:新功能
服务类别: Microsoft Authenticator 应用
产品功能:用户身份验证
Authenticator Lite(在 Outlook 中)是一种身份验证解决方案,适用于尚未下载 Microsoft Authenticator 应用的用户。 在移动设备上的 Outlook 中,系统会提示用户注册多重身份验证。 用户在登录时输入密码后,可选择向其 Android 或 iOS 设备发送推送通知。
由于此功能为用户提供的安全性增强,此功能的“Microsoft 托管”值将在 6 月 9 日从“已禁用”更改为“已启用”。 我们对功能配置进行了一些更改,因此如果你在 5 月 17 日正式发布之前进行了更新,请在 6 月 9 日之前验证你的租户的功能是否处于正确的状态。 如果不希望在 6 月 9 日启用此功能,请将状态移至“已禁用”,或者设置用户来包括和排除组。
有关详细信息,请参阅:如何为 Outlook 移动版(预览版)启用 Microsoft Authenticator Lite。
正式发布 - 通过 Azure AD 预配代理提供的 PowerShell 和 Web 服务连接器支持
类型:新功能
服务类别:预配
产品功能:出站到本地应用程序
Azure AD 本地应用程序预配功能现在支持 PowerShell 和 Web 服务连接器。 现在,可以使用 PowerShell 连接器将用户预配到平面文件,或者使用 Web 服务连接器将用户预配到 SAP ECC 等应用。 有关详细信息,请参阅:使用 PowerShell 将用户预配到应用程序中。
正式发布 - 已验证的威胁行动者 IP 登录检测
类型:新功能
服务类别: 标识保护
产品功能:标识安全和保护
标识保护功能添加了一个新的检测,使用 Microsoft 威胁情报数据库来检测从已知国家/地区和网络犯罪参与者的 IP 地址执行的登录,并使客户能够使用基于风险的条件访问策略来阻止这些登录。 有关详细信息,请参阅登录风险。
正式发布 - 针对外部用户类型的条件访问精细控制
类型:新功能
服务类别:条件访问
产品功能:标识安全和保护
配置条件访问策略时,客户现在可精细控制要应用策略的外部用户的类型。 外部用户根据身份验证方式(内部或外部)以及他们与组织的关系(来宾或成员)进行分类。 有关详细信息,请参阅:将条件访问策略分配给外部用户类型。
正式发布 - Azure AD 应用程序库中提供了新的联合应用 - 2023 年 5 月
类型:新功能
服务类别: 企业应用
产品功能:第三方集成
2023 年 5 月,我们在应用库中添加了下面 51 款支持联合身份验证的新应用程序
INEXTRACK、Valotalive Digital Signage Microsoft 365 integration、Tailscale、MANTL、ServusConnect、Jigx MS Graph Demonstrator、Delivery Solutions、Radiant IOT Portal、Cosgrid Networks、voya SSO、Redocly、Glaass Pro、TalentLyftOIDC、Cisco Expressway、IBM TRIRIGA on Cloud、Avionte Bold SAML Federated SSO、InspectNTrack、CAREERSHIP、Cisco Unity Connection、HSC-Buddy、teamecho、AskFora、Enterprise Bot,CMD+CTRL Base Camp、Debitia Collections、EnergyManager、Visual Workforce、Uplifter、AI2、TES Cloud,VEDA Cloud、SOC SST、Alchemer、Cleanmail Swiss、WOX、WATS、Data Quality Assistant、Softdrive、Fluence Portal、Humbol、Document360、Engage by Local Measure,Gate Property Management Software、Locus、Banyan Infrastructure、Proactis Rego Invoice Capture、SecureTransport、Recnice
你也可以在此处找到所有应用程序的文档:https://aka.ms/AppsTutorial。
有关如何在 Azure AD 应用库中列出你的应用程序的信息,请访问 https://aka.ms/AzureADAppRequest 查看详细信息
正式发布 -“我的安全信息”现在显示 Microsoft Authenticator 类型
类型:已更改的功能
服务类别: MFA
产品功能:标识安全和保护
我们改进了“我的登录”和“我的安全信息”,让你更清楚地了解用户已注册的 Microsoft Authenticator 或其他 Authenticator 应用的类型。 用户现在将看到 Microsoft Authenticator 注册,其中有额外的信息显示注册为基于推送的 MFA 或无密码手机登录 (PSI) 的应用,对于其他 Authenticator 应用(软件 OATH),我们现在表明它们注册为基于时间的一次性密码方法。 有关详细信息,请参阅:将 Microsoft Authenticator 应用设置为验证方法。
2023 年 4 月
公共预览版 - Azure Active Directory 域服务的自定义属性
类型:新功能
服务类别: Azure Active Directory 域服务
产品功能: Azure Active Directory 域服务
对于本地帐户,Azure Active Directory 域服务现在支持来自 Azure AD 的同步自定义属性。 有关详细信息,请参阅 Azure Active Directory 域服务的自定义属性。
正式发布 - 为 MFA 和自助式密码重置(SSPR)启用组合安全信息注册
类型:新功能
服务类别: MFA
产品功能:标识安全和保护
去年,我们宣布将 MFA 和自助式密码重置(SSPR)的组合注册用户体验作为所有组织的默认体验推出。 我们很高兴地宣布,组合安全信息注册体验现已全面推出。此更改不会影响位于中国区域的租户。 有关详细信息,请参阅 Azure Active Directory 的组合安全信息注册概述。
正式发布 - 系统首选 MFA 方法
类型:已更改的功能
服务类别:身份验证(登录)
产品功能:标识安全和保护
目前,组织和用户依赖于一系列身份验证方法,每种方法都会提供不同程度的安全性。 虽然多重身份验证 (MFA) 至关重要,但某些 MFA 方法比其他方法更加安全。 尽管用户有权访问更安全的 MFA 选项,但出于各种原因,用户通常会选择不太安全的方法。
为了解决这一难题,我们引入了一种新的系统首选 MFA 身份验证方法。 当用户登录时,系统将确定并显示用户已注册的最安全的 MFA 方法。 这会提示用户从默认方法切换到最安全的选项。 虽然用户仍可以选择不同的 MFA 方法,但系统始终会提示他们首先将最安全的方法用于需要 MFA 的每个会话。 有关详细信息,请参阅:系统首选的多重身份验证 - 身份验证方法策略。
正式发布 - PIM 警报:有关 Azure 中的永久活动角色分配或在 PIM 外部进行的分配的警报
类型:已修复
服务类别:Privileged Identity Management
产品功能: Privileged Identity Management
有关在 PRIVILEGED IDENTITY MANAGEMENT (PIM)外部进行的 Azure 订阅角色分配的警报在 PIM 中提供有关在 PIM 外部进行的 Azure 订阅分配的警报。 所有者或用户访问管理员可以采取快速修正操作以删除这些分配。
公共预览版 - 增强型创建用户和邀请用户体验
类型:已更改的功能
服务类别: 用户管理
产品功能: 用户管理
我们增加了管理员在 Entra 管理门户中创建和邀请用户时能够定义的属性数量。 这使我们的用户体验与“创建用户 API”保持一致。 此外,管理员现在可以将用户添加到组或管理单元,并分配角色。 有关详细信息,请参阅:如何创建、邀请和删除用户。
公共预览版 - Azure AD 条件访问受保护的操作
类型:已更改的功能
服务类别: RBAC
产品功能:访问控制
受保护的操作公共预览版引入了将条件访问应用于选择权限的功能。 用户执行受保护的操作时,必须满足条件访问策略要求。 有关详细信息,请参阅:Azure AD(预览版)中的受保护操作是什么?。
公共预览版 - 登录会话的令牌保护
类型:新功能
服务类别:条件访问
产品功能:用户身份验证
登录会话的令牌保护是我们路线图上的第一个版本,用于打击涉及令牌盗窃和重放的攻击。 对于受支持的客户端和服务,它对令牌所有权证明强制实施条件访问,确保仅从用户已登录的设备访问指定资源。 有关详细信息,请参阅:条件访问:令牌保护(预览版)。
正式发布 - 从 2023 年 6 月开始对组机密的数量和大小的新限制
类型:更改计划
服务类别:组管理
产品功能: 目录
从 2023 年 6 月开始,存储在单个组上的机密不能超过 48 个单独机密,或者单个组上所有机密的总大小不能超过 10 KB。 机密超过 10 KB 的组将于 2023 年 6 月立即停止工作。 在 6 月,超过 48 个机密的组无法增加其拥有的机密数,尽管它们仍然可以更新或删除这些机密。 强烈建议在 2024 年 1 月前将机密数减少到 48 个以下。
组机密通常在使用基于密码的单一登录向应用分配凭据时创建。 为了减少分配给组的机密数,建议创建其他组,并将组分配拆分为跨这些新组的基于密码的 SSO 应用程序。 有关详细信息,请参阅:向应用程序添加基于密码的单一登录。
公共预览版 - Outlook 中的 Authenticator Lite
类型:新功能
服务类别: Microsoft Authenticator 应用
产品功能:用户身份验证
Authenticator Lite 是一个附加界面,便于 Azure Active Directory 用户在 Android 或 iOS 设备上使用推送通知完成多重身份验证。 借助 Authenticator 精简版,用户可以通过便捷且熟悉的应用满足多重身份验证要求。 当前在 Outlook 移动应用中已启用 Authenticator Lite。 用户可以在其 Outlook 移动应用中收到批准或拒绝的通知,或者使用 Outlook 应用生成可在登录期间输入的 OATH 验证码。 此功能的“Microsoft 托管”设置将于 2023 年 5 月 26 日启用。 对于将该功能设置为“Microsoft 托管”的租户中的所有用户,这会启用该功能。 如果要更改此功能的状态,请在 2023 年 5 月 26 日之前执行此操作。 有关详细信息,请参阅:如何为 Outlook 移动版(预览版)启用 Microsoft Authenticator Lite。
正式发布 - 更新了每用户 MFA 的外观和感观
类型:更改计划
服务类别: MFA
产品功能:标识安全和保护
作为持续服务改进的一部分,我们将更新每用户 MFA 管理配置体验,使其符合 Azure 的外观和感观。 此更改不包括对核心功能的任何更改,并且将仅包括视觉改进。 有关详细信息,请参阅:启用每用户 Azure AD 多重身份验证以保护登录事件。
正式发布 - 将关闭附加使用条款审核日志
类型:已修复
服务类别:使用条款
产品功能:授权/访问委派
由于技术问题,我们最近开始发布了附加使用条款审核日志。 附加审核日志将在 5 月 1 日关闭,并使用核心目录服务和协议类别进行标记。 如果已建立对附加审核日志的依赖项,必须切换到使用使用条款服务标记的常规审核日志。
正式发布 - Azure AD 应用程序库中提供了新的联合应用 - 2023 年 4 月
类型:新功能
服务类别: 企业应用
产品功能:第三方集成
2023 年 4 月,我们在应用库中添加了以下 10 个支持联合身份验证的新应用程序:
iTel Alert, goFLUENT, StructureFlow, StructureFlow AU, StructureFlow CA, StructureFlow EU, StructureFlow USA, Predict360 SSO, Cegid Cloud, HashiCorp Cloud Platform (HCP) , O'Reilly learning platform, LeftClick Web Services – RoomGuide, LeftClick Web Services – Sharepoint, LeftClick Web Services – Presence, LeftClick Web Services - 单一登录, InterPrice Technologies, WiggleDesk SSO, Mist 的应用程序体验, Connect Plans 360, Proactis Rego Source-to-Contract, Danomics, Fountain, Theom, DDC Web, Dozuki。
你也可以访问 https://aka.ms/AppsTutorial 找到所有应用程序的文档。
有关如何在 Azure AD 应用库中列出你的应用程序的信息,请访问 https://aka.ms/AzureADAppRequest 查看详细信息
公共预览版 - Azure AD 应用程序库中的新预配连接器 - 2023 年 4 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:使用 Azure AD 自动将用户预配到 SaaS 应用程序。
公共预览版 - 新的 PIM Azure 资源选取器
类型:已更改的功能
服务类别:Privileged Identity Management
产品功能: 最终用户体验
借助这种新体验,PIM 现在会自动管理租户中任何类型的资源,因此不再需要发现和激活。 使用新的资源选取器,用户可以直接选择要管理的范围(从管理组到资源本身),从而更快、更轻松地找到需要管理的资源。 有关详细信息,请参阅:在 Privileged Identity Management 中分配 Azure 资源角色。
正式发布 - 自助式密码重置(SSPR)现在支持对符合条件的用户进行 PIM 和间接组角色分配
类型:已更改的功能
服务类别:自助服务密码重置
产品功能:标识安全和保护
自助式服务密码重置 (SSPR) 现在可以检查符合 PIM 条件的用户,并在检查用户是否处于特定管理员角色时评估基于组的成员身份以及直接成员身份。 此功能会验证用户是否在默认 SSPR 管理策略或组织 SSPR 用户策略的范围内,从而提供更准确的 SSPR 策略实施。
有关详细信息,请参阅:
2023 年 3 月
公共预览版 - Azure AD 应用程序库中的新预配连接器 - 2023 年 3 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:使用 Azure AD 自动将用户预配到 SaaS 应用程序。
正式发布 - 托管标识的工作负载联合身份验证
类型:新功能
服务类别:Azure 资源的托管标识
产品功能:开发人员体验
工作负载联合身份验证使开发人员能够对其在任意位置运行的软件工作负载使用托管标识,并且无需机密即可访问 Azure 资源。 关键方案包括:
- 从任何云中或本地运行的 Kubernetes Pod 访问 Azure 资源
- 使用 GitHub 工作流部署到 Azure,无需机密
- 从其他支持 OIDC 的云平台(例如 Google Cloud Platform)访问 Azure 资源。
有关详细信息,请参阅:
公共预览版 - 全新的“我的组”体验
类型:已更改的功能
服务类别:组管理
产品功能: 最终用户体验
现已在 https://www.myaccount.microsoft.com/groups 中提供全新改进的“我的组”体验。 “我的组”使最终用户能够轻松管理组,例如查找要加入的组、管理他们拥有的组以及管理现有组成员身份。 根据客户反馈,新的“我的组”支持对组和组成员列表、大型组中组成员的完整列表以及成员资格请求的可操作概述页面进行排序和筛选。
此体验取代了 5 月 https://www.mygroups.microsoft.com 处的现有“我的组”体验。
有关详细信息,请参阅:在“我的应用”门户中更新组信息。
公共预览版 - 使用自定义声明提供程序自定义令牌
类型:新功能
服务类别:身份验证(登录)
产品功能: 扩展性
使用自定义声明提供程序,可以在身份验证流期间调用 API 并将自定义声明映射到令牌中。 API 调用是在用户完成其所有身份验证质询后进行的,并且令牌即将颁发给应用。 有关详细信息,请参阅:自定义身份验证扩展(预览版)。
正式发布 - 聚合身份验证方法
类型:新功能
服务类别: MFA
产品功能:用户身份验证
使用聚合身份验证方法策略,可以在一个策略中管理用于 MFA 和 SSPR 的所有身份验证方法,迁移出旧的 MFA 和 SSPR 策略,并将身份验证方法定向到用户组,而不是为租户中的所有用户启用它们。 有关详细信息,请参阅:管理身份验证方法。
正式发布 - 预配见解工作簿
类型:新功能
服务类别:预配
产品功能:监视和报告
借助此新工作簿,可以更轻松地调查和深入了解给定租户中的预配工作流。 这包括 HR 驱动的预配、云同步、应用预配和跨租户同步。
此工作簿可帮助回答的一些关键问题包括:
- 在给定时间范围内同步了多少个标识?
- 执行了多少个创建、删除、更新或其他操作?
- 有多少个操作成功、跳过或失败?
- 哪些特定标识失败? 他们在哪一步失败了?
- 对于任何给定用户,他们预配或取消预配了哪些租户/应用程序?
有关详细信息,请参阅:预配见解工作簿。
正式版 - Microsoft Authenticator 通知的号码匹配
类型: 更改计划
服务类别: Microsoft Authenticator 应用
产品功能:用户身份验证
Microsoft Authenticator 应用的数字匹配功能自 2022 年 11 月起正式发布! 如果你尚未使用推出控件(通过 Azure 门户 Admin UX 和 MSGraph API)为 Microsoft Authenticator 推送通知用户顺利部署数字匹配,我们强烈建议你这样做。 我们此前已宣布,从 2023 年 2 月 27 日起,我们将删除管理控制,并在租户范围内为 Microsoft Authenticator 推送通知的所有用户强制实施数字匹配体验。 听取客户反馈后,我们会将推出控件的可用性再延长几周。 2023 年 5 月 8 日之前,组织可以继续使用现有推出控件在其组织中部署数字匹配。 Microsoft 服务将在 2023 年 5 月 8 日之后开始为 Microsoft Authenticator 推送通知的所有用户强制实施数字匹配体验。 该日期之后,我们还将删除数字匹配的推出控件。
如果在 2023 年 5 月 8 日之前客户未为所有 Microsoft Authenticator 推送通知启用数字匹配,则 Authenticator 用户在推出此更改时可能会遇到不一致的登录。 为确保所有用户行为一致,强烈建议提前为 Microsoft Authenticator 推送通知启用数字匹配。
有关详细信息,请参阅:如何使用多重身份验证 (MFA) 通知中的数字匹配 - 身份验证方法策略
公共预览版 - Azure AD 中即将支持 IPv6
类型: 更改计划
服务类别: 标识保护
产品功能:平台
此前,我们宣布了将 IPv6 支持引入 Microsoft Azure Active Directory (Azure AD) 的计划,使我们的客户能够通过 IPv4、IPv6 或双堆栈终结点访问 Azure AD 服务。 这只是提醒,我们已于 2023 年 3 月下旬开始分阶段向 Azure AD 服务引入 IPv6 支持。
如果使用条件访问或标识保护,并在任何设备上启用了 IPv6,则可能必须采取措施来避免影响用户。 对于大多数客户而言,IPv4 不会从他们的数字环境中完全消失,因此我们不打算在任何 Azure AD 功能或服务中要求使用 IPv6 或降低 IPv4 的优先级。 我们会继续在以下链接中分享有关在 Azure AD 中启用 IPv6 的其他指导:Azure Active Directory 中的 IPv6 支持。
正式发布 - Azure AD B2B 的 Microsoft 云设置
类型:新功能
服务类别:B2B
产品功能:B2B/B2C
Microsoft 云设置允许你与来自不同 Microsoft Azure 云的组织协作。 借助 Microsoft 云设置,可以在以下云之间建立相互 B2B 协作:
- Microsoft Azure 商业和 Microsoft Azure 政府
- Microsoft Azure 商业版和由世纪互联运营的 Microsoft Azure
有关用于 B2B 协作的 Microsoft 云设置的详细信息,请参阅 Microsoft 云设置。
使使用条款体验现代化
类型: 更改计划
服务类别:使用条款
产品功能:授权/访问委派
从 2023 年 7 月开始,我们将使用更新的 PDF 查看器实现以下使用条款最终用户体验的现代化,并将体验从 https://account.activedirectory.windowsazure.com 迁移到 https://myaccount.microsoft.com:
- 查看以前接受的使用条款。
- 在登录过程中接受或拒绝使用条款。
不会删除任何功能。 新的 PDF 查看器添加了功能,最终用户体验中的有限视觉更改将在将来的更新中传达。 如果你的组织仅将某些域加入允许列表,则必须确保允许列表包含域“myaccount.microsoft.com”和“*.myaccount.microsoft.com”,以便使用条款继续按预期工作。
2023 年 2 月
正式发布 - 跨 Azure 门户扩展 Privileged Identity Management 角色激活
类型:新功能
服务类别:Privileged Identity Management
产品功能: Privileged Identity Management
Privileged Identity Management (PIM) 角色激活已扩展到 Azure 门户中的计费和 AD 扩展。 已在订阅(计费)和访问控制 (AD) 中添加快捷方式,用户可直接从这些设置中激活 PIM 角色。 在“订阅”设置中,选择水平命令菜单中的“查看符合条件的订阅”,以查看符合条件、活动和过期的分配。 在此处,可以在同一窗格中激活符合条件的分配。 在资源的访问控制 (IAM) 中,现在可以选择“查看我的访问权限”,以查看当前处于活动状态和符合条件的角色分配,并直接激活。 通过将 PIM 功能集成到各个 Azure 门户边栏选项卡中,此项新功能可让你获得临时访问权限,以便更轻松地查看或编辑订阅和资源。
有关 Microsoft 云设置的详细信息,请参阅:在 Privileged Identity Management 中激活我的 Azure 资源角色。
正式发布 - 遵循 Azure AD 最佳做法和建议
类型:新功能
服务类别: 报告
产品功能:监视和报告
Azure AD 建议通过提供实施最佳做法的机会来帮助你改善租户状况。 Azure AD 每日都会分析租户的配置。 在此分析过程中,Azure AD 会将建议的数据与租户的实际配置进行比较。 如果将某个建议标记为适用于你的租户,则该建议会显示在 Azure AD“概述”区域的“建议”部分。
此版本包括我们的前 3 项建议:
- 从每用户 MFA 转换为条件访问 MFA
- 将应用程序从 AD FS 迁移到 Azure AD
- 最大限度地减少来自已知设备的 MFA 提示
有关详细信息,请参阅:
公共预览版 - Azure AD PIM + 条件访问集成
类型:新功能
服务类别:Privileged Identity Management
产品功能: Privileged Identity Management
你可以要求符合角色条件的用户满足条件访问策略要求:使用通过身份验证强度强制实施的特定身份验证方法、从 Intune 合规设备激活、遵守使用条款、使用第三方 MFA,以及满足位置要求。
有关详细信息,请参阅 在 Privileged Identity Management 中配置 Azure AD 角色设置。
正式发布 - 有关登录被标记为“不熟悉”的原因的详细信息
类型:已更改的功能
服务类别: 标识保护
产品功能:标识安全和保护
不熟悉的登录属性风险检测现在说明了有关哪些属性是不熟悉的风险原因,以便客户更好地调查该风险。
标识保护现在将 UX 上的 Azure 门户 和 API 中不熟悉的属性显示为附加信息,并提供了用户友好的说明,说明以下属性是给定用户登录被标记为“不熟悉”的原因。
启用此功能无需执行其他操作,默认情况下会显示不熟悉的属性。 有关详细信息,请参阅登录风险。
正式发布 - Azure AD 应用程序库中提供了新的联合应用 - 2023 年 2 月
类型:新功能
服务类别: 企业应用
产品功能:第三方集成
2023 年 2 月,我们在应用库中添加了以下 10 个获得联合支持的新应用程序:
PROCAS, Tanium Cloud SSO, LeanDNA, CalendarAnything LWC, courses.work, Udemy Business SAML, Canva, Kno2fy, IT-Conductor, ナレッジワーク(Knowledge Work), Valotalive Digital Signage Microsoft 365 integration, Priority Matrix HIPAA, Priority Matrix Government, Beable, Grain, DojoNavi, Global Validity Access Manager, FieldEquip, Peoplevine, Respondent, WebTMA, ClearIP, Pennylane, VsimpleSSO, Compliance Genie, Dataminr Corporate, Talon.
你也可以访问 https://aka.ms/AppsTutorial 找到所有应用程序的文档。
有关如何在 Azure AD 应用库中列出你的应用程序的信息,请访问 https://aka.ms/AzureADAppRequest 查看详细信息
公共预览版 - Azure AD 应用程序库中的新预配连接器 - 2023 年 2 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:使用 Azure AD 自动将用户预配到 SaaS 应用程序。
2023 年 1 月
公共预览版 - 跨租户同步
类型:新功能
服务类别:预配
产品功能:协作
通过跨租户同步,可设置一个可缩放的自动化解决方案,使用户能够跨组织中的租户访问应用程序。 它基于 Azure AD B2B 功能构建,可自动创建、更新和删除 B2B 用户。 有关详细信息,请参阅:什么是跨租户同步?(预览版)。
正式发布 - Azure AD 应用程序库中提供了新的联合应用 - 2023 年 1 月
类型:新功能
服务类别: 企业应用
产品功能:第三方集成
2023 年 1 月,我们在应用库中添加了以下 10 个支持联合身份验证的新应用程序:
MINT TMS、Exterro Legal GRC Software Platform、SIX.ONE Identity Access Manager、Lusha、Descartes、Travel Management System、Pinpoint (SAML)、my.sdworx.com、itopia Labs、Better Stack。
你也可以访问 https://aka.ms/AppsTutorial 找到所有应用程序的文档。
有关如何在 Azure AD 应用库中列出你的应用程序的信息,请访问 https://aka.ms/AzureADAppRequest 查看详细信息
公共预览版 - Azure AD 应用程序库中的新预配连接器 - 2023 年 1 月
类型:新功能
服务类别:应用预配
产品功能:第三方集成
我们在应用库中添加了以下支持预配的新应用程序。 现在,可为这些新集成的应用自动创建、更新和删除用户帐户:
有关如何使用自动化用户帐户预配更好地保护组织的详细信息,请参阅:使用 Azure AD 自动将用户预配到 SaaS 应用程序。
公共预览版 - Azure AD Connect 云同步新用户体验
类型:更改的功能服务类别:Azure AD Connect 云同步产品功能:标识治理
请尝试使用 Azure 门户中的 Azure AD Connect 云同步将对象从 AD 同步到 Azure AD 的新引导体验。 通过这种新体验,混合标识管理员可以轻松确定要用于其场景的同步引擎,并详细了解他们通过我们的同步解决方案所拥有的各种选项。 通过一组丰富的教程和视频,客户能够在一个位置了解有关 Azure AD Connect 云同步的所有内容。
此体验有助于管理员完成设置云同步配置及直观体验(帮助他们轻松管理云同步配置)所涉及的不同步骤。 管理员还可以使用与 Azure Monitor 和 Workbook 集成的“见解”选项来深入了解其同步配置。
有关详细信息,请参阅:
公共预览版 - 对使用 Azure AD Connect 云同步的目录扩展的支持
类型:新功能
服务类别:预配
产品功能:Azure AD Connect 云同步
现在,混合 IT 管理员可以使用 Azure AD Connect 云同步来同步 Active Directory 和 Azure AD Directory 扩展。这项新功能增加了动态发现 Active Directory 和 Azure AD 架构的功能,从而支持客户使用 Azure AD Connect 云同步的属性映射体验映射所需的属性。
有关如何启用此功能的详细信息,请参阅 Azure AD Connect 云同步中的目录扩展和自定义属性映射