Microsoft Entra 版本和公告

本文提供有关 Microsoft Entra 系列产品在过去六个月中的最新发布和变更公告的信息（每月更新）。 如果要查找超过六个月的信息，请参阅： 存档Microsoft Entra 中的新增功能。

通过复制并粘贴此 URL，获取有关何时重新访问此页面以获取更新的通知： https://learn.microsoft.com/api/search/rss?search=%22Release+notes+-+Azure+Active+Directory%22&locale=en-us 粘贴到 源阅读器中。

2025 年 11 月

公开预览 - Entra ID Account Recovery

类型：新功能
服务类别：已验证 ID
产品功能：标识安全和保护

Microsoft Entra ID 帐户恢复是一种高级身份验证恢复机制，允许用户在失去对所有已注册身份验证方法的访问权限时重新获得对其组织帐户的访问权限。 与传统的密码重置功能不同，账户恢复侧重于身份验证和信任重建，然后再替代认证方法，而非简单的凭证恢复。 更多信息请参见： Microsoft Entra ID账户恢复概述。

公开预览 - 无密码用户的自我修复

类型：新功能
服务类别：标识保护
产品功能：标识安全和保护

无密码用户的自我修复：Microsoft Entra 条件访问中基于风险的风险访问策略现在支持所有认证方法（包括无密码）的风险自我修复。 这种新控制能够实时撤销被攻破的会话，实现无阻碍的自助服务，并减轻帮助台的负担。 更多信息请参见：要求使用Microsoft管理的修复风险修复（预览版）。

全面可用性 - 外部ID区域扩展至澳大利亚和日本

类型：新功能
服务类别：B2C - 用户标识管理
产品功能：B2B/B2C

我们正在通过Go-Local插件将Microsoft Entra外部ID扩展到澳大利亚和日本，该插件将外部ID数据存储和处理在本地。 该高级插件可在创建新的外部ID租户时选择，专为数据 驻留 要求严格的组织设计。 少数集中式平台服务仍保持全球性（例如部分多重身份验证/RBAC功能），安全性或合规状态未发生变化。 开始： 在 澳大利亚 或 日本 创建一个新租户并选择加入该插件，或联系你的Microsoft代表，讨论现有环境的选项。 更多信息请参见： Microsoft Entra ID 与数据驻留

正式发布 - 新推出的 SCIM 2.0 SAP CIS 连接器，支持组配置

类型：新功能
服务类别： 企业应用
产品功能：出站到 SaaS 应用程序

更新后的 SCIM 2.0 SAP 云身份服务（CIS）连接器于 2025 年 9 月 30 日发布到 Microsoft Entra 应用库。 它取代了我们之前的SAP CIS配置集成，现在支持对SAP CIS的配置和取消配置组、自定义扩展属性以及OAuth 2.0客户端凭证授权。 更多信息请参见： 配置 SAP 云身份服务以实现使用 Microsoft Entra ID 自动用户配置。

公共预览版 - 外部确定使用自定义扩展的访问包的审批要求

类型：新功能
服务类别：权利管理
产品功能： 权利管理

在权利管理中，可以直接分配访问包分配请求的审批者，也可以动态确定。 权利管理原生支持动态确定审批者，例如请求者经理、其二级经理或来自连接的组织的发起人。 通过此功能的引入，现在可以使用自定义扩展来标注 Azure 逻辑应用，并根据组织特定的业务逻辑动态确定每个访问包分配请求的审批要求。 访问包分配请求过程将暂停，直到 Azure 逻辑应用中托管的业务逻辑返回审批阶段，然后通过“我的访问”门户在后续审批过程中利用该阶段。 更多信息请参见： 外部确定使用自定义扩展的访问包审批要求。

一般可用性——在权限管理访问包中支持符合条件的组成员资格和所有权

类型：新功能
服务类别：权利管理
产品功能： 权利管理

组权利管理和 Privileged Identity Management（PIM）之间的这种集成增加了对通过访问包分配符合条件的组成员身份和所有权的支持。 你现在可以通过提供自助访问请求和延期流程，将其整合进组织的榜样，大规模管理这些及时访问分配。 更多信息请参见：通过特 权身份管理分配符合条件的组成员资格和访问包所有权。

全面可用——生命周期工作流程中重新处理失败的用户和工作流

类型：新功能
服务类别： 生命周期工作流
产品功能： 标识治理

生命周期工作流现在支持重新处理工作流，以帮助组织在发现错误或失败时简化工作流的重新处理。 此功能包括重新处理之前的工作流程，包括失败的运行或你可能想再次处理的运行。 客户可以从以下选项中进行选择，以满足其需求：

• 选择要重新处理的特定工作流运行
• 选择工作流运行中哪些用户需要重新处理，例如失败用户或运行中的所有用户

更多信息请参见 “再处理工作流”。

通用可用性 - Groups Purview 敏感性标签支持生命周期工作流

类型：新功能
服务类别： 生命周期工作流
产品功能： 标识治理

客户现在可以在生命周期工作流中查看分配给组和团队的Purview敏感性标签。 在配置管理组或Teams分配的工作流任务时，管理员现在会看到主动分配的敏感性标签，以支持有根据的组选择决策。 这有助于客户实现更强的组织合规。 更多信息请参见 生命周期工作流程中的敏感性标签。

全面可用性——在生命周期工作流程中为非活跃员工和访客触发工作流程

类型：新功能
服务类别： 生命周期工作流
产品功能： 标识治理

生命周期工作流现在允许客户配置自定义工作流，通过基于登录不活跃自动自动作身份生命周期作，主动管理休眠用户账户。 通过检测非活动，工作流程会自动执行预设任务——如发送通知、禁用账户或启动离职程序——当用户超过非活跃阈值时。 管理员可以配置非活跃阈值和范围，确保休眠账户得到高效且一致的处理——减少安全暴露，减少许可浪费，并大规模执行治理策略。 更多信息请参见： 使用生命周期工作流程管理非活跃用户。

Public Preview - Microsoft Entra ID 中的 Passkey profiles

类型：已更改的功能
服务类别：身份验证（登录）
产品功能：用户身份验证

Microsoft Entra ID 现支持基于组的通行密钥（FIDO2）配置，允许不同类型的通行密钥分别向不同用户组推出。 欲了解更多信息，请参阅 Microsoft Entra ID（预览版）中如何启用通行密钥（FIDO2）配置文件。

公开预览 - 云安全组的软删除

类型：新功能
服务类别：组管理
产品功能：标识安全和保护

云安全组的软删除引入了一种安全机制，允许管理员在 30天保留期限内恢复已删除的组。 当云安全组被删除时，它不会立即从目录中移除;相反，它进入软删除状态，保留其成员身份和配置。 此功能有助于防止意外数据丢失，并通过实现快速恢复组而无需手动重建，支持业务连续性。 管理员可以通过 Microsoft Entra 管理中心或 Microsoft Graph API 在保留期间恢复软删除的组。

公开预览 - 管理代理身份的终端用户体验

类型：新功能
服务类别：其他
产品功能：最终用户体验

“管理代理终端用户体验”功能允许您查看并控制您拥有或赞助的代理身份。 使用管理代理功能，可以轻松查看你负责哪些代理、查看其详细信息，并采取措施来启用、禁用或请求访问它们。 了解更多：在终端用户体验中管理代理（预览版）。

公开预览 - 代理条件访问

类型：新功能
服务类别：条件访问
产品功能：标识安全和保护

代理 ID 的条件访问是 Microsoft Entra ID 中的一项新功能，可将条件访问评估和强制实施引入 AI 代理。 此功能将已保护人类用户和应用的相同零信任控件扩展到代理。 条件访问将代理视为一类身份，并以评估人类用户或工作负载身份请求的方式评估其访问请求，但采用了针对代理的逻辑。

公开预览版 - 生命周期工作流中的代理身份发起人生命周期支持

类型：新功能
服务类别： 生命周期工作流
产品功能： 标识治理

管理代理身份赞助者对于代理身份的生命周期治理和访问控制至关重要。 赞助商负责监督代理身份的生命周期和访问权限。 生命周期工作流程现在通过通知赞助商更换角色或离开组织，自动并简化了赞助商生命周期管理。 保持赞助商信息的准确和及时性，确保有效的治理和合规。 更多信息请参见： 生命周期工作流程（预览版）中的代理身份赞助任务。

Public Preview - Microsoft Entra agent registry

类型：新功能
服务类别：其他
产品功能：平台

Microsoft Entra 代理注册表是组织中所有部署代理的集中元数据存储。 随着AI代理越来越多地处理数据检索、编排和自主决策，企业面临着日益增长的安全、合规和治理风险，而缺乏清晰的可视化或控制。 Microsoft Entra代理注册表作为Microsoft Entra代理ID的一部分，通过提供可扩展的仓库解决了这一问题，能够统一地查看Microsoft及非Microsoft生态系统中的所有代理——实现大规模的一致发现、治理和安全协作。 更多信息请参见：什么是 Microsoft Entra 代理注册表？

公开预览——以用户为中心的访问审查，包括断开应用程序

类型：新功能
服务类别： 访问评审
产品功能： 标识治理

该功能使组织能够管理尚未与 Microsoft Entra ID 集成的应用程序的访问审查。 欲了解更多信息，请参见：在目录中包含提供自定义数据的资源，供目录用户访问审查（预览）。

公开预览 - 以用户为中心的访问评测

类型：新功能
服务类别： 访问评审
产品功能： 标识治理

以用户为中心的访问审查（UAR）提供以用户为中心的审核模型，使审核员能够在一个统一视图中查看用户在目录中多个资源的访问权限，从而简化确保在正确时间获得正确访问的流程。 资源包括Entra小组，以及连接和脱离连接（BYOD）应用，为客户提供整合且全面的评测体验。 更多信息请参见：目录访问评审（预览）。

公开预览 - Windows 上 Entra 账户注册页面的新体验

类型：新功能
服务类别： 设备注册与管理
产品功能：用户身份验证

我们正在为Windows上的Entra账户注册流程引入全新的现代化用户体验。 新的用户体验更新以符合 Microsoft 的设计模式，并将体验拆分为两个独立页面用于注册和注册。

我们还在公开预览中引入了一个新的管理员属性，用于控制账户注册流程中的MDM注册选项。 该软件面向希望为其工作或学校账户启用Windows MAM的客户。 新设置控制终端用户在MDM注册流程时的用户体验界面。 更多信息请参见： 为Windows设备设置自动注册。

公开预览版 - Microsoft Entra ID 与 Entra Kerberos 已增加了对仅云端身份的支持

类型：新功能
服务类别：身份验证（登录）
产品功能：用户身份验证

Microsoft Entra ID 与 Entra Kerberos 增加了对仅云端身份的支持，使 Entra 加入的会话主机能够认证并访问云资源，如 Azure 文件共享和 Azure 虚拟桌面，而无需依赖传统的 Active Directory 基础设施。 此功能对于采用仅限云的策略的组织至关重要，因为它消除了域控制器的需求，同时保留企业级安全性、访问控制和加密。 更多信息请参见：仅云端身份（预览）。

公开预览 - Microsoft Entra ID Protection for Agents

类型：新功能
服务类别：标识保护
产品功能：标识安全和保护

随着组织采用、构建和部署自治 AI 代理，监视和保护这些代理的需求变得至关重要。 Microsoft Entra ID 保护通过自动检测和响应使用 Microsoft Entra代理ID 平台的代理存在的基于身份的风险，帮助您保护组织。

公开预览 - Microsoft Entra ID 中的同步通行密钥

类型：新功能
服务类别：身份验证（登录）
产品功能：用户身份验证

Microsoft Entra ID 现在支持存储在本地和第三方通行密钥提供商中的同步通行密钥。 随着这一变化，通行密钥（FIDO2）认证方法策略扩展为支持基于组的配置，支持不同类型通行密钥的独立部署。 有关如何使用此功能的更多信息，请参阅 Microsoft Entra ID（预览版）中如何启用同步通行密钥（FIDO2）

公开预览 - 统一Entra应用画廊

类型：新功能
服务类别： 企业应用
产品功能：访问控制

Microsoft正在通过集成应用风险洞察（Integrated App Risk Insights）增强全球安全访问（GSA），该系统目前处于预览阶段。 

这一新功能将全球安全访问和 Microsoft Entra 应用库——现在包括了来自 Microsoft Defender for Cloud Apps 的应用和风险评分——整合成一个统一且具风险感知的体验。 它允许组织直接在 Microsoft Entra 管理中心内发现、评估并保护所有应用。 

通过这种整合，组织可以实时评估应用风险，并根据风险执行访问政策。 管理员可以在Entra应用画廊中查看每个应用的风险评分、合规数据和配置（单点登录和配置），而GSA则根据应用的风险等级应用条件访问和会话控制。 

客户可以做的事情：

• 通过全球安全访问遥测，发现其环境中的应用，包括非托管或影子IT。 
• 在 Microsoft Entra 应用库中评估风险和合规数据。 
• 在GSA中执行条件访问和会话策略，使用实时风险信号。 

这一整合统一了 Microsoft Entra 生态系统中的应用发现、风险情报和策略执行——减少盲点，简化治理，并加强对每个云应用的保护。 

该体验现已在 Microsoft Entra 管理中心的预览版中提供。 要访问此功能，您需要以下之一的许可证：

• Microsoft Entra Suite 许可证
• Microsoft Entra 互联网接入许可证

若要了解更多信息，请参阅以下文章：

• Microsoft Entra 文档 

• Microsoft Entra 全球安全访问 

• Microsoft Defender for Cloud Apps 概述

公开预览 - GSA云防火墙用于互联网流量的远程网络

类型：新功能
服务类别： 上网
产品功能：网络访问

云防火墙（CFW），也称为下一代防火墙即服务（FWaaS），通过监控和应用网络流量策略，保护GSA客户免受未经授权的出口访问（如互联网网络连接），为分支提供集中管理、可视化和一致的策略。 更多信息请参见：配置全球安全访问云防火墙（预览版）。

公开预览 - Microsoft Copilot Studio 代理的安全网页与 AI 网关

类型：新功能
服务类别： 上网
产品功能：网络访问

当组织采用自治和交互式 AI 代理来执行以前由人类处理的任务时，管理员需要对代理网络活动进行可见性和控制。 适用于代理的全局安全访问为 Microsoft Copilot Studio 代理提供网络安全控制，使你能够将相同的安全策略应用于用于用户的代理。

使用适用于代理的全局安全访问，可以规范代理如何使用知识、工具和作来访问外部资源。 可以将网络安全策略（包括 Web 内容筛选、威胁情报筛选和网络文件筛选）应用于代理流量。 更多信息请参见：了解 Microsoft Copilot Studio 代理的安全网络与 AI 网关（预览版）。

公开预览 - 通过GSA远程网络连接支持互联网流量

类型：新功能
服务类别： 上网
产品功能：网络访问

远程网络连接使分支机构通过IPsec隧道安全、 无客户端 访问Microsoft 365和互联网资源成为可能。 虽然 Microsoft 365 的流量支持已普遍可用，但完整上网功能现已进入公开预览阶段。 支持完整互联网流量的是来自远程网络连接客户（包括我们自己的MSIT）最主要的需求。 更多信息请参见： 如何利用全球安全访问创建远程网络。

正式可用性 - GSA + Netskope ATP 与 DLP 集成

类型：新功能
服务类别： 上网
产品功能：网络访问

在当今不断变化的威胁环境中，组织在保护敏感数据和系统免受网络攻击方面面临挑战。 全球安全接入将Entra互联网接入保护与Netskope的高级威胁防护（ATP）和数据丢失防护（DLP）功能相结合，提供针对恶意软件、零日漏洞和数据泄露的实时保护，并通过统一平台简化管理。 Microsoft的SSE解决方案采用开放平台策略，支持与第三方公司的集成，Netskope是首创。 更多信息请参见： 全球安全访问与Netskope高级威胁防护与数据丢失预防的集成。

公开预览版 - 权限管理基于IRM和IDP风险信号，为风险用户访问包请求引入了额外的审批流程

类型：已更改的功能
服务类别：权利管理
产品功能： 权利管理

权益管理现支持基于风险的审批升级。 当用户请求访问包时，内部风险管理或身份保护部门标记为需要额外审查，请求会自动转交给指定的安全审批者，进行额外审批步骤后才授予访问权限。 有关更多信息，请参阅：

IDP—— 在权限管理（预览版）中配置基于ID保护的访问包请求批准

IRM—— 在权限管理（预览版）中配置基于内部风险管理的访问包请求批准

正式发布 - Microsoft Entra 互联网访问 TLS 检查

类型：已更改的功能
服务类别： 上网
产品功能：网络访问

Microsoft Entra 互联网接入的传输层安全（TLS）检测现已全面可用，提供对加密流量的深度可视化和先进的安全控制。

TLS 检查为用户友好的封锁消息、完整的 URL 过滤、文件策略执行以及 AI 网关的提示检查提供了基础。

组织可以定义灵活的TLS检测策略，指定要检查哪些流量，以及哪些用户或设备策略适用。 自定义规则提供基于目的地FQDN（目标FQDN）或网页类别的细致控制，拦截或绕过流量，而流量日志则提供对匹配策略和规则的详细洞察。 了解更多内容请访问 《什么是传输层安全检测？》。

公开预览 - URL 过滤

类型：新功能
服务类别： 上网
产品功能：网络访问

本次公开预览版允许你配置URL过滤规则，细致地拒绝或允许访问完整URL（包括主机名和完整路径）。 这些规则是现有网页内容过滤策略体系的一部分，该模式通过将策略与安全配置文件与条件访问策略关联，使安全策略能够实现上下文感知。 更多信息请参见： 如何配置全球安全访问网页内容过滤。

2025 年 10 月

规划更改 - 更新以撤销多重身份验证会话

类型：更改计划
服务类别： MFA
产品功能：标识安全和保护

从 2026 年 2 月开始，我们将用 MicrosoftEntra 门户中的“撤销会话”按钮替换当前的“撤销多重身份验证会话”按钮。

旧版“撤销 MFA 会话”作仅适用于每个用户的 MFA 强制实施，这导致了混淆。 为了简化并确保一致的行为，新的“撤销会话”按钮将使所有用户会话（包括 MFA）失效，无论 MFA 是通过条件访问还是按用户策略强制执行。

需要采取行动

管理员应更新工作流和指南，以使用“撤销会话”而不是“撤销 MFA 会话”。 此更改后，将从门户中删除“撤销 MFA 会话”选项。

公共预览版 - 生命周期工作流中的委托工作流管理

类型：新功能
服务类别： 生命周期工作流
产品功能： 标识治理

生命周期工作流现在可以使用管理单元（AU）进行管理，使组织能够将工作流分段，并将管理委托给特定管理员。 此增强功能可确保只有经过授权的管理员可以查看、配置和执行与其范围相关的工作流。 客户能够将工作流与 AU 相关联，将作用域权限分配给委派管理员，并确保工作流仅影响其定义范围内的用户。 有关详细信息，请参阅：委派的工作流管理（预览版）。

公共预览版 - 在 Microsoft Entra 外部 ID 中通过品牌主题进行基于应用的品牌打造

类型：新功能
服务类别：B2C - 用户标识管理
产品功能：B2B/B2C

在 Microsoft Entra 外部 ID （EEID），客户可以创建适用于所有应用的单个租户范围的自定义品牌体验。 我们正在引入品牌“主题”概念，使客户能够针对特定应用程序创建不同的品牌体验。 有关详细信息，请参阅 https://learn.microsoft.com/en-us/entra/external-id/customers/how-to-customize-branding-themes-apps

公共预览版 - 生命周期工作流属性更改触发器中的扩展属性支持

类型：已更改的功能
服务类别： 生命周期工作流
产品功能： 标识治理

生命周期工作流中的“属性更改”触发器现在支持其他属性类型，从而更广泛地检测组织更改。 以前，此触发器仅限于一组核心属性。 通过此更新，可以配置工作流以在以下任何属性发生更改时做出响应：

• 自定义安全属性
• 目录扩展属性
• EmployeeOrgData 属性
• 本地属性 1-15

通过此增强功能，管理员可以更灵活地根据自定义或扩展属性自动执行移动器事件的生命周期流程，从而改进复杂组织结构和混合环境的治理。 有关详细信息，请参阅：在生命周期工作流中使用自定义属性触发器（预览版）。

公共预览版 - 使用用户名/别名登录

类型：新功能
服务类别：B2C - 用户标识管理
产品功能：B2B/B2C

在Microsoft Entra External ID （EEID），具有本地电子邮件+密码凭据的用户可以使用电子邮件地址作为标识符登录。  我们正在添加这些用户使用备用标识符（例如客户/成员 ID）登录的功能，例如保险号、通过图形 API 或Microsoft Entra 管理中心分配的频繁传单号。 有关详细信息，请参阅使用别名或用户名登录（预览版）。

弃用 - Microsoft Entra PIM 的迭代 2 beta API 将停用。 迁移到迭代 3 API。

类型：已弃用
服务类别：特权身份管理
产品功能： 标识治理

介绍

从 2026 年 10 月 28 日起，对 Azure 资源的 Microsoft Entra Privileged Identity Management （PIM） 迭代 2 （beta） API 进行调用的所有应用程序和脚本都将失败，Microsoft Entra 角色和组将失败。

这将如何影响组织

2026 年 10 月 28 日之后，调用 Microsoft Entra PIM 迭代 2（beta） API 终结点的任何应用程序或脚本都将失败。 这些调用将不再返回数据，这可能会中断依赖于这些终结点的工作流或集成。 这些 API 已在 beta 版中发布，即将停用，迭代 3 已正式发布（GA）API，可提供改进的可靠性，并提供更广泛的方案支持。

准备需要执行的作

强烈建议迁移到正式版 的迭代 3 （GA） API。 

• 尽快开始迁移规划和测试。
• 使用迭代 2 API 停止任何新开发。
• 查看有关迭代 3 API 的文档以确保兼容性。

了解更多信息：

• Privileged Identity management 中的 API 概念 - Microsoft Entra ID 治理 |Microsoft Learn
• Privileged Identity Management 迭代 2 API
• 从 PIM 迭代 2 API 迁移到 PIM 迭代 3 API

公共预览版 - 条件访问策略和命名位置的软删除和还原

类型：新功能
服务类别：条件访问
产品功能：标识安全和保护

我们很高兴地宣布Microsoft Entra 中条件访问（CA）策略和命名位置的软删除和还原公共预览 版。 此新功能将经过验证的软删除模型扩展到 跨 Microsoft Graph API（beta 版）和 Microsoft Entra 管理中心的关键安全配置，帮助管理员快速从意外或恶意删除中恢复，并增强整体安全态势。

使用此功能，管理员可以：

• 在 30 天内将已删除的项目还原到其确切的先前状态
• 在还原之前查看已删除的项目
• 根据需要永久删除

已跨 Microsoft Entra（在过去 30 天内还原的 7M+ 对象）大规模证明软删除。 将其引入 CA 策略和命名位置可确保快速灾难恢复、最大限度地减少停机时间和维护安全完整性。

正式发布 - 可在“我的访问”中向用户显示建议的访问包

类型：新功能
服务类别：权利管理
产品功能： 权利管理

在“我的访问权限”中，Microsoft Entra ID 治理用户可以在“我的访问权限”中看到建议的访问包精选列表。 此功能允许用户根据对等的访问包和以前的分配快速查看与其最相关的访问包，而无需滚动浏览其所有可用的访问包。

建议的访问包列表是通过查找与用户（经理、直接下属、组织、团队成员）相关的人员，并基于用户同事拥有的访问包来推荐的。 建议用户访问以前分配给他们的访问包。

建议管理员通过此设置为建议的访问包启用基于对等的见解。 有关详细信息，请参阅： “我的访问”中建议的访问包

正式发布 - 将外部用户转换为内部成员

类型：新功能
服务类别： 用户管理
产品功能： 用户管理

通过外部用户转换，客户无需删除并新建用户对象即可将外部用户转换为内部成员。 维护相同的基础对象可确保用户的帐户和对资源的访问不会中断，并且其活动历史记录在与主机组织的关系发生更改时保持不变。 

外部到内部用户转换功能还包括转换本地同步用户。

正式发布 - UserAuthenticationMethod API 的粒度、Least-Privileged 权限

类型：新功能
服务类别： MS Graph
产品功能：开发人员体验

总结

我们将在 Microsoft Entra ID 中引入 UserAuthenticationMethod API 的新粒度权限。 此更新使组织能够在管理身份验证方法时应用最低特权原则，同时支持安全性和运营效率。

新增功能

• 新的每方法权限： 每个身份验证方法的精细权限（例如密码、Microsoft验证器、电话、电子邮件、临时访问通行证、Passkey、Windows Hello 企业版、QR+PIN 等）。
• 只读策略权限： 新权限允许对身份验证方法策略进行只读访问，从而提高角色分离和可审核性。

有关详细信息，请参阅 Microsoft Graph 权限参考 - Microsoft Graph |Microsoft Learn

公共预览版 - 云托管远程邮箱

类型：新功能
服务类别： 用户管理
产品功能：Microsoft Entra Cloud Sync

对象级别的“颁发机构”（SOA）允许管理员将从 Active Directory（AD）同步的特定用户转换为Microsoft Entra ID 转换为云可编辑的对象，这些对象不再从 AD 同步，并像最初在云中创建一样。 此功能支持逐步迁移过程，减少对 AD 的依赖项，同时旨在最大程度地减少用户和作影响。 Microsoft Entra Connect Sync 和 Cloud Sync 都识别这些对象的 SOA 开关。 公共预览版中当前提供了将同步用户的 SOA 从 AD 切换到 Microsoft Entra ID 的选项。 有关详细信息，请参阅：采用云优先状态：将用户授权源（SOA）传输到云（预览版）。

公共预览版 - 预提取 Workday 终止数据以自定义帐户禁用逻辑

类型： 固定
服务类别：预配
产品功能：导入至 Microsoft Entra ID

此 Workday 连接器更新解决了 APAC 和 ANZ 区域中的辅助角色观察到的终止处理延迟。 管理员现在可以启用终止 lookahead 设置来预提取数据，并为 Microsoft Entra ID 和本地 Active Directory 中的帐户定制取消预配逻辑。 有关详细信息，请参阅：配置 Workday 终止外观（预览版）。

正式发布 - 现已提供将已同步本地 AD 组的颁发机构源转换为云组的功能

类型：新功能
服务类别：组管理
产品功能：Microsoft Entra Cloud Sync

组 SOA 功能允许组织使用 Connect Sync 或 Cloud Sync 将 Active Directory 组颁发机构转移到 Microsoft Entra ID，从而将应用程序访问治理从本地移动到云。通过分阶段迁移，管理员可以逐渐减少 AD 依赖项，并最大程度地减少中断。 Microsoft Entra ID Governance 管理链接到安全组的云和本地应用的访问，并且任一同步客户端的客户现在可以使用此功能。 有关详细信息，请参阅： 组授权来源。

更改计划 - Authenticator 应用中的越狱检测

类型：更改计划
服务类别： Microsoft Authenticator 应用
产品功能：标识安全和保护

从 2026 年 2 月开始，我们将介绍 Authenticator 应用中Microsoft Entra 凭据的越狱/根检测。 此更新通过防止 Microsoft Entra 凭据在越狱或根设备上运行来增强安全性。 将擦除此类设备上的所有现有凭据以保护组织。

默认情况下，此功能是安全的，无需管理员配置或控制。 此更改适用于 iOS 和 Android。此更改不适用于个人或第三方帐户。

需要执行的作： 通知最终用户此即将进行的更改。 在已越狱或已根的设备上，Microsoft Entra 帐户将变得不可用。

有关详细信息，请参阅： 关于 Microsoft Authenticator。

公共预览版 - AVD 和 W365 的全局安全访问 B2B 支持

类型：新功能
服务类别：B2B
产品功能：网络访问

使用 W365 和 AVD 的全局安全访问（GSA）的来宾访问支持现已公开预览版。 此 B2B 支持使用 GSA 安全访问外部标识，例如使用 Windows 云的来宾、合作伙伴、承包商 - Azure 虚拟桌面（AVD）和 Windows 365（W365）。 此功能使来自外国租户的第三方用户能够安全地访问公司租户（也称为资源租户）中的资源。 作为资源租户管理员，可以启用专用访问、Internet 访问，并将 365 个流量Microsoft到这些第三方用户。

有关详细信息，请参阅： 了解全局安全访问 B2B 来宾访问 （预览版） - 全局安全访问 |Microsoft Learn。

公共预览版 - iOS 客户端的全局安全访问 Internet 配置文件支持

类型：新功能
服务类别： 上网
产品功能：网络访问

现在支持使用全局安全访问的移动设备上的用户的 Kerberos SSO 体验。 在 iOS 上，创建并部署单点登录应用扩展配置文件，详见： 单点登录应用扩展。 在 Android 上。 需要安装和配置第三方 SSO 客户端。

2025 年 9 月

公共预览版 - 将已同步 Active Directory 用户的授权源转换为云

类型：新功能
服务类别： 用户管理
产品功能： Microsoft Entra Connect 和 Microsoft Entra Cloud Sync

对象级别的“颁发机构”（SOA）允许管理员将从 Active Directory（AD）同步的特定用户转换为Microsoft Entra ID 转换为云可编辑的对象，这些对象不再从 AD 同步，并像最初在云中创建一样。 此功能支持逐步迁移过程，减少对 AD 的依赖项，同时旨在最大程度地减少用户和作影响。 Microsoft Entra Connect Sync 和 Cloud Sync 都识别这些对象的 SOA 开关。 公共预览版中当前提供了将同步用户的 SOA 从 AD 切换到 Microsoft Entra ID 的选项。 有关详细信息，请参阅：采用云优先状态：将用户授权源（SOA）传输到云（预览版）。

公共预览版 - 在 Microsoft Entra 外部 ID 中的密码重置流中使用 SMS 作为验证方法

类型：新功能
服务类别：B2C - 用户标识管理
产品功能：B2B/B2C

我们很高兴在 Microsoft Entra 外部 ID 中宣布自助密码重置（SSPR）的短信公共预览版。 此更改在 10 月底之前积极向生产中的所有租户推出。 

新增功能

• 密码重置的短信身份验证： 最终用户现在可以使用 “忘记密码” 或自助密码重置流通过短信验证其身份。 以前，仅支持电子邮件一次性密码。

• 增强的安全性： 如果用户有两种或更多注册的密码重置方法，则现在需要使用至少两种方法来验证其身份，并添加额外的保护层。

• 欺诈保护： 通过与电话信誉平台的内置集成，实时处理电话活动以识别风险。 每个请求都会返回“允许”、“阻止”或“质询”决策，以帮助防范电话欺诈行为。

• 计费： 密码重置短信是附加功能的一部分，具有基于位置/区域的分层定价。 每个短信的费用包括欺诈保护服务。 有关详细信息，请参阅： 按国家/地区排序的短信定价层。

公共预览版 - Microsoft Entra 中的Microsoft安全 Copilot 访问评审代理

类型：新功能
服务类别： 访问评审
产品功能： 标识治理

告别耗时的研究和紧急决策的不确定性。 借助 Microsoft Entra 中Microsoft安全 Copilot 访问评审代理的公共预览版，我们将 AI 的强大功能直接引入访问治理的核心。

代理通过自动收集见解并生成建议来帮助审阅者做出快速、准确的访问决策，从而为审阅者工作。 审阅者将引导你完成Microsoft Teams 内的自然对话流，以便他们可以自信和清晰地进行最终通话。

正式发布 - 跨租户同步（跨云）

类型：新功能
服务类别：预配
产品功能： 协作

跨Microsoft云自动创建、更新和删除租户中的用户。 支持以下组合：

• 商业 -> US Gov
• US Gov -> 商业
• 商业 -> 中国

有关详细信息，请参阅： 配置跨租户同步

正式发布 - 专用的第一方资源应用程序，使 AD 能够使用 Microsoft Entra Connect 同步或云同步Microsoft Entra ID 同步

类型：更改计划
服务类别： Microsoft Entra Connect
产品功能： Microsoft Entra Connect

作为持续安全强化的一部分，Microsoft部署了专用的第一方应用程序，以启用 Active Directory 与 Microsoft Entra ID 之间的同步。 此新应用程序将作为名为“Microsoft Entra AD Synchronization Service”的第一方服务主体（应用程序 ID：6bf85cfa-ac8a-4be5-b5de-425a0d0dc0dc016）显示在 Microsoft Entra 管理中心内的企业应用程序体验中。 此应用程序对于通过 Microsoft Entra Connect 继续执行本地作以Microsoft Entra ID 同步功能至关重要。

Microsoft Entra Connect 现在使用此第一方应用程序在 Active Directory 和 Microsoft Entra ID 之间同步。 客户需要在 2026 年 9 月前升级到版本 2.5.79.0 或更高版本。 

我们自动升级受支持的客户。 对于希望自动升级的客户， 请确保已配置自动升级。  

此更改Microsoft Entra Connect 同步 .msi 安装文件仅在 Microsoft Entra Connect 下的 Microsoft Entra 管理中心提供。

有关可用版本的更多详细信息，请查看我们的 版本历史记录页 。

公共预览版 - 应用管理策略门户体验

类型：新功能
服务类别： 企业应用
产品功能： 目录

应用管理策略允许管理员通过设置有关如何配置组织中应用程序的规则来提高组织的安全性。 他们可以使用它们来阻止不安全的配置，如密码凭据。 这些策略已通过 Microsoft 图形 API 提供，但现在可以在企业应用程序体验下使用 Microsoft Entra 管理中心进行配置。

详细了解 如何配置应用管理策略。

公共预览版 - 在“我的访问”中委托审批

类型：新功能
服务类别：权利管理
产品功能： 权利管理

用户现在可以在“我的访问”中委派其访问包审批。 审批者可以分配另一个人来代表他们响应访问包审批请求。 原始审批者仍然可以在委派期间响应其批准。

有关详细信息，请参阅： 在“我的访问”中委托审批。

公共预览版 - 在生命周期工作流中重新处理失败的用户和工作流

类型：新功能
服务类别： 生命周期工作流
产品功能： 标识治理

生命周期工作流现在支持重新处理工作流，以帮助组织在发现错误或失败时简化工作流的重新处理。 此功能包括重新处理以前运行的工作流的功能，包括失败的运行，或只处理可能需要再次处理的运行。 客户可以从以下选项中进行选择，以满足其需求：

• 选择要重新处理的特定工作流运行
• 选择要重新处理的工作流运行中的哪些用户。 例如失败的用户或运行中的所有用户

有关详细信息，请参阅： 重新处理工作流

公共预览版 - 在生命周期工作流中为非活动员工和来宾触发工作流

类型：新功能
服务类别： 生命周期工作流
产品功能： 标识治理

生命周期工作流现在使客户能够配置自定义工作流，通过基于登录不活动自动执行标识生命周期作来主动管理休眠用户帐户。 检测不活动后，工作流会自动为超出非活动阈值的用户执行预定义的任务，例如发送非活动通知、禁用帐户或启动卸载。 管理员可以配置非活动阈值和范围，确保有效且一致地处理休眠帐户 - 减少安全暴露、减少许可证浪费以及大规模强制实施治理策略。

有关详细信息，请参阅：使用生命周期工作流管理非活动用户（预览版）。

停用 - Microsoft MSAL 建议 API 的身份验证库

类型：已弃用
服务类别：其他
产品功能：开发人员体验

我们将于 2025 年 12 月 15 日停用 ADAL 到 MSAL 建议 API。

若要继续监视身份验证库使用情况，客户可以通过 Microsoft Graph API 手动查询登录日志。 相关数据在 authenticationProcessingDetails 键 "Azure AD App Authentication Library"下的字段中可用。

有关指南，请参阅：

• 建议：从Microsoft身份验证库迁移到 MSAL
• 使用 Microsoft 图形 API 分析登录

无需执行任何作即可禁用 API。

弃用 - Microsoft Entra 管理中心自动捕获应用的登录字段。

类型：已弃用
服务类别：我的应用
产品功能：平台

Microsoft Entra 管理中心中的“自动捕获应用登录字段”选项已停用。 使用此功能配置的现有应用将继续工作，但它将不再可用于新配置。 今后，管理员应使用“捕获应用的登录字段”。 这需要适用于 Microsoft Edge 和 Chrome 的 MyApps Secure Sign-In 扩展。

有关详细信息，请参阅： 捕获应用的登录字段 

若要了解无密码策略，请参阅：无密码在此处和大规模。

公共预览版 - iOS 客户端的全局安全访问 Internet 配置文件支持

类型：新功能
服务类别： 上网
产品功能：网络访问

我们很高兴地宣布 iOS 应用的 Internet 访问支持。 此功能通过基于标识的安全 Web 网关（SWG）保护对 Internet 和 SaaS 应用的访问，从而阻止来自 iPhone 和 iPad 的威胁、不安全内容和恶意流量。

移动平台上的全局安全访问客户端无需新的代理安装/部署即可安全访问其资源，并使用现有的 MDE（Microsoft Defender for Endpoint）通过 Microsoft SSE 路由流量，以便Microsoft 365、Internet 访问和专用访问。

有关详细信息，请参阅：适用于 iOS 的全局安全访问客户端（预览版）。

公共预览版 - 生命周期工作流自定义电子邮件通知中的基本 HTML 支持

类型：新功能
服务类别： 生命周期工作流
产品功能： 标识治理

现在，客户可以使用基本 HTML 元素进一步自定义其生命周期工作流电子邮件通知，以个性化或强调特定信息。 现在可以自定义电子邮件通知，包括使用 HTML 超链接和基本文本格式（如粗体、斜体和下划线）发送链接。 有关详细信息，请参阅： 自定义从工作流任务发送的电子邮件。

公共预览版 - Microsoft Entra Internet 访问自定义块页

类型：新功能
服务类别： Microsoft Entra Internet Access 产品功能： 网络访问

当管理员配置策略来阻止用户访问 Global Secure Access（GSA）中的风险、NSFW 或未经批准的网站或应用时，用户会收到一条带有 Microsoft Entra Internet Access 的明确 HTML 错误消息。 许多管理员表示有兴趣自定义此体验以符合公司风格指南，包括对使用条款的引用、向 IT 工作流添加超链接等。 全局安全访问现在支持 Internet Access 的自定义块页。 通过Microsoft图形 API，管理员可以：

• 配置 GSA 块页的租户范围的正文文本。
• 使用有限 markdown 添加超链接以引用资源，例如使用条款、ServiceNow/IT 票证系统或 MyAccess，以便进行标识治理工作流集成。

有关详细信息，请参阅：如何自定义全局安全访问块页（预览版）。

2025 年 8 月

正式发布 - Microsoft Entra ID 保护：改进检测质量

类型：新功能
服务类别：标识保护
产品功能：标识安全和保护

改进了Microsoft Entra ID Protection 检测，通过提高精度并减少检测噪音来提高检测质量。 本季度的改进适用于以下检测：

• 异常令牌
• 匿名 IP 地址
• 不可能旅行
• 密码喷射
• 不熟悉的登录属性

此外，还进行了更改，以便更好地将风险检测调整为无密码方案。

公共预览版 - 生命周期工作流任务现在支持设置访问包分配过期

类型：新功能
服务类别： 生命周期工作流
产品功能： 标识治理

客户现在可以配置生命周期工作流中的所有访问包任务，以在员工离开组织后的指定天数后自动使访问包分配过期。 有关详细信息，请参阅： 删除用户的所有访问包分配。

规划更改 - 我的帐户中的新最终用户主页

类型：新功能
服务类别：我的配置文件/帐户
产品功能：最终用户体验

到 2025 年 9 月底，主页 https://myaccount.microsoft.com 将更新，以提供更注重任务的体验。 用户会看到挂起的作，例如续订即将过期的组、批准访问包请求，以及直接在主页上设置 MFA。 指向应用、组、访问包和登录详细信息的快速链接将更易于查找和使用。 此更改旨在简化帐户管理并帮助用户随时了解访问和安全任务。

规划更改 - 请求者可以查看其访问包审批者在“我的访问”中是谁

类型：新功能
服务类别：权利管理
产品功能： 权利管理

到 2025 年 9 月底，请求者将能够直接在“我的访问”门户中查看审批者挂起的访问包请求的名称和电子邮件地址。 此功能可提高透明度，并帮助简化请求者和审批者之间的通信。 在租户级别，默认情况下为所有成员（非来宾）启用审批者可见性，并且可以通过Microsoft Entra 管理中心中的权利管理设置进行控制。 在访问包级别，管理员和访问包所有者可以配置审批者可见性，并选择在访问包策略中的高级请求设置下替代租户级别设置。

公共预览版 - 外部确定使用自定义扩展的访问包的审批要求

类型：新功能
服务类别：权利管理
产品功能： 权利管理

在权利管理中，可以直接分配访问包分配请求的审批者，也可以动态确定。 权利管理原生支持动态确定审批者，例如请求者经理、其二级经理或来自连接的组织的发起人。 通过此功能的引入，现在可以使用自定义扩展来标注 Azure 逻辑应用，并根据组织特定的业务逻辑动态确定每个访问包分配请求的审批要求。 访问包分配请求过程将暂停，直到 Azure 逻辑应用中托管的业务逻辑返回审批阶段，然后通过“我的访问”门户在后续审批过程中利用该阶段。

有关详细信息，请参阅：外部使用自定义扩展确定访问包的审批要求（预览版）。

公共预览版 - 支持权利管理访问包中符合条件的组成员身份和所有权

类型：新功能
服务类别：权利管理
产品功能： 权利管理

组权利管理和 Privileged Identity Management（PIM）之间的这种集成增加了对通过访问包分配符合条件的组成员身份和所有权的支持。 现在，可以通过提供自助服务访问请求和扩展过程来管理这些实时受保护的访问分配，并可以将它们集成到组织的角色模型中。 有关详细信息，请参阅： 通过组的 Privileged Identity Management 在访问包中分配符合条件的组成员身份和所有权（预览版）

正式发布 - 具有 Microsoft Entra ID 的 macOS 平台 SSO

类型：新功能
服务类别：身份验证（登录）
产品功能： SSO

今天，我们宣布适用于 macOS 的平台 SSO 已正式发布，Microsoft Entra ID。 平台SSO 是针对 Apple 设备的 Microsoft Enterprise SSO 插件的一项增强功能，使 Mac 设备的使用和管理比以往更加无缝和安全。 在公共预览版开始时，平台 SSO 将适用于 Microsoft Intune。 其他移动设备管理（MDM）提供商即将推出。 有关支持和可用性的详细信息，请联系 MDM 提供商。 有关详细信息，请参见:

• macOS 平台单一登录概述
• 使用 Microsoft Intune 的 macOS 设备的平台 SSO 配置指南
• 配置 macOS 平台 SSO （PSSO） 以满足 NIST SP 800-63 和 EO 14028 要求
• 了解主刷新令牌 （PRT）

正式发布 - 在 Microsoft Entra 外部 ID 中启用用于登录、注册和注销体验的本机身份验证 JavaScript SDK。

类型：新功能
服务类别：B2C - 用户标识管理
产品功能：开发人员体验

使用新的本机身份验证 JavaScript SDK 在 Microsoft Entra External ID 中为单页应用程序生成登录、注册和注销体验。

正式发布 - 适用于 FLW 的 QR + PIN 简单身份验证方法

类型：新功能
服务类别：身份验证（登录）
产品功能：用户身份验证

Microsoft Entra ID 中的 QR 码身份验证现已正式发布，为一线工作人员提供了使用 QR 码和个人 PIN 登录的快速安全方法。 可以通过 Microsoft Entra ID、My Staff 或 Microsoft Graph API 预配此身份验证方法。 用户可以访问移动设备（Android、iOS、iPadOS） https://login.microsoftonline.com登录，方法是：选择“登录”选项 > “登录到组织 > ”使用 QR 码登录“，这是适用于所有应用的基于 Web 的登录选项。 此外，某些应用程序（包括 Microsoft Teams、MHS、Bluefletch 和 Jamf）支持其登录页上的专用“使用 QR 码登录”按钮，以便获得无缝体验。 有关详细信息，请参见:

• Microsoft Entra ID 中的身份验证方法 - QR 码身份验证方法
• 如何在 Microsoft Entra ID 中启用 QR 码身份验证方法

公共预览版 - 新的批量作功能

类型：新功能
服务类别：目录管理
产品功能：最终用户体验

Microsoft Entra ID 中的新批量作为管理组、设备和用户导出提供了增强的体验，支持创建、更新和删除等批量作。 这种简化的服务可提高性能，减少超时，并消除缩放限制，尤其是大型租户。

注意：目前，新的批量作服务仅支持组、设备和用户导出。 即将推出对其他实体（如 企业应用程序）的支持。 有关详细信息，请参阅： Microsoft Entra ID（预览版）中的批量作。

2025 年 7 月

正式发布 - Microsoft Entra 外部 ID：自定义第三方电子邮件 OTP 提供程序

类型：新功能
服务类别：B2C - 用户标识管理
产品功能： 第三方集成

使用第三方电子邮件 OTP 提供程序为 Microsoft Entra External ID 自定义登录和注册流的电子邮件 OTP 通知。 新的“自定义电子邮件 OTP 提供程序”自定义身份验证扩展允许你使用 Azure 通信服务（ACS）或第三方提供商（如 SendGrid）通过最终用户身份验证体验保持品牌一致性。 有关详细信息，请参阅： 为一次性密码发送事件配置自定义电子邮件提供程序。

正式发布 - Microsoft Entra Connect 同步上的基于应用程序的身份验证

类型：新功能
服务类别： Microsoft Entra Connect
产品功能： Microsoft Entra Connect

Application-Based 身份验证（ABA）功能现在是 Microsoft Entra Connect 的默认身份验证方法。 它使 Microsoft Entra Connect 能够安全地使用 Microsoft Entra ID 进行身份验证，而无需依赖本地存储的密码。 此功能使用 Microsoft Entra ID 应用程序标识和 Oauth 2.0 客户端凭据流通过 Microsoft Entra ID 进行身份验证。 Microsoft Entra Connect 会自动在客户的 Entra ID 租户中创建单租户第三方应用程序，将证书注册为应用程序的凭据，并授予目录同步所需的权限。

此更改的 Microsoft Entra Connect 同步 .msi 安装文件仅在 Microsoft Entra Connect 下的 Microsoft Entra Admin Center 上提供。

有关更改的更多详细信息，请查看我们的 版本历史记录页 。

正式发布 - Microsoft Entra 中的安全 Copilot

类型：新功能
服务类别： 副驾驶员
产品功能：标识安全和保护

现在可以在 Microsoft Entra 中与 Copilot 进行交互，以调查威胁、管理员工和来宾的标识生命周期，并跨用户、应用和访问快速采取措施。 所有这些作都通过自然语言工作，无需编写自定义查询或脚本。 有关详细信息，请参阅： Microsoft Entra 中的 Copilot。

正式发布 - Microsoft Entra 中的条件访问优化代理

类型：新功能
服务类别：条件访问
产品功能：标识安全和保护

Microsoft Entra 中的条件访问优化代理监视现有策略未涵盖的新用户或应用，识别必要的更新以缩小安全漏洞，并建议对标识团队进行快速修复，以便通过单个选择进行应用。 有关详细信息，请参阅： 使用Microsoft安全 Copilot Microsoft Entra 条件访问优化代理。

正式发布 - 条件访问代理支持禁用 Report-Only 策略的代理创建

类型：新功能
服务类别：条件访问
产品功能：标识安全和保护

条件访问优化代理现在支持一个新设置，允许管理员配置代理是否可以或无法自主创建仅报告模式策略。 如果关闭，代理只会在管理员批准后创建策略。 有关详细信息，请参阅： 使用Microsoft安全 Copilot Microsoft Entra 条件访问优化代理。

正式发布 - 用于撤销刷新令牌的新生命周期工作流任务

类型：新功能
服务类别： 生命周期工作流
产品功能： 标识治理

客户现在可以配置生命周期工作流任务，以在员工内部移动或离开组织时自动撤销访问令牌。 有关详细信息，请参阅： 撤销用户的所有刷新令牌。

正式发布 - Microsoft Entra Connect Sync 中的审核管理员事件

类型：新功能
服务类别：预配
产品功能： Microsoft Entra Connect

管理员审核日志记录功能使组织能够监视全局管理员或混合管理员对 Microsoft Entra Connect 同步配置所做的更改。 它捕获通过Microsoft Entra Connect 同步向导、PowerShell 或同步规则编辑器（包括对同步规则的更改、身份验证设置（例如启用或禁用功能）和联合设置执行的作。 这些事件记录在 Windows 事件查看器中的专用Microsoft Entra Connect Sync 审核日志通道中，从而更深入地了解标识基础结构更改。 此功能支持故障排除、作责任和法规合规性。

此更改的 Microsoft Entra Connect 同步 .msi 安装文件仅在 Microsoft Entra Connect 窗格中的 Microsoft Entra Admin Center 上可用。

有关更改的更多详细信息，请查看我们的 版本历史记录页 。

正式发布 - Microsoft Graph 资源的 Bicep 模板

类型：新功能
服务类别： MS Graph
产品功能：开发人员体验

使用适用于 Microsoft Graph 资源的 Bicep 模板，可以使用 Bicep 模板文件以及 Azure 资源创作、部署和管理一组有限的Microsoft图形资源（主要是Microsoft Entra ID 资源）。

• Azure 客户可以使用熟悉的工具来部署 Azure 资源和他们依赖的 Microsoft Entra 资源，例如应用程序和服务主体，使用基础结构即代码（IaC）和 DevOps 实践。
• 它还为现有 Microsoft Entra 客户打开了大门，以便他们使用 Bicep 模板和 IaC 实践部署和管理其租户的 Microsoft Entra 资源。

有关详细信息，请参阅： Microsoft Graph 的 Bicep 模板。

正式发布 - 条件访问 What If API

类型：新功能
服务类别：条件访问
产品功能：访问控制

条件访问 What If API 可用于以编程方式测试策略对用户和工作负荷标识登录的影响。

正式发布 - 企业应用 SSO 通过预先集成的库应用或客户 SAML 应用

类型：已更改的功能
服务类别：B2C - 用户标识管理
产品功能： SSO

企业应用 SSO 和基于 SAML 的单一 Sign-On（SSO）和具有用户预配流的库应用现已正式发布（正式版）。 这些功能有助于简化安全访问，并在整个企业应用程序中自动执行用户生命周期管理。 有关详细信息，请参见:

• 添加企业应用程序
• 在外部租户中注册 SAML 应用
• 外部租户上支持的功能

公共预览版 - 将已同步 Active Directory 组的颁发机构源转换为云

类型：新功能
服务类别：组管理
产品功能： Microsoft Entra Connect 和 Microsoft Entra Cloud Sync

对象级别的颁发机构（SOA）允许管理员将从 Active Directory（AD）同步的特定组转换为云可编辑对象 Microsoft，这些对象不再从 AD 同步，并像最初在云中创建一样。 此功能支持逐步迁移过程，减少对 AD 的依赖项，同时旨在最大程度地减少用户和作影响。 Entra Connect Sync 和 Cloud Sync 都识别这些对象的 SOA 开关。 此外，管理员可以通过使用 Microsoft Entra Governance 从云中管理与 AD 安全组关联的基于 Kerberos 的应用程序，方法是将这些 SOA 转换的安全组（用于组预配到 AD）。 公共预览版中当前提供了将同步组的 SOA 从 AD 切换到 Microsoft Entra ID 的选项。 有关详细信息，请参阅：采用云优先状态：将颁发机构组源转换为云（预览版）。

正式发布 - 受限管理管理单元

类型：新功能
服务类别： RBAC
产品功能：身份验证/访问委派

通过受限的管理管理单元，可以轻松地将对用户、组或设备的访问权限限制为指定的特定用户或应用程序。 租户级管理员（包括全局管理员）无法修改受限管理管理单元的成员，除非它们被显式分配为管理单元的角色。 这样可以轻松锁定租户中的一组敏感组或用户帐户，而无需删除租户级角色分配。 有关详细信息，请参阅： Microsoft Entra ID 中受限的管理管理单元。

2025 年 6 月

正式发布 - 更新到 Microsoft Entra 工作或学校默认背景图像

类型：已更改的功能
服务类别： 身份验证（登录）
产品功能：用户身份验证

从 2025 年 9 月 29 日起，我们将更改Microsoft Entra 工作或学校身份验证屏幕的默认背景图像。 此新背景旨在帮助用户专注于登录其帐户、提高工作效率以及尽量减少干扰。 为此，我们旨在确保整个Microsoft身份验证流中的视觉一致性和简洁、简化的用户体验-与Microsoft的现代化 Fluent 设计语言保持一致。 当我们的体验看起来和感觉一致时，它为用户提供了他们所了解和信任的熟悉体验。

有什么变化？

此更新只是视觉用户界面刷新，无需对功能进行更改。 此更改只会影响 公司品牌 不适用或用户看到 默认背景图像的屏幕。 建议更新包含屏幕截图并通知技术支持的任何文档。 如果已在租户的公司品牌中配置了自定义背景图像，则不会对用户进行更改。

其他详细信息：

1. 未配置自定义后台的租户：
   a. 没有自定义背景的租户将在每个身份验证屏幕上看到更改。
   b. 若要更改此背景并使用自定义背景，请配置 公司品牌。

2. 配置了自定义后台的租户：
   a. 配置了自定义后台的租户将只看到 URL 没有指定租户 ID 参数的更改（例如，login.microsoftonline.com 直接 没有 域提示或自定义 URL）。
   b. 对于所有其他屏幕，配置了自定义背景的租户 不会对所有客户端的体验有任何更改 。

3. Entra 外部 ID 租户不会在所有客户端上看到对其体验的任何更改

您需要做什么？

无需执行任何操作。 从 2025 年 9 月 29 日起，将自动应用更新。

正式发布 - US Gov 云中的 API 驱动的预配

类型：新功能
服务类别：预配
产品功能： 标识治理

API 驱动的预配现已在 US Gov 云中正式发布。 借助此功能，US Gov 云中的客户现在可以将来自任何权威源的标识数据引入到 Microsoft Entra ID 和本地 Active Directory。 有关详细信息，请参阅： 使用 Graph 资源管理器启动 API 驱动的入站预配。

已弃用 - 条件访问概述监视选项卡停用

类型：已弃用
服务类别：条件访问
产品功能：标识安全和保护

从 7 月 18 日起，我们将从 7 月 18 日开始停用Microsoft Entra Admin Center 中的“条件访问概述监视”选项卡，并在 8 月 1 日前完成。 在此日期之后，管理员将不再有权访问此选项卡。我们鼓励客户过渡到条件访问 Per-Policy 报告和见解和报告仪表板，这两者都更可靠，提供更高的准确性，并且已收到来自客户的明显更好的反馈。 详细了解 Per-Policy Reporting 和 Insights 和 Reporting。

正式发布 - 在 Microsoft Entra 中使用 Microsoft Security CoPilot 管理生命周期工作流

类型：新功能
服务类别： 生命周期工作流
产品功能： 标识治理

现在，客户可以在 Microsoft Entra 中使用自然语言管理和自定义生命周期工作流Microsoft Security CoPilot。 我们的生命周期工作流 （LCW） Copilot 解决方案提供了分步指导，用于使用自然语言执行关键工作流配置和执行任务。 它允许客户快速获取丰富的见解，以帮助监视和排查工作流的合规性问题。 有关详细信息，请参阅： 使用Microsoft安全 Copilot 管理员工生命周期。

正式发布 - 从 HR 源预配自定义安全属性

类型：新功能
服务类别：预配
产品功能： 标识治理

利用此功能，客户可以从权威 HR 源，在 Microsoft Entra ID 中自动预配“自定义安全属性”。 支持的权威来源：Workday、SAP SuccessFactors 和任何使用 API 驱动的预配集成的 HR 系统。 有关详细信息，请参阅： 从 HR 源预配自定义安全属性。

正式发布 - 条件访问受众报告

类型：新功能
服务类别：条件访问
产品功能：访问控制

登录日志中的条件访问访问群体报告允许管理员查看条件访问评估的所有资源，作为登录事件的一部分。 有关详细信息，请参阅： 受众报告。

公共预览版 - 跨租户同步（跨云）

类型：新功能
服务类别：预配
产品功能： 标识治理

跨Microsoft云自动创建、更新和删除租户中的用户。 支持以下组合：

• 商业 -> US Gov
• US Gov -> 商业
• 商业 -> 中国

有关详细信息，请参阅： 配置跨租户同步

正式发布 - 所有Microsoft应用的条件访问支持

类型：新功能
服务类别：条件访问
产品功能：标识安全和保护

只要服务主体出现在其租户中，管理员可以将条件访问策略分配给Microsoft的所有云应用。 有关详细信息，请参阅： Microsoft云应用程序。

正式发布 - Two-Way Microsoft Entra 域服务的林信任

类型：新功能
服务类别： Microsoft Entra 域服务
产品功能： Microsoft Entra 域服务

Two-Way Microsoft Entra 域服务的林信任现已正式发布。 此功能允许组织在 Microsoft Entra 域服务域与本地 Active Directory（AD）域之间建立信任关系。 现在，林信任可以按三个方向进行配置：单向出站（如前所述）、单向入站和双向，具体取决于组织需求。 林信任可用于在混合环境中跨受信任域启用资源访问。 此功能为如何使用 Microsoft Entra 域服务管理混合标识环境提供了更多的控制和灵活性。 信任需要企业或高级 SKU 许可证。 有关详细信息，请参阅：信任关系在 Active Directory 中如何工作。

正式发布 - 证书颁发机构（CA）信任存储

类型：新功能
服务类别： 身份验证（登录）
产品功能：用户身份验证

基于 PKI 的新 CA 信任存储将旧版平面列表模型替换为更可靠的结构，并且对大小或 CA 数量没有限制。 它支持对旧存储进行批量 PKI 上传、CRL 更新、颁发者提示和优先顺序。 登录日志现在指示使用了哪个存储，帮助管理员逐步淘汰旧配置。 有关详细信息，请参阅： 如何配置Microsoft基于证书的身份验证。

正式发布 - 证书吊销列表 （CRL） 失败安全

类型：新功能
服务类别： 身份验证（登录）
产品功能：用户身份验证

如果最终用户证书颁发 CA 未配置证书吊销列表（CRL），CRL 故障安全可确保 CBA 身份验证失败。 这将关闭一个关键的安全差距，即以前可以在不吊销验证的情况下接受证书。 管理员可以在租户级别启用此功能，并根据需要为特定 CA 配置例外。 有关详细信息，请参阅： 了解 CRL 验证。

公共预览版 - 证书颁发机构 （CA） 范围

类型：新功能
服务类别： 身份验证（登录）
产品功能：用户身份验证

CA 范围允许管理员将特定 CA 绑定到定义的用户组。 这可确保用户只能使用限定于这些证书的受信任源的证书进行身份验证。 这增强了合规性，并减少了对颁发错误或恶意证书的暴露。 有关详细信息，请参阅：证书颁发机构（CA）范围（预览版）。