こんにちは、Azure Identity サポート チームの 竜 です。
本記事は、2022 年 06 月 30 日に米国の Azure Active Directory Identity Blog で公開された Microsoft Entra change announcements - June 2022 train を意訳したものになります。
皆さん、こんにちは。
2022 年 3 月に、お客様がより展開の計画を立てやすくするよう、簡素化された変更管理プロセスを発表しました。今月 (6 月) の初めに、RSA カンファレンスにて、Microsoft の ID およびアクセス機能のすべてを包含する新しい製品群として Microsoft Entra を発表しました。本日、変更管理プロセスを拡張し、Microsoft Entra のすべてでこの新しいプロセスが適用されるようになることをお伝えいたします。また、機能の変更および既存の動作に影響を与える変更について、 6 月分の状況についてもお知らせします。
これらの変更は、四半期ごとに、ブログ、リリース ノート、そして電子メールにてお客様にお伝えしていきます。また、お客様が、Entra ポータル内でライフ サイクルの変更 (廃止予定、廃止、および既存の動作に影響を与える変更) により簡単に取り組めるよう、継続して取り組んでいます。以下に、「年 2 回の製品の廃止」および「年 4 回の機能変更および既存の動作に影響を与える変更」の連絡予定について情報をまとめたものを記載します。
| カテゴリ | 定義 | 連絡の予定 |
|---|---|---|
| 製品の廃止の連絡 | 機能、性能、または製品を特定の期間後に廃止することを指します。これは、一般的に、新たなお客様に対してサービスや機能の提供を停止し、廃止した機能や性能を強化するための技術的面での投資を削減することを伴います。最終的には、すべてのお客様に対してサービスや機能の提供を停止し、EOL (end-of-life) を意味します。 | 年に 2 回 (3 月、9 月) |
| 製品の機能変更および既存の動作に影響を与える変更のお知らせ | 既存の動作に影響を与える変更: 継続的な運用のためにお客様が何らかの操作や変更を行わない場合、既存のユーザーおよびパートナー体験に影響が生じると想定される変更です。 機能の変更: 既存の ID の機能に対する変更であり、お客様側での作業は必要はありませんが、ユーザー体験に変化が生じます。多くは、UI/UX (ユーザー インターフェイスおよびユーザー体験) への変更です。 これらの変更は一般的に頻繁に発生するため、より頻繁に弊社からの通知が必要となります。 |
年に 4 回 (3 月、6 月、9 月、11 月) |
以下に、2022 年 6 月分として発表された機能変更の一覧をご紹介します。
アプリの構成におけるアクセス許可の最大数
マイクロソフトでは、直近でアプリ登録にて構成できるアクセス許可の最大数について、弊社が定めた制限が適用されるよう変更しました。この制限を超えたアプリはアクセス許可に対する同意を行うことができず、動作しない状態となります。2022 年 10 月 31日より、”requiredResourceAccess” 属性にすでに 400 以上アクセス許可を構成されているアプリは、この制限値以上のアクセス許可を追加することができなくなる予定です。現在アプリにすでに構成されているアクセス許可は維持されますが、新たにアクセス許可を追加するためには、合計数が弊社にて定められた制限値以下となるよう、アプリの所有者にて既存のアクセス許可を削除する必要があります。この対応を行うことで、お客様がアクセス許可に同意できずアプリが利用できない状態になることを回避可能となります。詳細については、アプリごとの要求されたアクセス許可の制限 および サポートされているアカウントの種類別の検証の相違点 をご参照ください。
Directory.AccessAsUser.All における管理者の同意について
2022 年 8 月 31 日より、すべてのサービスにおいて、”Directory.AccessAsUser.All” に対して、既定で管理者の同意を要求するようになります。Azure AD Graph (graph.windows.net) および Microsoft Graph (graph.microsoft.com) のいずれにおいてもアクセス許可が要求された場合は既定で管理者の同意が必要になります。以前は、特定のシナリオでは、既定で本アクセス許可に対して管理者の同意は不要でした。この変更は、新たな同意の要求にのみ影響し、セキュリティを向上させるとともに、”Directory.AccessAsUser.All” の挙動を現在のドキュメントの動作に合わせるものです。詳細については、アクセス許可スコープ をご参照ください。
グループ メール
グループ関連のメール送信が、より新しく、向上したサービスに切り替わります。以下のシナリオにおけるグループ関連のメールは従来のままですが、新しいエイリアス (msgroupsteam@microsoft.com) から送信されるようになります:
- Microsoft 365 グループの有効期限が切れる時
- ユーザーが Microsoft 365 グループ またはセキュリティ グループへの参加を要求する時
- グループの所有者が、Microsoft 365 グループ またはセキュリティ グループへの参加リクエストに応答する時
この変更により、信頼性が向上し、より速いグループ メールの配信と高いスケーラビリティが実現します。
既定の同意設定
2022 年 9 月 30 日より、すべての新規テナントに対して、新たな既定の同意設定として「マイクロソフトの最新の推奨設定」が強制されるようになります。エンド ユーザーは、マイクロソフトが定めた低影響のアクセス許可を超えてアクセス許可を要求するマルチテナント アプリに対して、発行元が検証済みでない場合は、同意を付与することができなくなります。この変更により、悪意のあるアプリが、ユーザーを騙して組織のデータへのアクセスを許可させようとするリスクが軽減されます。
いつものように、お客様のフィードバックや提案をお寄せください。Azure Active Directory Identity Blog のコメント欄や Azure AD フィードバックフォーラム でご意見をお聞かせください。また、質問、進行中の問題、機能のリクエストは、Microsoft Q&A で #AzureADChangeManagementJune2022Train のタグを付けてお送りください。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。