微軟確認大規模企業Entra帳號被鎖定事件是內部系統錯誤導致，與企業用戶行為無關

微軟近日證實，造成大量企業與組織帳號在上週末被 Microsoft Entra 系統自動鎖定的原因，為內部系統操作失誤，錯誤記錄了短期使用者 Refresh Token 的完整內容。這起事件目前已獲控制，微軟強調未發現有任何帳號遭未授權存取，後續也將釋出事件後審查報告。

Microsoft Entra 是什麼？

Microsoft Entra 是微軟於 2022 年推出的雲端身分與存取管理（IAM）解決方案品牌，整合原 Azure AD（現稱 Entra ID）、多雲權限管理（Permissions Management）及去中心化身分驗證（Verified ID）等功能。這套系統為企業提供「零信任架構」下的身分保護與權限控管，是現代企業資安防護的關鍵核心。

Entra 的核心功能主要包括：

1. Microsoft Entra ID（原 Azure AD）：
   負責身分驗證與授權管理，是 Entra 的基礎架構，也是全球企業常用的身分識別平台。所有企業登入Office 365、Azure等微軟雲端服務，基本上都是透過這套系統管理。

2. Entra Permissions Management：
   幫助企業管理在多雲環境（如 Azure、AWS、GCP）中的權限存取，避免出現權限過度開放等資安風險。

3. Entra Verified ID：
   提供分散式身分識別功能（decentralized identity），讓用戶能夠以更安全、去中心化的方式進行身分驗證，未來有望應用在教育、就業證明等多種場景。

錯誤紀錄觸發 Entra ID Protection 警報

根據《BleepingComputer》報導，微軟在 4 月 18 日（週五）發現，內部系統錯誤地將一小部分用戶的短期 Refresh Token 完整紀錄下來，而非只記錄應有的 metadata。為保障帳號安全，微軟工程團隊立即針對這些 Token 執行失效處理。

不過這項作業意外觸發了 Entra ID Protection 系統的自動風險偵測機制，將這些帳號標記為「憑證可能遭到洩漏」，進而引發大規模帳號鎖定。這些警示訊息發送時間集中在 4 月 20 日（週日）凌晨 4 點至 9 點（UTC）之間。

事件初期，一些受影響的企業誤以為問題來自新部署的企業應用程式「MACE Credential Revocation」，因該應用剛好在帳號鎖定前幾分鐘被安裝。不過後續由微軟發出的內部說明證實，真正肇因為上述系統記錄錯誤，與 MACE 並無直接關聯。

微軟：未發現未授權存取，將提供事件報告

微軟表示，截至目前並無發現這批 Token 遭到未授權使用。若未來發現異常，將依標準資安事件回應程序（SIR）進行調查與通報。

目前受影響的用戶可透過 Entra 系統提供的「確認用戶安全（Confirm user is safe）」操作來恢復帳戶權限。微軟也承諾，待調查結束後將對外發布「事件後審查報告（Post-Incident Review, PIR）」，提供給所有受影響的企業與組織參考。