[Introduction]

Microsoft Defender for Cloud Apps is retiring a small set of Infrastructure as a Service (IaaS) and Platform as a Service (PaaS) threat detections. These detections no longer align with the current threat protection scope of Defender for Cloud Apps, which is focused on identity-related threats across Entra, on‑premises, and SaaS environments.

Following internal review, these detections are being retired due to low prevalence and low customer impact, allowing us to focus engineering investment on higher-value and more common threat scenarios.

[When this will happen:]

General Availability (Worldwide, GCC, GCC High, DoD): Retirement begins early May 2026 and is expected to complete by mid‑May 2026.

[How this affects your organization:]

Who is affected:

• Administrators using Microsoft Defender for Cloud Apps
• Organizations that rely on the affected IaaS and PaaS detections

What will happen:

Alerts

• Suspicious creation activity for cloud region
• Suspicious change of CloudTrail logging service
• Multiple storage deletion activities

Behaviors

• Multiple virtual machine (VM) creation activities
• Multiple delete VM activities

After the phase‑out

• These detections will no longer generate alerts or behaviors.
• The related built‑in policies will be removed from the Policy management page.
• Alerts and behaviors already generated will not be deleted and will remain available in:
  • Alerts and Incidents pages
  • Advanced Hunting tables (for historical investigation and auditing)
• Any existing alert links that previously pointed to these policies will indicate that the policy has been deleted.

[What you can do to prepare:]

• No admin action is required.
• If you currently reference these detections in operational processes, playbooks, or documentation, we recommend reviewing and updating those materials ahead of the removal date.

[Compliance considerations:]

This change modifies how admins can monitor and report on specific Defender for Cloud Apps detections. Historical alert and hunting data remains available for auditing.

[はじめに]

Microsoft Defender for Cloud Appsは、インフラストラクチャ ・アズ・ア・サービス(IaaS) および プラットフォーム・アズ・ア・サービス(PaaS)の脅威検出機能を少数廃止します。これらの検出は、 Entra、オンプレミス、SaaS環境全体でアイデンティティ関連の脅威に焦点を当てている現在のDefender for Cloud Appsの脅威保護範囲とはもはや一致していません。

内部レビューの結果、これらの検出は発生率が低く顧客への影響も低いため廃止され、より価値が高く一般的な脅威シナリオにエンジニアリング投資を集中できるようになっています。

[いつ起こるか:]

一般稼働(世界、GCC、GCC High、DoD):退職は 2026年5月初旬 から始まり、 2026年5月中旬までに完了する予定です。

[これがあなたの組織にどのような影響を与えるか:]

影響を受ける人物:

• Microsoft Defender for Cloud Apps を使用する管理者
• 影響を受けるIaaSおよびPaaS検出に依存する組織

今後の展開:

警報

• クラウド領域での不審な作成活動
• CloudTrailログサービスの不審な変更
• 複数ストレージ削除活動

行動

• 複数仮想マシン(VM)作成活動
• 複数の削除VMアクティビティ

段階的廃止後

• これらの検出はもはやアラートや行動を発生させません。
• 関連する組み込みポリシーは ポリシー管理 ページから削除されます。
• 既に生成されたアラートや行動は 削除されず 、以下で引き続き利用可能です。
  • 警報 および インシデント ページ
  • 高度なハンティング テーブル(歴史調査および監査用)
• 以前にこれらのポリシーを指し示していた既存のアラートリンクは、そのポリシーが削除されたことを示します。

[準備のためにできること:]

• 管理者の対応は不要です。
• 現在、これらの検出を運用プロセス、プレイブック、ドキュメントで参照している場合は、削除日前にそれらの資料を確認し更新することをお勧めします。

[コンプライアンス上の考慮事項:]

この変更により、管理者が特定のDefender for Cloud Apps検出を監視・報告する方法が変更されました。過去のアラートおよびハンティングデータは監査のために引き続き利用可能です。