こんにちは、Azure Identity サポート チームの 五十嵐 です。
本記事は、2025 年 4 月 24 日に米国の Microsoft Entra (Azure AD) Blog で公開された Service principal required for Microsoft Entra ID の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。
2026 年 3 月より Microsoft Entra ID はサービス プリンシパルなしの認証動作をサポートしなくなります
2026 年 3 月 31 日以降、Microsoft Entra ID はサービス プリンシパルを使用しない認証動作をサポートしなくなります。この変更は、テナント内でアクティブなすべてのアプリケーションが、それらに紐づくサービス プリンシパルを持つようにすることで、Microsoft Entra ID のセキュリティを強化することを目的としています。
2026 年 3 月 31 日までに対策を講じない限り、テナント内でサービス プリンシパルを使用しない認証要求を行うすべてのアプリケーションに影響が及びます。
必要な措置の詳細については、こちらを参照ください: サービス プリンシパルなしの認証における軽減策のドキュメント
2026 年 3 月 31 日以降にサービス プリンシパルなしの認証はどうなりますか?
Microsoft Entra ID は、現在テナントでエンタープライズ アプリケーションの登録なしで認証できているマルチテナント アプリケーションの認証を今後ブロックします。この動作はすでにほとんどのリソースでブロックされていますが、まだ例外的に残されているものに今後対応していきます。このシナリオはサービス プリンシパルレス認証とも呼ばれ、予防的なセキュリティ対策となります。サービス プリンシパルなしの認証では、アクセス許可やオブジェクト識別子 (オブジェクト ID) を保持しないトークンが発行されます。
変更の理由
弊社では、サービス プリンシパルなしの認証動作を廃止し、サービス プリンシパルをすべてのアプリケーションの必須要件とすることで、”Security by default” (authenticationBehaviors を参照) の原則をより確かなものにします。サービス プリンシパルなしの認証は、API などのリソース アプリケーションが不完全な検証を行った場合に悪用される可能性があります。Microsoft は、サービス プリンシパルなしの認証に対して検証に脆弱性がないことを確認済みです。しかしながら、悪用が生じる危険性が将来のバージョンで再び現れたり、Microsoft の管理外のサード パーティ リソースでこの仕組みが悪用されたりするリスクを最小限に抑えるため、今回の措置を講じます。
さらに、アプリケーションが認証されるすべてのテナントでサービス プリンシパルを登録する必要があるという要件を強制することで、これらのアプリケーションに対する条件付きアクセス ポリシーの定義を含め、テナント管理者がすべてのアクセスに対してガバナンスを高めていけるようになります。
必要なアクション
テナント管理者は、アプリケーションのアクセスや、展開、およびトークンを自身で確認することをお勧めします。テナント管理者は、サービス プリンシパルなしの認証における軽減策のドキュメント の手順に従って、サインイン ログを使用して影響を受けるアプリケーションを特定ください。また、指定されたアプリケーションの一覧を記載した電子メールも管理者向けに送信されます。
すべての ISV は、この非推奨の措置について顧客に通知し、事前対策を講じるよう通知ください。
アプリケーションの認証における障害を回避するためには、2026 年 3 月 31 日まで に対応する必要があります。
2025 年 2 月 11 日から 3 月 11 日 の間にサービス プリンシパルなしの認証を使用したトラフィックがお客様テナントであった場合、それらは 2026 年 3 月 まで引き続き動作します。しかし、この期間に検出されなかったトラフィックや、2025 年 3 月 11 日 以降に新たに発生したトラフィックについては、2025 年 4 月 以降ブロックされる予定です。
Shirling Xu
Product Manager, Core Authentication
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。