2026 年 3 月から、Microsoft Entra ID はサービス プリンシパルのない認証動作をサポートしなくなります。 この記事では、サービス プリンシパルレス認証の廃止に備える方法について説明します。 テナント管理者として、アクセスの確認、エンタープライズ アプリケーションの作成、トークンの確認を行います。
前提条件
- 少なくとも アプリケーション管理者 または クラウド アプリケーション管理者 ロールが割り当てられているリソース テナント内のアカウント。
サービス プリンシパルを使用しない認証からの移行
Microsoft Entra ID は、リソース テナントにエンタープライズ アプリケーションの登録がないマルチテナント アプリケーションの認証をブロックします。 このシナリオは、サービス プリンシパルレス認証とも呼ばれます。 この動作は、ほとんどのリソースで既にブロックされています。 この変更により、残りのいくつかの例外に対処します。 サービス プリンシパルのない認証では、アクセス許可がなく、オブジェクト識別子 (オブジェクト ID) なしでトークンが発行されます。 これは予防的なセキュリティ対策です。
このサービス プリンシパルレス認証の変更により、"既定のセキュリティ" を向上させるために、クライアント サービス プリンシパルがすべてのアプリケーションの要件になります (認証動作を参照)。 リソース アプリケーション (API) が不完全な検証を実行すると、サービス プリンシパルレス認証が悪用される可能性があります。 Microsoft は、検証がサービス プリンシパルレス認証に対して脆弱でないことを確認しました。 ただし、このアクションにより、このギャップが将来のバージョンで再び現れたり、Microsoft の制御外のサード パーティのリソースで悪用されたりするリスクが最小限に抑えられます。
さらに、アプリケーションを認証するすべてのテナントに登録する必要があるという要件を適用することで、これらのアプリケーションの条件付きアクセス ポリシーを記述する機能など、すべてのアクセスに対するテナント管理者のガバナンスを強化します。
アプリケーションの認証エラーを回避するには 、2026 年 3 月 31 日より前に対処する必要があります。
February-March 2025 では、サービス プリンシパルのないクライアント アプリによってアクセスされるほとんどのリソース アプリがフリーズしました。 2025 年 2 月 11 日から 3 月 11 日の間に観察された場合、クライアント アプリのホーム テナントとリソース テナントが一致するトラフィックを許可しました。これは、2026 年 3 月まで動作し続けます。 ただし、この期間中に特定されなかったトラフィックや、2025 年 4 月以降の 3 月 11 日以降の新しいトラフィックはブロックされました。
サインイン ログを使用してサービス プリンシパルのないアプリケーションを検索する
注
アクションは、"サービス プリンシパル サインイン" (アプリ専用) サインイン ログにサービス プリンシパルが見つからないアプリの認証にのみ必要です。 ユーザー サインイン ログには、サービス プリンシパルなしで認証されている Microsoft アプリケーションとサービスが含まれます。 Microsoft アプリによるサービス プリンシパルを使用しないサインインと認証は想定されており、お客様によるアクションは必要ありません。
まず、一覧表示されているリソースへの名前付きアプリケーションによるアクセスが必要であることを確認する必要があります。 アプリケーションのサインイン アクティビティは、サインイン ログを使用してリソース テナントの管理者が確認できます。 サービス プリンシパルのない認証を行うアプリケーションのサービス プリンシパル ID は、リソース テナントのサインイン ログに 00000000-0000-0000-0000-000000000000
として表示されます。
- Microsoft Entra 管理センターに移動します。
- 左側のナビゲーション パネルで、Entra ID>監視と健康>サインインログに移動します。
- [ サービス プリンシパルのサインイン ] タブに移動します。
-
サービス プリンシパル ID でフィルター処理し、入力フィールドに
00000000-0000-0000-0000-000000000000
を入力します。 - 日付の並べ替えを [カスタム時間間隔] に変更し、[ 過去 1 か月] に設定します。
- ログをクリックして詳細を表示し、サイド パネルの アプリケーション ID に移動して、次の手順のクライアント アプリケーション ID を見つけます。
エンタープライズ アプリケーションを作成する
次に、各名前付き アプリケーション のリソース テナントにエンタープライズ アプリケーションを作成する必要があります。 リソース テナント管理者は、上記のサインイン ログ メソッドを使用して、クライアント アプリ ID を使用してアプリケーションを登録する必要があります。
トークンを確認する
最後に、リソース テナントの管理者は、アプリケーションに発行されたトークンがサービス プリンシパルレスでなくなったことを確認する必要があります。 これは、サインイン ログで確認できます。 サービス プリンシパル ID は、 aaaaaaaa-bbbb-cccc-1111-222222222222
形式の一意の英数字 GUID と共に表示されます。