Aracılığıyla paylaş

Hizmet ilkesiz kimlik doğrulaması önlemleri

Mart 2026'dan itibaren, Microsoft Entra Id artık hizmet sorumlusu olmadan uygulama kimlik doğrulamayı desteklemeyecektir. Bu makalede, emekliliğe nasıl hazırlanacağınızı öğreneceksiniz. Kiracı yöneticisi olarak, etkilenen uygulamaları tanımlayacak, bir hizmet sorumlusu oluşturacak ve yaptığınız değişiklikleri doğrulayacaksınız.

Önkoşullar

  • Uygulama yöneticisi veya Bulut uygulaması yöneticisi rolü atanmış bir hesap.

Hizmet sorumlusu olmadan uygulama kimlik doğrulamayı engelleme

Microsoft Entra Id, kimlik doğrulaması yaptıkları kiracıda hizmet sorumlusu olmayan Microsoft dışı çok kiracılı uygulamalar için kimlik doğrulamasını engeller. Bu senaryo, hizmet sorumlusu olmadan kimlik doğrulaması olarak da bilinir. Bu davranış, Microsoft dışı uygulamaların çoğunda zaten devre dışı bırakılmıştır. Bu değişiklik kalan birkaç özel durumu ele alır ve önleyici bir güvenlik önlemidir.

Hizmet sorumlusu olmadan uygulama kimlik doğrulaması, çok kiracılı bir istemci uygulamasının nesne tanımlayıcısı (nesne kimliği) talebi olmayan bir kiracıdan yalnızca uygulama belirteci almasını sağlar. Çoğu durumda hizmet sorumlusunun olmaması, uygulamaya herhangi bir veriye erişim yetkisi verilmediği anlamına gelir ve bu zararsızdır. Ancak, hedef API'nin yanlış yetkilendirme denetimleri uyguladığı nadir durumlarda, bu özellik yetkisiz erişime yol açabilir. Microsoft, Microsoft tarafından yayımlanan API'lerin bu tür kötüye kullanımlara karşı savunmasız olmadığını zaten doğrulamıştır. Bu davranışın devre dışı bırakılması, Microsoft dışı API'leri de yetersiz yetkilendirme denetimleriyle korur.

Ayrıca, tüm uygulamaların kimlik doğrulaması yaptıkları her kiracıda bir hizmet sorumlusuna sahip olması gereksinimini zorunlu kılarak, kiracı yöneticisinin koşullu erişim ilkeleriyle bu uygulamaları tek tek hedefleme özelliği de dahil olmak üzere tüm erişimi yönetmesini kolaylaştırırız.

Kullandığınız uygulamalar kiracınızda hizmet sorumlusu olmadan kimlik doğrulaması oluşturuyorsa kesintiyi önlemek için 31 Mart 2026'ya kadar işlem yapmalısınız.

Kullanımdan kaldırmayla ilgili en up-totarih bilgileri için bkz. Microsoft Entra Id için gereken hizmet sorumlusu | Microsoft Community Hub.

Hizmet sorumlusu olmadan kimlik doğrulaması yapılan uygulamaları bulmak için oturum açma günlüklerini kullanma

Uyarı

Eylem yalnızca "Hizmet sorumlusu oturum açma işlemleri" (yalnızca uygulama) oturum açma günlüklerinde bulunan bir hizmet sorumlusu olmadan kimlik doğrulaması yapılan uygulamalar için gereklidir. Kullanıcı oturum açma günlükleri, hizmet sorumlusu olmadan kimlik doğrulaması yapılan Microsoft uygulamalarını ve hizmetlerini içerir. Microsoft uygulamaları tarafından hizmet sorumlusu olmadan oturum açma ve kimlik doğrulaması beklenir ve müşteriler için herhangi bir eylem gerekmez.

İlk olarak, adlandırılmış uygulamalar tarafından listelenen kaynaklara erişimin gerekli olduğunu doğrulamanız gerekir. Uygulamanın oturum açma etkinliği, kaynak kiracının yöneticisi tarafından oturum açma günlükleri aracılığıyla gözden geçirilebilir. Hizmet sorumlusu olmadan kimlik doğrulaması yapan bir uygulamanın hizmet sorumlusu kimliği, kaynak kiracısının oturum açma günlüklerinde 00000000-0000-0000-0000-000000000000 olarak görünür. 

  1. Microsoft Entra yönetim merkezine gidin.
  2. Sol gezinti panelinde Entra Id>Monitoring & health>Oturum açma günlükleri'ne gidin.
  3. Hizmet sorumlusu oturum açma işlemleri sekmesine gidin.
  4. Hizmet sorumlusu kimliğine göre filtreleyin ve giriş alanına girin00000000-0000-0000-0000-000000000000.
  5. Tarih aralığını Son 1 ay olarak ayarlayın.
  6. Ayrıntıları görüntülemek için bir günlük girdisine tıklayın ve uygulamanın Uygulama Kimliğini belirleyin. Sonraki adımda buna ihtiyacınız olacak.

Microsoft Entra yönetim merkezinin oturum açma günlükleri sayfasını, SP'siz kimlik doğrulaması oturum açma işlemlerine ayıklamak için filtre uygulanmış olarak gösteren ekran görüntüsü.

Hizmet sorumlusu oluşturma

Hizmet sorumlusu olmadan kimlik doğrulaması yapılan bir uygulama belirledikten sonra, bunun beklendiğine ve kiracınızda kimlik doğrulamasına devam edip etmeyeceğine karar vermek için oturum açma günlüklerindeki ayrıntıları kullanın.

Uygulamayı tanımıyor ve engellemek istiyorsanız, uygulama için bir hizmet sorumlusu oluşturun ve hizmet sorumlusunu devre dışı bırakın. Uygulamanın hizmet sorumlusunu devre dışı bırakmak, kiracınızdaki uygulama tarafından gelecekteki tüm oturum açma ve kimlik doğrulama girişimlerini engeller.

Yaptığınız değişiklikleri doğrulayın

Bir uygulama için eylemde bulunduktan sonra, oturum açma günlükleri, uygulamanın yeni hizmet sorumlusu kimliğini artık aaaaaaaa-bbbb-cccc-1111-222222222222 biçiminde benzersiz bir alfasayısal GUID ile birlikte içerir. Bu, uygulamanın kiracınızda bir hizmet sorumlusu olduğunu ve yaklaşan değişiklikten daha fazla etkilenmeyeceğini onaylar.

  • Last updated on