[English]Ende März 2025 gab es von Microsoft eine Ankündigung, dass Microsoft Entra ID ab März 2026 das Authentifizierungsverhalten ohne Dienstprinzip (Service principal-less authentication) nicht mehr unterstützen wird. Microsoft Entra ID wird dann die Authentifizierung für mandantenfähige Anwendungen, die nicht über eine Unternehmensanwendungsregistrierung im Ressourcen-Tenant verfügen, blockieren.
Anzeige
Ich bin die Tage über nachfolgenden Post auf BlueSky auf dieses Thema aufmerksam geworden. Nathan McNulty schreibt, dass er es großartig findet, dass Microsoft die Möglichkeit für mandantenfähige Anwendungen, sich in Verzeichnissen zu authentifizieren, in denen ein Dienstprinzipal nicht registriert wurde, beseitigt.
Microsoft selbst hat das Thema zum 26. März 2025 im Supportbeitrag Service principal-less authentication mitigation dokumentiert. Dort heißt es, dass Microsoft Entra ID ab März 2026 die Authentifizierung ohne Dienstprinzip (Service principal-less authentication) nicht mehr unterstützen wird.
Bei der Authentifizierung ohne Dienstprinzipal werden Token ohne Berechtigungen und ohne Objektkennung (Objekt-ID) ausgegeben. Die dienstprinzipienlose Authentifizierung kann missbraucht werden, wenn die Ressourcenanwendungen (d. h. APIs) unvollständige Validierungen durchführen.
Anzeige
Als präventive Sicherheitsmaßnahme blockiert Microsoft Entra ID dann ab März 2026 die Authentifizierung für alle mandantenfähige Anwendungen, die nicht über eine Unternehmensanwendungs-Registrierung im Ressourcen-Tenant verfügen. Dieses Szenario ist auch als Authentifizierung ohne Dienstprinzip (Service principal-less authentication) bekannt, schreibt Microsoft.
Dieses Verhalten wurde laut Microsoft bereits für die meisten Ressourcen blockiert. Mit dieser Änderung im März 2026 werden einige verbleibende Ausnahmen ebenfalls blockiert. Der Supportbeitrag beschreibt, wie Administratoren sich auf die Abschaffung der dienstprinzipienlosen Authentifizierung vorbereiten sollen.
Durch die Durchsetzung der Anforderung, dass Anwendungen in jedem Tenant, in dem sie sich authentifizieren, registriert werden müssen, stärkt Microsoft die Kontrolle des Tenant-Administrators über den gesamten Zugriff, einschließlich der Möglichkeit, bedingte Zugriffsrichtlinien für diese Anwendungen zu erstellen. Tenant-Administrator müssen zukünftig daher den Zugriff verifizieren, eine Unternehmensanwendung erstellen und Token verifizieren.
Administratoren müssen vor dem 31. März 2026 handeln, um zu verhindern, dass die Authentifizierung von Anwendungen fehlschlägt. Weitere Details lassen sich im Supportbeitrag Service principal-less authentication mitigation nachlesen.
Anzeige
AUTSCH: "principal" mit Dienstprinzip zu übelsetzen ist übel!
Richtig ist Entität bzw. Benutzer(Konto): siehe "principal" im Glossar https://msdn.microsoft.com/en-us/library/ms721603.aspx, der wiederum auf "security principal" https://msdn.microsoft.com/en-us/library/ms721625.aspx verweist, und danach https://technet.microsoft.com/en-us/library/cc779144.aspx alias "How Security Principals Work"