{"id":310535,"date":"2025-04-13T00:01:05","date_gmt":"2025-04-12T22:01:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=310535"},"modified":"2025-04-11T07:25:49","modified_gmt":"2025-04-11T05:25:49","slug":"microsoft-entra-id-service-principal-less-authentication-wird-eingestellt-maerz-2026","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/04\/13\/microsoft-entra-id-service-principal-less-authentication-wird-eingestellt-maerz-2026\/","title":{"rendered":"Microsoft Entra ID: Service principal-less authentication wird eingestellt (M\u00e4rz 2026)"},"content":{"rendered":"

[English<\/a>]Ende M\u00e4rz 2025 gab es von Microsoft eine Ank\u00fcndigung, dass Microsoft Entra ID ab M\u00e4rz 2026 das Authentifizierungsverhalten ohne Dienstprinzip (Service principal-less authentication) nicht mehr unterst\u00fctzen wird. Microsoft Entra ID wird dann die Authentifizierung f\u00fcr mandantenf\u00e4hige Anwendungen, die nicht \u00fcber eine Unternehmensanwendungsregistrierung im Ressourcen-Tenant verf\u00fcgen, blockieren.<\/p>\n

<\/p>\n

\"\"Ich bin die Tage \u00fcber nachfolgenden Post auf BlueSky<\/a> auf dieses Thema aufmerksam geworden. Nathan McNulty schreibt, dass er es gro\u00dfartig findet, dass\u00a0Microsoft die M\u00f6glichkeit f\u00fcr mandantenf\u00e4hige Anwendungen, sich in Verzeichnissen zu authentifizieren, in denen ein Dienstprinzipal nicht registriert wurde, beseitigt.<\/p>\n

\"Microsoft<\/a><\/p>\n

Microsoft selbst hat das Thema zum 26. M\u00e4rz 2025 im Supportbeitrag\u00a0Service principal-less authentication mitigation<\/a> dokumentiert. Dort hei\u00dft es, dass Microsoft Entra ID ab M\u00e4rz 2026 die Authentifizierung ohne Dienstprinzip (Service principal-less authentication) nicht mehr unterst\u00fctzen wird.<\/p>\n

Bei der Authentifizierung ohne Dienstprinzipal werden Token ohne Berechtigungen und ohne Objektkennung (Objekt-ID) ausgegeben.\u00a0Die dienstprinzipienlose Authentifizierung kann missbraucht werden, wenn die Ressourcenanwendungen (d. h. APIs) unvollst\u00e4ndige Validierungen durchf\u00fchren.<\/p>\n

Als pr\u00e4ventive Sicherheitsma\u00dfnahme blockiert Microsoft Entra ID dann ab M\u00e4rz 2026 die Authentifizierung f\u00fcr alle mandantenf\u00e4hige Anwendungen, die nicht \u00fcber eine Unternehmensanwendungs-Registrierung im Ressourcen-Tenant verf\u00fcgen. Dieses Szenario ist auch als Authentifizierung ohne Dienstprinzip (Service principal-less authentication) bekannt, schreibt Microsoft.<\/p>\n

Dieses Verhalten wurde laut Microsoft bereits f\u00fcr die meisten Ressourcen blockiert. Mit dieser \u00c4nderung im M\u00e4rz 2026 werden einige verbleibende Ausnahmen ebenfalls blockiert. Der Supportbeitrag beschreibt, wie Administratoren sich auf die Abschaffung der dienstprinzipienlosen Authentifizierung vorbereiten sollen.<\/p>\n

Durch die Durchsetzung der Anforderung, dass Anwendungen in jedem Tenant, in dem sie sich authentifizieren, registriert werden m\u00fcssen, st\u00e4rkt Microsoft die Kontrolle des Tenant-Administrators \u00fcber den gesamten Zugriff, einschlie\u00dflich der M\u00f6glichkeit, bedingte Zugriffsrichtlinien f\u00fcr diese Anwendungen zu erstellen.\u00a0Tenant-Administrator m\u00fcssen zuk\u00fcnftig daher den Zugriff verifizieren, eine Unternehmensanwendung erstellen und Token verifizieren.<\/p>\n

Administratoren m\u00fcssen vor dem 31. M\u00e4rz 2026 handeln, um zu verhindern, dass die Authentifizierung von Anwendungen fehlschl\u00e4gt. Weitere Details lassen sich im Supportbeitrag Service principal-less authentication mitigation<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ende M\u00e4rz 2025 gab es von Microsoft eine Ank\u00fcndigung, dass Microsoft Entra ID ab M\u00e4rz 2026 das Authentifizierungsverhalten ohne Dienstprinzip (Service principal-less authentication) nicht mehr unterst\u00fctzen wird. Microsoft Entra ID wird dann die Authentifizierung f\u00fcr mandantenf\u00e4hige Anwendungen, die nicht \u00fcber … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-310535","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310535","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=310535"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310535\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=310535"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=310535"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=310535"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}