Haberler

Microsoft Entra ID, Hizmet Temsilcisi Olmayan Kimlik Doğrulamayı Mart 2026’da Sonlandırıyor

Microsoft, Mart 2025 sonunda yaptığı açıklamada, Microsoft Entra ID platformunda hizmet temsilcisi (service principal) olmadan gerçekleştirilen kimlik doğrulamanın Mart 2026 itibarıyla desteklenmeyeceğini duyurdu. Bu değişiklik, özellikle çok kiracılı (multi-tenant) uygulamaları etkileyecek.

Çok Kiracılı Uygulamalarda Yeni Kayıt Zorunluluğu Başlıyor

Yeni güvenlik politikasıyla birlikte, kaynak kiracıda kurumsal uygulama kaydı (enterprise application registration) olmayan çok kiracılı uygulamalar, Microsoft Entra ID üzerinden kimlik doğrulaması yapamayacak. Bu, hizmet temsilcisi olmadan (service principal-less) kimlik doğrulama olarak bilinen yöntemin tamamen engelleneceği anlamına geliyor.

This is awesome! Microsoft is killing off the ability for multi-tenant applications to authenticate in directories where a service principal has not been registered.learn.microsoft.com/…I'd like to automate discovery and remediation for admins, but I need help testing 🙂

Nathan McNulty (@nathanmcnulty.com) 2025-04-05T02:11:34.000Z

Hizmet temsilcisi olmayan kimlik doğrulama, yetkilendirme ve nesne tanımlayıcısı (object ID) olmadan belirli token’ların verilmesine olanak tanıyor. Eğer kaynak uygulamalar (örneğin API’ler) eksik doğrulama yapıyorsa, bu yöntem kötüye kullanılabiliyor. Microsoft, bu nedenle değişikliği önleyici bir güvenlik önlemi olarak değerlendiriyor.

Microsoft, 26 Mart 2025 tarihli destek makalesinde bu durumu açıkça duyurdu. Hali hazırda birçok kaynakta hizmet temsilcisi olmayan kimlik doğrulama engellenmiş durumda. Mart 2026 itibarıyla kalan tüm istisnalar da engellenecek.

Microsoft, uygulamaların kimlik doğrulama yaptığı her kiracıda ayrı ayrı kaydedilmesini zorunlu hâle getirerek, yönetici denetimini daha sağlam hâle getirmeyi hedefliyor. Böylece her kiracının yöneticisi, uygulama erişimini gözden geçirebilecek, koşullu erişim ilkeleri (conditional access policies) oluşturabilecek ve token’ları doğrulayabilecek.

Microsoft, yöneticilerin en geç 31 Mart 2026 tarihine kadar gerekli kontrolleri tamamlamasını öneriyor. Bu süreçte yöneticilerin, uygulamalar için kurumsal kayıt oluşturması ve kimlik doğrulama mekanizmalarını gözden geçirmesi gerekiyor. Detaylı bilgiye Service Principal-less Authentication Mitigation başlıklı destek makalesinden ulaşılabiliyor.

İlgili Makaleler

Bir yanıt yazın

Başa dön tuşu