从 2026 年 3 月起,Microsoft Entra ID 将不再支持服务无主体身份验证行为。 本文中,您将学习如何为弃用无服务主体认证做好准备。 作为租户管理员,你将验证访问权限、创建企业应用程序并验证令牌。
先决条件
- 资源租户中至少分配有 应用程序管理员 或 云应用程序管理员 角色的帐户。
从无服务主体身份验证转换
Microsoft Entra ID 将阻止对资源租户中没有企业应用程序注册的多租户应用程序的身份验证。 此方案也称为无服务主体身份验证。 对于大多数资源,此行为已被阻止。 此更改将解决剩余的一些异常。 无服务主体认证在无权限且无对象标识符(对象 ID)的情况下颁发令牌。 这是一项预防性安全措施。
此对无服务主体身份验证的更改将使客户端服务主体成为所有应用程序的要求,以便改进我们的“默认安全性”(请参阅身份验证行为)。 如果资源应用程序(如 API)执行不完整的验证,则无服务主体的身份验证可能会被滥用。 Microsoft已验证,验证过程不容易受到无服务主体的身份验证攻击。 通过这一行动,安全漏洞在未来版本中重新出现或在微软控制之外的第三方资源中被利用的风险将被最小化。
此外,通过强制要求在进行身份验证的每个租户中注册应用程序,我们强化了租户管理员对所有访问的治理,包括为这些应用程序编写条件访问策略的能力。
必须在 2026 年 3 月 31 日之前采取行动,以避免应用程序身份验证失败。
如果在 2025 年 2 月 11 日至 2025 年 3 月 11 日期间使用无服务主体身份验证标识了流量,它将一直工作到 2026 年 3 月。 但是,在此期间未检测到的任何流量或从 2025 年 3 月 11 日之后开始的任何新流量将从 2025 年 4 月开始被阻止。
使用登录日志查找无服务主体应用程序
首先,需要验证已命名应用程序对列出的资源的访问权限是否是必需的。 资源租户的管理员可以通过 登录日志查看应用程序的登录活动。 未使用服务主体进行身份验证的应用程序的服务主体 ID 在资源租户的登录日志中显示为 00000000-0000-0000-0000-000000000000。
- 导航到 Microsoft Entra 管理中心。
- 在左侧导航面板中,转到 身份>显示更多...>监控与健康状态>登入日志。
- 转到 “服务主体登录 ”选项卡。
- 按 服务主体 ID 进行筛选,并在输入字段中输入
00000000-0000-0000-0000-000000000000。 - 将日期排序更改为 自定义时间间隔,并将其设置为 “过去 1 个月”。
- 单击日志以查看详细信息,并导航到侧面板中的应用程序 ID以找到下一步所需的客户端应用程序 ID。
创建企业应用程序
接下来,需要在资源租户中为每个命名应用程序 创建企业应用程序 。 资源租户管理员必须通过上述登录日志方法使用客户端应用 ID 注册应用程序。
验证令牌
最后,资源租户的管理员应验证颁发给应用程序的令牌已不再采用无服务主体方式。 这可以在登录日志中验证。 服务主体 ID 应显示唯一的字母数字 GUID,格式为 aaaaaaaa-bbbb-cccc-1111-222222222222。