[What and Why:]

We are expanding app governance in Microsoft Defender for Cloud Apps to include all Microsoft Entra service principals, not just those with API permissions. This enhancement improves visibility into non-human identities and strengthens your organization’s security posture. We are also starting to provide visibility into Entra Roles assigned to the service principals. Additionally, we are incorporating Entra role assignments into privilege classification, giving administrators a more accurate view of application risk and strengthening security, governance, and compliance.

[Rollout Schedule:]

• We will begin rolling out in late June 2026 and expect to complete by early July 2026.

[Impact on Your Organization:]

Who is affected: Security administrators, identity administrators, and SOC teams managing Microsoft Defender for Cloud Apps and Microsoft Entra ID.

Platforms/Services: Microsoft Defender for Cloud Apps, Microsoft Entra ID

What will happen:

• All Entra service principals (excluding managed identities and Microsoft first-party apps) will now be visible in app governance.
• Privilege classification will consider both:
  • API permissions
  • Entra role assignments
• Apps will be classified as:
  • High privilege (high-risk API permissions or Entra roles)
  • Medium privilege
  • Low privilege
• You may see a significant increase in total apps displayed.
• The number of high-privilege apps may increase due to role-based evaluation.
• Existing custom policies will evaluate against a broader set of service principals, potentially increasing alerts.
• The feature is enabled by default with no configuration required.

[Action Required / Recommendations:]

No action is required for the rollout. However, to prepare:

• Inform your SOC and security teams about:
  • Increased visibility of service principals
  • Potential increase in alerts
• Review and adjust custom app governance policies to:
  • Refine scope
  • Reduce potential alert fatigue
• Update internal monitoring and triage processes if needed.
• Review app privilege classifications to identify newly surfaced high-risk service principals.

Learn more: App governance visibility and insights – Microsoft Defender for Cloud Apps | Microsoft Learn (will be updated before rollout)

[Compliance considerations:]

• Admins gain expanded monitoring and reporting visibility across all service principals.

[何となぜ:]

Microsoft Defender for Cloud Appsでは、API権限を持つサービスプリンシパルだけでなく、すべてのMicrosoft Entraサービスプリンシパルを含むようにアプリガバナンスを拡大しています。この強化により、非人間のアイデンティティへの可視性が向上し、組織のセキュリティ体制が強化されます。また、サービスプリンシパルに割り当てられたEntraロールの可視化も開始しています。さらに、Entraの役割割り当てを権限分類に組み込むことで、管理者がアプリケーションリスクをより正確に把握できるようにし、セキュリティ、ガバナンス、コンプライアンスを強化しています。

[展開スケジュール:]

• 2026年6月下旬に展開を開始し、2026年7月初旬までに完了する予定です。

[組織への影響:]

影響を受ける人物: セキュリティ管理者、アイデンティティ管理者、Microsoft Defender for Cloud Apps および Microsoft Entra ID を管理する SOC チームです。

プラットフォーム/サービス: Microsoft Defender for Cloud Apps, Microsoft Entra ID

今後の展開:

• 管理型IDやMicrosoftのファーストパーティアプリを除くすべてのEntraサービスプリンシパルがアプリガバナンスで確認できるようになります。
• 特権分類では以下の両方を考慮します:
  • API権限
  • エントラの役割割り当て
• アプリは以下のように分類されます:
  • 高特権(高リスクAPI権限やEntraロール)
  • メディア特権
  • 低特権
• 表示される アプリ数が大幅に増加 するかもしれません。
• 役割ベースの評価により、 高特権アプリの数は増加する可能性があります 。
• 既存の カスタムポリシーは、より広範なサービスプリンシパルと比較して評価され、アラート数が増加する可能性があります。
• この機能は デフォルトで有効化 されており、設定は不要です。

[行動が必要/推奨事項:]

展開には何のアクションも必要ありません。しかし、準備のために:

• SOCおよびセキュリティチームに以下の事項を伝えてください:
  • サービスプリンシパルの可視性向上
  • アラートの増加の可能性
• カスタムアプリガバナンスポリシーを見直し、調整する:
  • リファインスコープ
  • 潜在的な警戒疲労の軽減
• 必要に応じて内部監視やトリアージのプロセスを更新しましょう。
• アプリ特権の分類を確認し、新たに浮上した高リスクサービスプリンシパルを特定しましょう。

詳しくはこちら: App Governanceの可視性とインサイト – Microsoft Defender for Cloud Apps |Microsoft Learn (展開前に更新予定)

[コンプライアンス上の考慮事項:]

• 管理者はすべてのサービスプリンシパルにおける監視と報告の可視性を拡大します。