This is an enhancement to the security measures for administrative governance that modifies the default procedures for application registration and permission updates. Following the implementation of this change, site owners will be unable to register applications or update permissions unless authorized explicitly by the tenant administrator.

Upon attempting to register an application, a notification will be displayed stating “Your SharePoint admin doesn’t allow site owners to create an Azure Access Control (ACS) principal. Please contact your SharePoint administrator.”

Similarly, upon attempting to update application permissions, a notification will be displayed stating “Your SharePoint admin doesn’t allow site owners to update app permissions. Please contact your SharePoint administrator.”

[When this will happen:]

The rollout process is scheduled to commence in late August and is expected to conclude in mid-September. 

[How this will affect your organization:]

With this update site owners will not be able to register/update apps unless the tenant admin explicitly allows it.

To modify the default behavior, the tenant administrator must execute the following shell command to explicitly establish the flag as TRUE, thereby superseding the default value of FALSE. The service principal can only be created or updated by the tenant administrator by default. However, when the flag is set to TRUE, both the tenant administrator and site owners will be able to create or update the service principal.

The shell command is: Set-SPOTenant -SiteOwnerManageLegacyServicePrincipalEnabled $true

[What you need to do to prepare:]

No proactive measures are required to prepare for this change. Nevertheless, it is advisable to inform your users of this modification and update any relevant documentation as necessary.

これは、アプリケーションの登録とアクセス許可の更新の既定の手順を変更する管理ガバナンスのセキュリティ対策の強化です。この変更の実装後、サイト所有者は、テナント管理者によって明示的に承認されていない限り、アプリケーションを登録したり、アクセス許可を更新したりできなくなります。

アプリケーションを登録しようとすると、”SharePoint 管理者はサイト所有者に Azure アクセス制御 (ACS) プリンシパルの作成を許可していません。SharePoint 管理者に問い合わせてください。

同様に、アプリケーションのアクセス許可を更新しようとすると、”SharePoint 管理者はサイト所有者にアプリのアクセス許可の更新を許可していません。SharePoint 管理者に問い合わせてください。

[これが起こるとき:]

ロールアウトプロセスは8月下旬に開始され、9月中旬に完了する予定です。 

[これが組織に与える影響:]

この更新プログラムでは、テナント管理者が明示的に許可しない限り、サイト所有者はアプリを登録/更新できなくなります。

既定の動作を変更するには、テナント管理者は次のシェル コマンドを実行してフラグを TRUE として明示的に確立し、既定値の FALSE を置き換える必要があります。既定では、サービス プリンシパルはテナント管理者のみが作成または更新できます。ただし、フラグが TRUE に設定されている場合、テナント管理者とサイト所有者の両方がサービス プリンシパルを作成または更新できます。

シェルコマンドは次のとおりです。 Set-SPOTenant -SiteOwnerManageLegacyServicePrincipalEnabled $true

[準備するために必要なこと:]

この変更に備えるために予防的な対策は必要ありません。それでも、この変更をユーザーに通知し、必要に応じて関連ドキュメントを更新することをお勧めします。