Updated August 30, 2023: We have updated the content below for clarity. Thank you for your patience.

This is an enhancement to the security measures for administrative governance that modifies the default procedures for SharePoint app registration via AppRegNew.aspx page and permission updates via AppInv.aspx page. Following the implementation of this change, site collection admin will be unable to register app or update app permissions through above pages unless authorized explicitly by the SharePoint tenant admin.

Upon attempting to register an application on AppRegnew.aspx page, a notification will be displayed stating “Your SharePoint tenant admin doesn’t allow site collection admins to create an Azure Access Control (ACS) principal. Please contact your SharePoint tenant administrator.”

Similarly, upon attempting to update app permissions on AppInv.aspx page, a notification will be displayed stating “Your SharePoint tenant admin doesn’t allow site collection admins to update app permissions. Please contact your SharePoint tenant administrator.”

Kindly note that app registration and permission update via Microsoft Azure portal are not impacted by this change. 

[When this will happen:]

The rollout process is scheduled to commence in late August and is expected to conclude in mid-September. 

[How this will affect your organization:]

With this update site owners will not be able to register/update apps unless the tenant admin explicitly allows it.

To modify the default behavior, the tenant administrator must execute the following shell command to explicitly establish the flag as TRUE, thereby superseding the default value of FALSE. The service principal can only be created or updated by the tenant administrator by default. However, when the flag is set to TRUE, both the SharePoint tenant admin and site collection admin will be able to create or update the service principal through SharePoint.

The shell command is: Set-SPOTenant -SiteOwnerManageLegacyServicePrincipalEnabled $true 

Note: The property ‘SiteOwnerManageLegacyServicePrincipalEnabled’ becomes visible in tenant settings after SharePoint Online Management shell is updated to 16.0.23710.12000 or a later version. But before this rollout, the value will always be TRUE even explicitly set to FALSE. It will only automatically be switched to FALSE as the default value after the rollout is launched.

[What you need to do to prepare:]

No proactive measures are required to prepare for this change. Nevertheless, it is advisable to inform your users of this modification and update any relevant documentation as necessary.

2023 年 8 月 30 日更新: わかりやすくするために、以下のコンテンツを更新しました。お待ちいただきありがとうございます。

これは、AppRegNew.aspx ページを使用した SharePoint アプリの登録と AppInv.aspx ページを使用したアクセス許可の更新の既定の手順を変更する、管理ガバナンスのセキュリティ対策の強化です。この変更の実装後、サイト コレクション管理者は、SharePoint テナント管理者によって明示的に承認されていない限り、上記のページからアプリを登録したり、アプリのアクセス許可を更新したりできなくなります。

AppRegnew.aspx ページでアプリケーションを登録しようとすると、”SharePoint テナント管理者は、サイト コレクション管理者が Azure アクセス制御 (ACS) プリンシパルを作成することを許可していません。SharePoint テナント管理者に問い合わせてください。

同様に、AppInv.aspx ページでアプリのアクセス許可を更新しようとすると、”SharePoint テナント管理者は、サイト コレクション管理者がアプリのアクセス許可を更新することを許可していません。SharePoint テナント管理者に問い合わせてください。

Microsoft Azure ポータルを介したアプリの登録とアクセス許可の更新は、この変更の影響を受けないことに注意してください。 

[これが起こるとき:]

ロールアウトプロセスは8月下旬に開始され、9月中旬に完了する予定です。 

[これが組織に与える影響:]

この更新では、テナント管理者が明示的に許可しない限り、サイト所有者はアプリを登録/更新できません。

既定の動作を変更するには、テナント管理者は次のシェル コマンドを実行してフラグを明示的に TRUE として確立し、既定値の FALSE を置き換える必要があります。既定では、サービス プリンシパルを作成または更新できるのはテナント管理者のみです。ただし、フラグが TRUE に設定されている場合、SharePoint テナント管理者とサイト コレクション管理者の両方が SharePoint を使用してサービス プリンシパルを作成または更新できます。

シェルコマンドは次のとおりです。 Set-SPOTenant -SiteOwnerManageLegacyServicePrincipalEnabled $true 

手記： プロパティ ‘SiteOwnerManageLegacyServicePrincipalEnabled’ は、SharePoint Online 管理シェルが 16.0.23710.12000 以降のバージョンに更新された後にテナント設定に表示されるようになります。ただし、このロールアウトの前は、明示的に FALSE に設定されていても、値は常に TRUE になります。ロールアウトの起動後にのみ、デフォルト値として自動的に FALSE に切り替わります。

[準備するために必要なこと:]

この変更に備えるための事前対策は必要ありません。それでも、この変更をユーザーに通知し、必要に応じて関連ドキュメントを更新することをお勧めします。