Coming soon for Microsoft Fabric: We will split the existing tenant admin setting that currently controls access for service principals to all public APIs, into two tenant admin settings. After the split, the new tenant admin settings will be:

• Service principal access to global APIs: Controls access to “global” APIs that are not protected by any Fabric permission model, such as the creation of workspaces. This setting will retain the existing configuration and will be disabled by default. Setting name: Service principals can create workspaces, connections, and deployment pipelines.
• Service principal access to permission-based APIs: Controls access to APIs protected by the Fabric permission model, including managing existing workspaces and full CRUD (create, read, update, and delete) operations for workspace sub-folders and items. This setting will adopt the existing configuration of the current setting and will be enabled by default. Setting name: Service principals can call Fabric public APIs.

Why are we introducing the change?

For years, one tenant admin setting has governed the access of service principals to public APIs in Microsoft Power BI and then in Microsoft Fabric overall (see screenshot of the current setting).

We originally introduced the single setting as a safeguard against potential misuse by multi-tenant app service principals, but as we have expanded into Fabric scenarios, we understand the need for a more flexible approach to unblock Fabric developers. When the current admin setting is set to disabled by default, developers are blocked. To enhance usability for Fabric developers while ensuring security and Fabric tenant admin control, we will split the existing setting into two settings.

The current setting:

Detailed plan and timelines

Starting mid-May 2025 and ending in early June 2025, we will hide the current Fabric tenant admin setting and expose the two new settings, Service principals can create workspaces, connections, and deployment pipelines and Service principals can call Fabric public APIs:

We will enable the two new settings as follows:

• For existing tenants, we will retain the same configuration of the old tenant setting in the two new tenant settings.
• For new tenants, the first setting (creation of workspaces, connections and deployment pipelines) will be disabled by default, and the second setting (service principals with appropriate roles and item permission call Fabric public APIs) will be enabled by default.

If you are part of a group of existing Fabric admins who have never touched the original setting (that was disabled by default), your screen will include a checked box next to Accept Microsoft’s change to enable service principal access for the entire organization. If you want the new second setting to stay disabled after the split, you can uncheck the box and select Apply to opt out before August 1, 2025. NOTE: This group does not include admins who enabled the setting and then disabled it. Effective August 1, 2025, we will automatically change this setting to Enabled for the entire organization for all tenants that have this box checked:

What you need to prepare

• When the two new settings are introduced after early June 2025, make sure their configurations (that we will copy from your old settings) still fit the needs and/or requirements of your organization, and make changes as needed.
• Tenant admins who are presented with the checked box to Accept Microsoft’s change to enable service principal access for the entire organization:You have until August 1, 2025 to opt out (uncheck and Apply) to leave the second setting disabled, make any other changes in this setting, or let us change it automatically to Enabled for the entire organization.
  

If you have questions or need further assistance, please do not hesitate to contact Microsoft Fabric support team.

We will update this post with new documentation before we implement the change.

Microsoft Fabric の近日公開予定: 現在、すべての パブリック API へのサービス プリンシパルのアクセスを制御している既存のテナント管理設定を 2 つのテナント管理設定に分割します。分割後、新しいテナント管理設定は次のようになります。

• グローバル API へのサービス プリンシパル アクセス: ワークスペースの作成など、Fabric アクセス許可モデルによって保護されていない “グローバル” API へのアクセスを制御します。この設定は既存の構成を保持し、デフォルトでは無効になります。設定名: サービス プリンシパルは、ワークスペース、接続、デプロイ パイプラインを作成できます。
• アクセス許可ベースの API へのサービス プリンシパル アクセス: 既存のワークスペースの管理や、ワークスペースのサブフォルダーと項目の完全な CRUD (作成、読み取り、更新、削除) 操作など、Fabric アクセス許可モデルによって保護されている API へのアクセスを制御します。この設定は、現在の設定の既存の構成を採用し、デフォルトで有効になります。設定名: サービス プリンシパルは、Fabric パブリック API を呼び出すことができます。

なぜこの変更を導入するのですか?

長年にわたり、1 つのテナント管理設定によって、Microsoft Power BI のパブリック API と Microsoft Fabric 全体のパブリック API へのサービス プリンシパルのアクセスが管理されてきました (現在の設定のスクリーンショットを参照)。

当初は、マルチテナント アプリ サービス プリンシパルによる潜在的な誤用に対する保護手段として 1 つの設定を導入しましたが、Fabric のシナリオに拡大するにつれて、Fabric 開発者のブロックを解除するためのより柔軟なアプローチの必要性を理解しています。現在の管理者設定がデフォルトで無効に設定されている場合、開発者はブロックされます。セキュリティと Fabric テナント管理者の制御を確保しながら、Fabric 開発者の使いやすさを向上させるために、既存の設定を 2 つの設定に分割します。

現在の設定:

詳細な計画とタイムライン

2025 年 5 月中旬から 2025 年 6 月上旬まで、現在の Fabric テナント管理設定を非表示にし、 サービス プリンシパルがワークスペース、接続、デプロイ パイプラインを作成できる 設定と、 サービス プリンシパルが Fabric パブリック API を呼び出すことができるという 2 つの新しい設定を公開します。

次のように、2つの新しい設定を有効にします。

• 既存のテナントについては、2 つの新しいテナント設定で古いテナント設定と同じ構成を保持します。
• 新しいテナントの場合、最初の設定 (ワークスペース、接続、デプロイ パイプラインの作成) は既定で無効になり、2 番目の設定 (適切なロールとアイテムのアクセス許可を持つサービス プリンシパルが Fabric パブリック API を呼び出す) は既定で有効になります。

既存の Fabric 管理者のグループに属していて、元の設定 (既定では無効) に触れたことがない場合、画面には [Microsoft の変更を受け入れる] の横にチェック ボックスが表示され、組織全体でサービス プリンシパル アクセスが有効になります。 分割後も新しい 2 番目の設定を無効にしたい場合は、チェックボックスをオフにして [適用 ] を選択し、2025 年 8 月 1 日より前にオプトアウトできます。 手記： このグループには、設定を有効にしてから無効にした管理者は含まれません。2025 年 8 月 1 日より、この設定は、このボックスがオンになっているすべてのテナントの 組織全体で自動的に [有効] に変更されます。

準備するもの

• 2025 年 6 月初旬以降に 2 つの新しい設定が導入された場合は、それらの構成 (古い設定からコピーされます) が組織のニーズや要件に引き続き適合していることを確認し、必要に応じて変更を加えます。
• 組織全体のサービス プリンシパル アクセスを有効にするために Microsoft の変更を受け入れるチェック ボックスが提示されたテナント管理者: 2025 年 8 月 1 日までにオプトアウト (オフにして適用) して 2 番目の設定を無効のままにするか、この設定に他の変更を加えるか、組織全体で自動的に [有効] に変更する必要があります。
  

ご質問がある場合やさらにサポートが必要な場合は、お気軽にMicrosoft Fabricサポートチームにお問い合わせください。

変更を実装する前に、この投稿を新しいドキュメントで更新します。