[Introduction]

We are pleased to announce that SharePoint Online Management Shell now supports App-Only Certificate-Based Authentication. This update addresses the business need for secure, unattended automation in environments where (for example) Multi-Factor Authentication (MFA) is enforced. With this enhancement, customers can run automation scripts using app identities, ensuring compliance with security policies while maintaining operational efficiency.

[When this will happen:]

This feature is now generally available.

[How this affects your organization:]

Who is affected: SharePoint administrators and automation engineers using SharePoint Online Management Shell for scripting and automation.

What will happen:

• Customers can now authenticate scripts using app identities registered in Microsoft Entra ID (formerly Azure AD), instead of user credentials.
• This enables seamless execution of unattended scripts, even when MFA is enforced.
• We expect most scenarios to work with App-Only authentication. However, there could be rare cases where an API needs an explicit user token for security reasons. In such cases, tenant admins should use interactive flows with admin/user credentials. Feel free to reach out to us if needed.

[What you can do to prepare:]

Follow these one-time steps to register your app and enable certificate-based authentication:

1. Step 1: Register the application in Microsoft Entra ID.
2. Step 2: Assign API permissions to the application:
   

   • Tenant Admin APIs currently support App-Only access only if they have the Sites.FullControl scope.
   • We are in the process of supporting more granular scopes for tenant APIs. For up-to-date information, refer to SharePoint Admin APIs Authentication and Authorization.
   • You can assign permissions by:
     

     • Selecting and assigning API permissions from the portal.
     • Modifying the app manifest to assign API permissions (required for Microsoft 365 GCC High and DoD organizations).

   • Learn more: Step 2: Assign API permissions to the application

3. Step 3: Generate a self-signed certificate or obtain one from a certificate authority.
4. Step 4: Attach the certificate to the Microsoft Entra application.

Once these steps are completed, update the Connect-SPOService line at the beginning of your scripts to use the app identity instead of user credentials. For examples, refer examples 7, 8, and 9 in this article: Connect-SPOService (Microsoft.Online.SharePoint.PowerShell).

[Compliance considerations:]

No compliance considerations identified, review as appropriate for your organization.

[はじめに]

SharePoint Online Management Shell が現在、 アプリのみの証明書ベース認証をサポートすることをお知らせできることを嬉しく思います。このアップデートは、 例えば多要素認証(MFA) が強制されている環境における安全で無人操作のビジネスニーズに応えています。この強化により、顧客はアプリのアイデンティティを使って自動化スクリプトを実行し、セキュリティポリシーの遵守を確保しつつ運用効率を維持できます。

[いつ起こるか:]

この機能は現在、一般に利用可能となっています。

[これがあなたの組織にどのような影響を与えるか:]

影響を受ける人物: SharePointの管理者や自動化エンジニアは、スクリプト作成や自動化のために SharePoint Online Management Shell を使用しています。

今後の展開:

• 顧客はユーザー認証情報の代わりに 、Microsoft Entra ID (旧Azure AD)に登録されたアプリIDを使ってスクリプトを認証できるようになりました。
• これにより、MFAが強制されていても無人スクリプトのシームレスな実行が可能になります。
• ほとんどのシナリオはアプリのみ認証で動作すると予想しています。しかし、セキュリティ上の理由でAPIが明示的なユーザートークンを必要とする稀なケースもあります。そのような場合、テナント管理者は管理者/ユーザー認証情報を組み合わせたインタラクティブなフローを使うべきです。必要ならお気軽にお問い合わせください。

[準備のためにできること:]

アプリを登録し、証明書ベースの認証を有効にするには、次の一度限りの手順に従ってください:

1. ステップ1:Microsoft Entra IDでアプリケーションを登録します。
2. ステップ2: アプリケーションにAPI権限を割り当てる:

   • テナント管理者API は現在、 アプリのみ アクセスを Sites.FullControl 範囲がある場合のみサポートしています。
   • 現在、テナントAPIのより細かいスコープのサポートを進めています。最新情報については、 SharePoint管理者APIの認証および認証を参照してください。
   • 権限の割り当ては以下の方法で可能です:

     • ポータルからAPI権限を選択し割り当てること。
     • アプリマニフェストを修正してAPI権限を割り当てること(Microsoft 365 GCC HighやDoD組織で必要)。

   • 詳細はこちら: ステップ2:アプリケーションにAPI権限を割り当てる

3. ステップ3:自己署名証明書を作成するか、証明書発行機関から取得します。
4. ステップ4:証明書をMicrosoft Entraアプリケーションに添付します。

これらのステップが完了したら、スクリプトの冒頭のConnect-SPOService行を更新し、ユーザー認証情報の代わりにアプリIDを使うようにしてください。例については、この記事の例7、8、9を参照してください:Connect-SPOService (Microsoft.Online.SharePoint.PowerShell)。

[コンプライアンス上の考慮事項:]

コンプライアンス上の懸念事項は特定されず、組織に応じてレビューしてください。