[Introduction]

To improve application security, Microsoft Entra ID will enable App Instance Lock by default for newly created applications. This change prevents sensitive application properties from being modified outside the application’s home tenant, reducing the risk of unauthorized changes that can lead to application compromise. Based on our data analysis, we do not expect this change to cause customer impact. App owners or administrators in the application home tenant can still disable App Instance Lock for specific applications if their scenario requires updates to protected properties in other tenants.

[When this will happen]

General Availability (Worldwide): We will begin rolling out in early June 2026 and expect to complete by late June 2026.

[How this affects your organization]

Who is affected

• Microsoft Entra administrators
• Developers who manage Microsoft Entra applications
• Organizations using automation or scripts to update application credentials or security settings after app creation

What will happen?

• App Instance Lock will be enabled by default for all newly created applications.
• Sensitive service principal properties will be protected by default.
• Attempts to modify these protected properties will be blocked unless App Instance Lock is explicitly disabled.
• Blocked update attempts will return a 400 Bad Request error, and the update will not be applied.
• Existing applications are not affected by this change.

Example Microsoft Graph error returned when attempting to update passwordCredentials on a locked application:

[What you can do to prepare]

• Review automation, scripts, or provisioning workflows that modify service principal credentials or related settings.
• Validate that existing workflows do not depend on App Instance Lock being disabled and update them to avoid modifying protected properties unless the lock is intentionally disabled.
• Disable App Instance Lock for specific applications if post‑creation updates are required.
• Test application provisioning and credential management flows prior to rollout in mid-May.

Learn more: How to configure app instance property lock in your applications | Microsoft identity platform | Microsoft Entra | Microsoft Learn

[Compliance considerations]

[はじめに]

アプリケーションのセキュリティ向上のため、Microsoft Entra IDは新規作成アプリケーションに対してデフォルトでApp Instance Lockを有効にします。この変更により、アプリケーションのホームテナント外で機密性の高いプロパティが変更されるのを防ぎ、不正な変更によるアプリケーションの侵害リスクを減らします。データ分析に基づき、この変更が顧客への影響を及ぼすとは予想していません。アプリケーションホームテナント内のアプリ所有者や管理者は、他のテナントの保護されたプロパティの更新が必要な場合、特定のアプリケーションのApp Instance Lockを無効にすることができます。

[いつ起こるか]

一般公開(世界): 2026年6月初旬から展開を開始し、2026年6月下旬までに完了する予定です。

[これがあなたの組織に与える影響]

影響を受ける人物

• Microsoft Entra 管理者
• Microsoft Entraアプリケーションを管理する開発者
• アプリ作成後にアプリケーション認証情報やセキュリティ設定を更新するための自動化やスクリプトを使用している組織

何が起こるのでしょうか?

• 新規 作成のすべてのアプリケーションで、App Instance Lockはデフォルトで有効化されます。
• 機密性の高いサービス主体プロパティはデフォルトで保護されます。
• これらの 保護されたプロパティ を改変しようとする試みは 、App Instance Lockが明示的に無効化されていない限りブロックされます。
• ブロックされた更新 試行は400 Bad Requestエラーを返し、 その更新は適用されません。
• 既存のアプリケーションは この変更の影響を受けません。

ロックされたアプリケーションでpasswordCredentialsを更新しようとした際に返されたMicrosoft Graphエラーの例:

【準備のためにできること】

• サービスプリンシパルの資格情報や関連設定を変更する自動化、スクリプト、またはプロビジョニングワークフローを確認しましょう。
• 既存のワークフローがApp Instance Lockの無効に依存していないことを検証し、意図的にロックが無効化されていない限り、保護されたプロパティの変更を避けるようにワークフローを更新してください。
• 特定のアプリケーションに対して、作成後の更新が必要な場合はApp Instance Lockを無効にしてください。
• 5月中旬の展開前にアプリケーションプロビジョニングと認証情報管理の流れをテストします。

詳しくはこちら: アプリケーション内でのアプリインスタンスプロパティロックの設定方法 |Microsoft アイデンティティプラットフォーム |Microsoft Entra |Microsoft Learn

[コンプライアンスの考慮事項]