m365jp.net

SHD / MC Checker

MC1303719 | Microsoft Entra: Upcoming changes to federatedTokenValidationPolicy default settings

MC1303719 | Microsoft Entra: Upcoming changes to federatedTokenValidationPolicy default settings
Classification planForChange
Last Updated 05/07/2026 22:39:10
Start Time 05/07/2026 22:39:04
End Time 09/12/2026 07:00:00
Action Required By Date 2026-08-11T07:00:00Z
Message Content

[Introduction]

To strengthen security for federated authentication, Microsoft Entra will update the default behavior of federatedTokenValidationPolicy. This policy governs how Microsoft Entra validates federated authentication tokens and determines whether sign-ins are allowed when the internalDomainFederation does not match the user’s UPN domain. Previously, enforcing this behavior required explicit tenant configuration, but it will now be applied by default to reduce the risk of unintended cross-domain sign-ins caused by misconfigured or overly permissive federation trust relationships.

[When this will happen]

General Availability (Worldwide, GCC, GCCH, and DoD): We will begin rolling out in mid-August 2026 and expect to complete by mid-August 2026.

[How this affects your organization]

Who is affected

  • Microsoft 365 tenants using federated authentication in Microsoft Entra
  • Admins managing federated domains that were configured before December 2025
  • Applies only to federated domains that have an internalDomainFederation object

What will happen

  • By default, federated sign-ins will be blocked when the internalDomainFederation does not match the user’s UPN domain.
  • The internalDomainFederation object is typically created automatically during federation setup with Active Directory Federation Services (AD FS) or other identity providers (IdPs).
  • This stricter default behavior of the federatedTokenValidationPolicy is already enforced for federated domains added since December 2025.
  • After this change, the same behavior will apply to all existing federated domains with an internalDomainFederation object.
  • Impacted sign-ins will fail with the error:

AADSTS5000820: Sign-in blocked by Federated Token Validation policy. Contact your administrator for details.

  • There is no change to the user experience unless cross-domain federated sign-ins are currently occurring.

[What you can do to prepare]

  • No action is required for most organizations.
  • Cross-domain federated sign-ins will be blocked automatically as part of this security improvement.
  • Organizations that rely on cross-domain federated sign-ins should review their existing federation configurations before rollout.
  • (Strongly discouraged) If required for business continuity, Security Administrators, Hybrid Identity Administrators, or External Identity Provider Administrators can use Microsoft Graph to create a custom federatedTokenValidationPolicy with rootDomains = none to allow cross-domain sign-ins.
  • Communicate this change to identity and helpdesk teams to reduce support escalations.

Learn more:

[Compliance considerations]

Question Answer
Does the change include an admin control, and can it be controlled through Microsoft Entra ID group membership? Yes. Administrators can configure a custom federatedTokenValidationPolicy using Microsoft Graph to override the default behavior, although this is strongly discouraged due to security risks.
Does the change modify, interrupt, or disable Purview capabilities such as Data Loss Prevention, Information Protection, Conditional Access, audit logging, eDiscovery, encryption, or retention policies? Yes. This change affects authentication enforcement behavior in Microsoft Entra, which may indirectly influence how Conditional Access policies evaluate federated sign-ins.

Machine Translation

[はじめに]

フェデレーテッド認証のセキュリティを強化するため、Microsoft Entraは federatedTokenValidationPolicyのデフォルト動作を更新します。このポリシーは、Microsoft Entraがフェデレーテッド認証トークンをどのように検証するかを規定し、 InternalDomainFederation がユーザーのUPNドメインと一致しない場合にサインインが許可されるかどうかを決定します。以前はこの動作を強制するには明示的なテナント設定が必要でしたが、現在はデフォルトで適用され、誤設定や過度に寛容なフェデレーション信頼関係による意図しないドメイン間サインインのリスクを減らすようになっています。

[いつ起こるか]

一般稼働状況(世界、GCC、GCCH、国防総省): 2026年8月中旬から展開を開始し、8月中旬までに完了する予定です。

[これがあなたの組織に与える影響]

影響を受ける人物

  • Microsoft Entraフェデレーテッド認証を使用するMicrosoft 365テナント
  • 2025年12月以前に設定されたフェデレーテッドドメインを管理する管理者
  • 内部DomainFederationオブジェクトを持つフェデレーテッドドメインにのみ適用されます

何が起こるのか

  • デフォルトでは、internalDomainFederationが ユーザーのUPNドメインと一致しない場合、フェデレーテッドサインインはブロックされます。
  • internalDomainFederationオブジェクトは通常、Active Directory Federation Services(AD FS)やその他のアイデンティティプロバイダー(IdP)とのフェデレーション設定時に自動的に作成されます。
  • このfederatedTokenValidationPolicyより厳格なデフォルト動作、2025年12月以降に追加されたフェデレーテッドドメインに対してすでに適用されています。
  • この変更後は、内部DomainFederationオブジェクトを持つすべての既存のフェデレーテッドドメインに同じ動作が適用されます。
  • 影響を受けたサインインは以下のエラーで失敗します:

AADSTS5000820:Federated Token Validationポリシーによってサインインがブロックされました。詳細は管理者にお問い合わせください。

  • 現在、クロスドメインのフェデレーテッドサインインが行われていない限り、 ユーザー体験に変化 はありません。

【準備のためにできること】

  • ほとんどの組織では、何らかの行動は必要ありません。
  • このセキュリティ改善の一環として、ドメイン間のフェデレーテッドサインインは自動的にブロックされます。
  • クロスドメインのフェデレーテッドサインインに依存する組織は、展開前に既存のフェデレーション構成を見直すべきです。
  • (強く反対)業務継続のために必要な場合、セキュリティ管理者、ハイブリッドアイデンティティ管理者、または外部アイデンティティプロバイダー管理者は、Microsoft Graphを使ってrootDomains = noneのカスタムfederatedTokenValidationPolicyを作成し、クロスドメインサインインを可能にします。
  • この変更をアイデンティティおよびヘルプデスクチームに伝え、サポートのエスカレーションを減らしましょう。

詳しくはこちら:

[コンプライアンスの考慮事項]

質問 回答
変更には管理者権限も含まれますか?また、Microsoft Entra IDのグループメンバーシップを通じて管理できますか? はい。管理者はMicrosoft Graphを使ってカスタム FederatedTokenValidationPolicy を設定し、デフォルトの動作を上書きできますが、セキュリティリスクのため強く推奨されません。
この変更により、データ損失防止、情報保護、条件付きアクセス、監査ログ、eディスカバリー、暗号化、保持ポリシーなどのPurview機能が変更、中断、無効化されますか? はい。この変更はMicrosoft Entraにおける認証強制の動作に影響を与え、間接的に条件付きアクセスポリシーがフェデレーテッドサインインを評価する方法に影響を与える可能性があります。

Post Views: 2

m365jp.net