Skip to main content

Featured

Novo recurso no Microsoft Entra ID: desativar App Registration sem excluir

O Microsoft Entra ID agora permite desativar uma App Registration de forma reversível, sem precisar excluí-la do tenant.  Além de uma maneira de obter maior controle operacional, menor superfície de ataque e maior maturidade em identidade corporativa, esse recurso proporciona segurança, sem que haja  perca de configurações e permissões de aplicações que podem voltar a serem utilizadas. Antes dessa funcionalidade, administradores precisavam optar entre manter o aplicativo ativo durante uma investigação ou removê-lo completamente, o que implicava perda de histórico, permissões de API e configurações. Agora é possível interromper o acesso sem destruir o objeto. O que acontece ao desativar um aplicativo Quando uma App Registration é desativada, n ovos tokens deixam de ser emitidos, u suários não conseguem autenticar, a  aplicação não consegue acessar APIs usando novos tokens e o  Service Principal passa a ter o atributo isDisabled definido como true Se houver tentativa ...
Post a Comment
Read more

Configuração de Autenticação Moderna (CBA) no Microsoft Entra Connect Sync




A partir da versão 2.5.3.0, o Microsoft Entra Connect Sync está em pré-visualização com suporte a um novo modelo de autenticação baseado em OAuth 2.0 com fluxo de credenciais de cliente, utilizando certificados vinculados a um Service Principal.

Essa mudança elimina a dependência do tradicional Managed Service Account baseado em nome de usuário e senha, trazendo maior segurança e facilidade de gestão.

Benefícios da nova abordagem

  • Elimina o uso de conta de serviço com senha

  • Reduz o risco de falhas relacionadas às Políticas de Acesso Condicional

  • Suporte nativo à rotação de certificados

  • Armazenamento seguro da chave privada no TPM, quando disponível

  • Gerenciamento automático da aplicação e certificados pela Microsoft (criação, rotação e exclusão)

Verificação de Conta em Uso

No servidor do Entra Connect Sync, execute:

Get-ADSyncEntraConnectorCredential

Esse comando mostra se a autenticação ainda é feita por nome de usuário/senha ou se já está utilizando o certificado via Service Principal.


Instalação Nova ou Migração

  • Uma nova instalação do Entra Connect já cria automaticamente o Service Principal e certificado.

  • É possível usar BYOA/BYOC (Bring Your Own App/Certificate).

  • Após a migração, use PowerShell para remover a conta de serviço legada.


Configuração Manual do Certificado e Service Principal: powershell_scripts/Microsoft/Entra ID at main · iamjrbro/powershell_scripts

Essa funcionalidade traz um grande avanço na segurança e confiabilidade do Entra Connect Sync e é altamente recomendada sua adoção antes que o suporte ao método antigo seja encerrado.

Para mais: Authenticate to Microsoft Entra ID using Application Identity - Microsoft Entra ID | Microsoft Learn

Comments

Post a Comment