Skip to main content

Featured

Novo recurso no Microsoft Entra ID: desativar App Registration sem excluir

O Microsoft Entra ID agora permite desativar uma App Registration de forma reversível, sem precisar excluí-la do tenant.  Além de uma maneira de obter maior controle operacional, menor superfície de ataque e maior maturidade em identidade corporativa, esse recurso proporciona segurança, sem que haja  perca de configurações e permissões de aplicações que podem voltar a serem utilizadas. Antes dessa funcionalidade, administradores precisavam optar entre manter o aplicativo ativo durante uma investigação ou removê-lo completamente, o que implicava perda de histórico, permissões de API e configurações. Agora é possível interromper o acesso sem destruir o objeto. O que acontece ao desativar um aplicativo Quando uma App Registration é desativada, n ovos tokens deixam de ser emitidos, u suários não conseguem autenticar, a  aplicação não consegue acessar APIs usando novos tokens e o  Service Principal passa a ter o atributo isDisabled definido como true Se houver tentativa ...

Windows Recall




O que é o Recall (Relembrar)?

Recall (ou Relembrar, em português) é um recurso do Windows — focado em Copilot+ PCs — que captura instantâneos da tela e permite pesquisar sua atividade anterior usando linguagem natural. Por padrão, o Recall está desativado e removido em dispositivos gerenciados

Habilitando o Recall em ambiente gerenciado

a) Ativar a política "Allow Recall to be enabled"

  • Objetivo: permitir que usuários finais habilitem o Recall em seus dispositivos.

  • Por padrão: esse recurso está desativado em ambientes gerenciados. 

  • Como ativar:

    • Via GPO:
      Configuração do Computador > Modelos Administrativos > Windows Components > Windows AI > Allow Recall to be enabled

    • Via CSP (ex. Intune): usar o caminho
      ./Device/Vendor/MSFT/Policy/Config/WindowsAI/AllowRecallEnablement

  • Importante: é necessário reiniciar o dispositivo após essa configuração. Se desativado, todos os bits do Recall serão removidos e também snapshots previamente salvos serão excluídos. 

Permitir que usuários salvem snapshots (Turn off saving snapshots for Recall)

  • Essa política não força o salvamento de snapshots — ela dá escolha ao usuário final.

  • Se definida como Desativada, o usuário poderá optar por salvar snapshots personalizadamente. Se ativada, snapshots existentes serão excluídos. 

  • Onde configurar:

    • GPO:

      • Configuração do Computador ou Usuário › Modelos Administrativos › Windows Components › Windows AI > Turn off saving snapshots for Recall

    • CSP via Intune:

      • ./Device/Vendor/MSFT/Policy/Config/WindowsAI/DisableAIDataAnalysis para controle de snapshots 

Outras políticas relacionadas (para ambientes corporativos)

a) Política de armazenamento (Set maximum storage for snapshots)

  • Permite definir o tamanho máximo da área em disco usada pelos snapshots (ex: 10, 25, 50, 75, 100 ou 150 GB). Ao atingir o limite, snapshots antigos são excluídos automaticamente. 

b) Filtragem de apps, sites e conteúdo sensível

  • Filtragem individual: usuários podem excluir apps ou sites via Settings > Privacy & Security > Recall & Snapshots

  • Conteúdo sensível (senhas, cartões, etc.): filtrado por padrão.

  • Política centralizada para filtragem ainda não está disponível — cada usuário precisa configurar individualmente. 


Mecanismos adicionais e segurança

  • Remover completamente o Recall:

    • Via PowerShell:

      Disable-WindowsOptionalFeature -Online -FeatureName "Recall" -Remove
      
    • Via Registro (Home edition): criar DWORD AllowRecallEnablement=0 em HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsAI e reiniciar. 

  • Bloquear Recall via Intune ou similares:

    • Aplicar DisableAIDataAnalysis via CSP desativa o recurso. 


Configurar o Recall via CSP no Intune

Configuração do Recall (Relembrar) via CSP no Intune

1. Acesse o Intune

  1. Entre no Microsoft Intune admin center:
    https://intune.microsoft.com

  2. No menu lateral, vá em:
    Devices > Configuration profiles.

2. Criar um perfil de configuração

  1. Clique em + Create profile.

  2. Escolha:

    • Platform: Windows 10 and later

    • Profile type: Templates > Custom

  3. Clique em Create.

3. Definir configurações do perfil

  1. Dê um nome ao perfil, por exemplo:
    Recall – Configuração de Políticas

  2. Opcionalmente adicione uma descrição.

  3. Clique em Next.

4. Adicionar a OMA-URI (CSP)

Agora você vai adicionar os parâmetros CSP que controlam o Recall.

a) Permitir Recall ser habilitado

  • Name: Allow Recall Enablement

  • OMA-URI:

    ./Device/Vendor/MSFT/Policy/Config/WindowsAI/AllowRecallEnablement
    
  • Data type: Integer

  • Value:

    • 1 = Permitir que o usuário habilite Recall

    • 0 = Bloquear Recall

(Opcional) Bloquear salvamento de snapshots

  • Name: Disable Recall Snapshots

  • OMA-URI:

    ./Device/Vendor/MSFT/Policy/Config/WindowsAI/DisableAIDataAnalysis
    
  • Data type: Integer

  • Value:

    • 1 = Bloquear snapshots (usuário não consegue salvar)

    • 0 = Permitir que usuário escolha salvar snapshots


(Opcional) Definir limite de armazenamento

  • Name: Recall Snapshot Max Size

  • OMA-URI:

    ./Device/Vendor/MSFT/Policy/Config/WindowsAI/RecallSnapshotMaxSize
    
  • Data type: Integer

  • Value: um dos valores suportados (em GB):

    • 10, 25, 50, 75, 100, 150

5. Atribuir o perfil

  1. Clique em Next.

  2. Em Assignments, escolha:

    • Todos os dispositivos

    • Ou apenas grupos específicos (recomendado para testes primeiro).

  3. Clique em Next > Create.

6. Aplicação e validação

  • O dispositivo precisa ser reiniciado após aplicar a política.

  • Para validar, vá em:
    Configurações > Privacidade e segurança > Recall & snapshots
    e veja se a opção está habilitada ou bloqueada conforme a política.


Resumo prático dos CSPs

  • AllowRecallEnablement → Ativa ou bloqueia o Recall.

  • DisableAIDataAnalysis → Controla snapshots.

  • RecallSnapshotMaxSize → Define limite de armazenamento.


No Intune, quando você cria o perfil de configuração com OMA-URI (CSP), o alvo da atribuição pode ser:

  • Grupos de usuários: a política segue o usuário (independente do dispositivo que ele entrar).

  • Grupos de dispositivos: a política é aplicada diretamente na máquina (independente do usuário logado).

🚨 No caso do Recall

As chaves que citei (AllowRecallEnablement, DisableAIDataAnalysis, RecallSnapshotMaxSize) são Device policies → elas ficam no contexto de Computador.

👉 Ou seja, o mais correto é atribuir a grupos de dispositivos.

📌 Exemplo prático

  • Se você tem um parque de notebooks Copilot+ PCs, o ideal é criar um grupo dinâmico de dispositivos no Entra ID (ex-Azure AD).

  • Esse grupo pode ser filtrado, por exemplo, só por dispositivos com Windows 11 Enterprise.

  • Depois você atribui o perfil do Intune a esse grupo de dispositivos.

Assim:

  • Qualquer usuário que logar na máquina já recebe a política.

  • Evita inconsistências (porque a configuração é no nível de sistema, não de perfil de usuário).

🔑 Resumindo:
➡️ Para Recall → grupo de dispositivos.
➡️ Para políticas que controlam só experiência do usuário (como Edge, Office, etc.) → aí faz sentido usar grupo de usuários.


Para mais: Retrace your steps with Recall - Microsoft Support

Me acompanhe em outras redes sociais: iamjuliaribeiro | Instagram, Twitch | Linktree

Comments