Skip to main content

Featured

Novo recurso no Microsoft Entra ID: desativar App Registration sem excluir

O Microsoft Entra ID agora permite desativar uma App Registration de forma reversível, sem precisar excluí-la do tenant.  Além de uma maneira de obter maior controle operacional, menor superfície de ataque e maior maturidade em identidade corporativa, esse recurso proporciona segurança, sem que haja  perca de configurações e permissões de aplicações que podem voltar a serem utilizadas. Antes dessa funcionalidade, administradores precisavam optar entre manter o aplicativo ativo durante uma investigação ou removê-lo completamente, o que implicava perda de histórico, permissões de API e configurações. Agora é possível interromper o acesso sem destruir o objeto. O que acontece ao desativar um aplicativo Quando uma App Registration é desativada, n ovos tokens deixam de ser emitidos, u suários não conseguem autenticar, a  aplicação não consegue acessar APIs usando novos tokens e o  Service Principal passa a ter o atributo isDisabled definido como true Se houver tentativa ...
Post a Comment
Read more

Atualização do Entra ID: Atributos de Extensão para dispositivos via PowerShell e Grupos Dinâmicos


O Microsoft Entra ID (anterior Azure AD) apresenta um conjunto de atributos personalizados — chamados extension attributes 1-15 — nos objetos de dispositivo. Esses campos livres são extremamente úteis para adicionar metadados como ambiente (produção, desenvolvimento), departamento ou proprietário, possibilitando automações sofisticadas de segurança, políticas e gestão com base em marcação customizada.

O que são e para que servem?

Os extension attributes são campos de texto expostos através da propriedade extensionAttributes na Microsoft Graph e podem serem usados em diversas tarefas:

  • Criação de grupos dinâmicos com base no valor desses atributos (ex: dispositivos com tag “MDE” entram automaticamente em um grupo específico).

  • Aplicação de políticas direcionadas: Defender for Endpoint, Acesso Condicional ou configurações via Intune podem ser atribuídas conforme essa marcação.

Como atualizar via PowerShell e Graph API

Um script facilitador foi publicado pela Microsoft com o seguinte fluxo:

  1. Crie um app registration no Entra ID, concedendo permissão Device.ReadWrite.All e dê consentimento de administrador.

  2. Gere um token via OAuth com tenantId, clientId e clientSecret.

  3. Leia um arquivo Excel ou CSV contendo nomes de dispositivos.

  4. Para cada dispositivo:

    • Recupere seu ID via Graph API (busca por display name).

    • Envie um PATCH para /devices/{deviceId}, atribuindo um valor ao extensionAttributeX, por exemplo "MDE".

  5. Após confirmar nas respostas que alterações foram aplicadas, os dispositivos recebem a marcação desejada.

Criando grupos dinâmicos com atributos customizados

Com os dispositivos marcados, você pode configurar um grupo de segurança dinâmico no portal do Entra ID:

  • Tipo de grupo: Security, com Dynamic Device membership.

  • Exemplo de regra para inclusão automática:

(device.extensionAttributes.extensionAttribute6 -eq "MDE")

Dispositivos com esse atributo igual a “MDE” serão automaticamente incluídos no grupo. A partir daí, você pode direcionar políticas de segurança específicas ou configurações do Intune de forma dinâmica e precisa.

Por que isso faz diferença?

  • Automação escalável: permite gerenciar alterações em massa via script e relatórios.

  • Precisão nas políticas: políticas passam a ser aplicadas somente a segmentos desejados (por exemplo, apenas dispositivos de produção ou de um departamento específico).

  • Integração com CA e MDE: torna possível impor segmentação sofisticada dentro de cenários de segurança ou compliance.

Boas práticas

  • Testes controlados: valide o script em ambiente de homologação antes de aplicar em produção

  • Licenciamento: grupos dinâmicos exigem licenças Entra ID P1 ou Intune for Education 

  • Monitoramento das carvões: audite logs de execução do script e alterações em dispositivos

  • Visualização adicional: use o portal ou Get-MgDevice com additionalProperties para verificar os valores configurados 


Para mais: Update Entra ID Device Extension Attributes via PowerShell & Create Dynamic Security Groups. | Microsoft Community Hub

Me acompanhe em outras redes sociais: iamjuliaribeiro | Instagram, Twitch | Linktree

Comments

Post a Comment