Skip to main content

Featured

Novo recurso no Microsoft Entra ID: desativar App Registration sem excluir

O Microsoft Entra ID agora permite desativar uma App Registration de forma reversível, sem precisar excluí-la do tenant.  Além de uma maneira de obter maior controle operacional, menor superfície de ataque e maior maturidade em identidade corporativa, esse recurso proporciona segurança, sem que haja  perca de configurações e permissões de aplicações que podem voltar a serem utilizadas. Antes dessa funcionalidade, administradores precisavam optar entre manter o aplicativo ativo durante uma investigação ou removê-lo completamente, o que implicava perda de histórico, permissões de API e configurações. Agora é possível interromper o acesso sem destruir o objeto. O que acontece ao desativar um aplicativo Quando uma App Registration é desativada, n ovos tokens deixam de ser emitidos, u suários não conseguem autenticar, a  aplicação não consegue acessar APIs usando novos tokens e o  Service Principal passa a ter o atributo isDisabled definido como true Se houver tentativa ...
Post a Comment
Read more

Controlando o acesso de aplicações no Exchange Online com RBAC




A segurança de ambientes Microsoft 365 demanda atenção especial ao gerenciamento de permissões concedidas a aplicações. A prática de fornecer acesso total a todas as caixas de correio representa risco elevado, por isso recomenda-se aplicar o RBAC (Role-Based Access Control) para definir exatamente quais privilégios cada aplicação deve ter. No contexto do Exchange Online, isso significa restringir permissões de leitura, envio ou modificação de e-mail, calendário e contatos apenas aos recursos realmente necessários.

O que é RBAC para aplicações no Exchange Online

RBAC para aplicações permite que você atribua funções específicas a aplicações registradas no Microsoft Entra ID (antigo Azure AD), de modo que elas operem com permissões controladas e limitadas. Em vez de conceder direitos globais indevidamente, você define roles (funções), escopos personalizados (scopes) e regras que determinam precisamente as tarefas que cada aplicação pode executar.

As permissões (roles) de aplicação suportadas variam conforme o protocolo utilizado. O Microsoft Graph oferece mais granularidade e opções, enquanto o protocolo EWS (Exchange Web Services) tem suporte limitado a uma role de acesso total (“EWS.AccessAsApp”). Note que o suporte ao EWS para acessos como aplicação será descontinuado a partir de 1º de outubro de 2026, tornando essencial a migração para Graph sempre que possível.

Principais passos para configurar RBAC para aplicações

Com base no guia prático, aqui estão os passos necessários:

  1. Registrar a aplicação no Microsoft Entra ID
    Crie ou identifique uma aplicação (App Registration). Obtenha seu Application ID e Object ID, que serão usados nos comandos de permissões.

  2. Determinar as roles necessárias
    Selecione as permissões adequadas de aplicação no Microsoft Graph ou outras suportadas. Por exemplo, Mail.Read, Mail.Send, Mail.ReadWrite, ou combinações que atendam apenas às necessidades mínimas. Evite dar mais do que o necessário.

  3. Criar escopo gerenciado personalizado (Management Scope)
    Defina um escopo que delimite quais caixas de correio ou usuários serão afetados. Pode ser um departamento (por exemplo, RH), um grupo de usuários ou uma caixa específica. Isso evita que a aplicação tenha permissão sobre toda a organização.

  4. Atribuir a role para a aplicação com escopo personalizado
    Use cmdlets do PowerShell do Exchange Online para associar a aplicação à role desejada, limitando o escopo conforme definido. Comandos como New-ManagementRoleAssignment permitem isso, incluindo a criação de múltiplas roles se necessário.

  5. Testar a configuração
    Verifique se a aplicação de fato só tem permissão para os recursos permitidos e nada além. Comandos como Get-ManagementRoleAssignment e Test-ServicePrincipalAuthorization ajudam a validar o que está em escopo ou fora dele.

Cuidados e boas práticas

  • Princípio do menor privilégio: sempre conceda apenas aquilo que a aplicação precisa — nem mais nem menos.

  • Migração para Graph: considerando o fim do suporte ao EWS para acessos como aplicação em 2026, todas as novas implementações devem usar Microsoft Graph.

  • Auditoria contínua: revisite regularmente quais roles estão atribuídas, onde estão as permissões, se há roles abandonadas ou que concedam mais que o necessário.

  • Segurança de credenciais: garanta que a aplicação utilize credenciais seguras, como certificados ou secrets, com rotação periódica; limite quem pode gerenciar essas aplicações.

Configurar RBAC para aplicações no Exchange Online é fundamental para aumentar a segurança e a governança em ambientes corporativos. Por meio de roles específicas, escopos personalizados e atuação mínima necessária, as organizações conseguem evitar acessos excessivos ou indevidos. O uso do Microsoft Graph, em lugar de EWS, torna-se cada vez mais urgente com a descontinuação prevista do suporte.

Me acompanhe em outras redes sociais: iamjuliaribeiro | Instagram, Twitch | Linktree

Comments

Post a Comment