Featured

Novo recurso no Microsoft Entra ID: desativar App Registration sem excluir



O Microsoft Entra ID agora permite desativar uma App Registration de forma reversível, sem precisar excluí-la do tenant. Além de uma maneira de obter maior controle operacional, menor superfície de ataque e maior maturidade em identidade corporativa, esse recurso proporciona segurança, sem que haja perca de configurações e permissões de aplicações que podem voltar a serem utilizadas.

Antes dessa funcionalidade, administradores precisavam optar entre manter o aplicativo ativo durante uma investigação ou removê-lo completamente, o que implicava perda de histórico, permissões de API e configurações. Agora é possível interromper o acesso sem destruir o objeto.

O que acontece ao desativar um aplicativo

Quando uma App Registration é desativada, novos tokens deixam de ser emitidos, usuários não conseguem autenticar, a aplicação não consegue acessar APIs usando novos tokens e o Service Principal passa a ter o atributo isDisabled definido como true

Se houver tentativa de uso, o erro apresentado será o AADSTS7000112 – Application is disabled.

É importante observar que tokens já emitidos continuam válidos até sua expiração natural. A desativação não revoga sessões já ativas.

A desativação é indicada para quando há necessidade de resposta a incidentes, investigação de comportamento suspeito, auditorias de permissões e bloqueios temporários. 
Como boa prática, recomenda-se revisar e remover owners antes da desativação para evitar reativação indevida.

Passo a passo para desativar uma aplicação

Desativar um aplicativo pelo portal do Microsoft Entra ID

  1. Acesse o Microsoft Entra admin center

  2. Navegue até Entra ID

  3. Clique em App registrations

  4. Selecione a aplicação desejada

  5. Clique em Deactivate

  6. Revise as informações exibidas no painel lateral

  7. Confirme a desativação

Essa ação interrompe globalmente a emissão de novos tokens para a aplicação.

Desativar uma aplicação usando PowerShell

Esse método é indicado para automação ou execução remota: powershell_scripts/Microsoft/Azure/disable_appRegistration.ps1 at main · iamjrbro/powershell_scripts

A possibilidade de desativar uma App Registration sem excluí-la permite redução do risco de acessos indesejados sem impacto estrutural, além de preservar configurações para possível reativação e aplicar governança com menor fricção operacional. 

Me acompanhe em outras redes sociais: iamjuliaribeiro | Instagram, Twitch | Linktree

Comments

Post a Comment