Josimar HedlerÉ essencial eliminar riscos desnecessários, e desabilitando o consentimento de usuários para aplicativos de terceiros. Mas como proceder quando alguém na organização precisar acessar esses aplicativos? Veja ao longo desse artigo como desabilitar essa função.
Se você desativar o consentimento do usuário para aplicativos no Microsoft 365, ainda é possível permitir que os usuários utilizem suas contas corporativas em aplicativos de terceiros, mas de maneira mais segura, controlada e centralizada. Isso pode ser feito utilizando o consentimento administrativo e implementando fluxos de trabalho que garantam a segurança.
Essa configuração controla se os usuários podem dar esse consentimento a aplicativos que usam OpenID Connect e OAuth 2.0 para entrada e solicitações para acessar dados. Um aplicativo pode ser criado de dentro de sua própria organização ou pode vir de outra organização do Microsoft 365 ou de terceiros.
Se você ativar essa configuração, esses aplicativos pedirão aos usuários permissão para acessar os dados da sua organização e os usuários poderão escolher se permitem. Ao desativar essa configuração, os administradores devem consentir com esses aplicativos antes que os usuários possam usá-los.
ATENÇÃO: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção
Vamos configurar seu ambiente para garantir que tudo funcione corretamente.
Acesse o portal do Microsoft Entra
1 – Clique em Identidade
2 – Depois em Usuário
3 – Em seguida em Configurações do Usuário
4 – Por padrão, essa opção já vem habilitada, se estiver configurada como NÃO habilitada, ela bloqueará todo o processo, certifique-se de mantê-la como na imagem abaixo.
Conforme mencionado acima, a opção que permite aos usuários registrar aplicativos deve estar habilitada. Caso contrário, isso bloqueará completamente o processo, impedindo o usuário de solicitar acesso ao administrador.
Agora, vamos aprender como criar e configurar o fluxo de trabalho para consentimento do administrador.
Pré-requisitos
Para configurar o fluxo de trabalho de consentimento do administrador, você precisa:
- Uma conta do Azure. Crie uma conta gratuitamente.
- Você deve ser um Administrador Global para ativar o fluxo de trabalho de consentimento administrativo.
Nota: A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Vá para o portal do Microsoft Entra
1 – Clique em Identidades.
2 – Depois em Aplicativos.
3 – Em seguinda em Configurações de consentimento do administrador.
4 – Aqui marcamos SIM, por padrão ja vem desabilitado.
5 – Selecione um usuário que ira revisar as solicitações.
6- Seleciona SIM para ser notificado por e-mail cada solicitação.
7 – Selecione SIM para ser lembrado da expiração, nesse exemplo deixamos em 30 dias.
Nota: É possível adicionar ou remover revisores deste fluxo de trabalho modificando a lista Quem pode revisar solicitações de consentimento do administrador. Uma limitação atual desse recurso é que os revisores mantêm a capacidade de revisar as solicitações feitas enquanto eles estavam designados como revisores, e receberão e-mails de lembrete de expiração para essas solicitações depois que eles forem removidos da lista de revisores. Além disso, novos revisores não serão atribuídos as solicitações criadas antes de serem definidos como revisores.
Após concluir as configurações, passaremos pelo processo de registro em um aplicativo de terceiros. Assim, será exibida ao usuário final a tela demonstrada na imagem abaixo, onde ele pode inserir a justificativa para o uso do aplicativo.
Quando o usuário concluir o processo, o administrador designado como revisor receberá um link da solicitação em seu e-mail. Ao clicar no link, ele será direcionado ao portal do Azure, onde poderá revisar as solicitações.
Essa abordagem segue o princípio de Confiança Zero: “Nunca confie, sempre verifique”. Elaborei um artigo exclusivamente sobre esse tema. Você pode conferir mais detalhes clicando nesse link.
Sua contribuição é importante. Venha também fazer parte dessa jornada.
