Índice
Ao implementar controles de segurança para contas administrativas, é indispensável definir mecanismos de recuperação que garantam o restabelecimento do acesso em cenários imprevistos. Embora as contas de emergência sejam amplamente recomendadas pela Microsoft como parte das boas práticas de segurança, depender exclusivamente delas pode representar um risco operacional. Mesmo estando normalmente fora do escopo das políticas de Acesso Condicional, falhas como remoções acidentais, alterações incorretas, problemas na configuração de MFA ou inconsistências administrativas podem comprometer seu funcionamento e impedir o acesso ao ambiente.
Diante desse cenário, a implementação de um aplicativo dedicado para acesso de emergência no Microsoft Entra se torna uma camada adicional fundamental na estratégia de recuperação administrativa. Diferente do acesso tradicional baseado em autenticação interativa de usuários, essa abordagem utiliza autenticação não interativa, permitindo recuperar o controle do ambiente mesmo quando métodos convencionais de recuperação não estão mais disponíveis. Em ambientes corporativos, possuir esse mecanismo de contingência pode ser decisivo para evitar perda total de acesso ao tenant.
Neste artigo, será demonstrado o processo de configuração de um aplicativo de acesso emergencial no Microsoft Entra, permitindo a recuperação administrativa do ambiente em situações críticas de bloqueio ou indisponibilidade das contas privilegiadas.
Atenção: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção
Conta Break Glass
A conta break glass é uma conta administrativa altamente privilegiada criada para ser utilizada exclusivamente em cenários críticos, quando os demais acessos administrativos do ambiente não estão disponíveis. Por se tratar de uma conta de usuário tradicional, o acesso ocorre de forma interativa, normalmente por meio do portal do Microsoft Entra, PowerShell ou outras ferramentas administrativas, podendo inclusive exigir autenticação multifator (MFA).
Apesar de ser uma prática recomendada para recuperação emergencial, esse modelo ainda depende de configurações associadas ao usuário. Isso significa que alterações incorretas em políticas de Acesso Condicional, problemas relacionados ao MFA, bloqueios administrativos ou até exclusões acidentais podem comprometer seu funcionamento. Além disso, como a conta depende de gerenciamento humano, existe o risco de desativação por inatividade, remoção indevida de privilégios ou falhas operacionais ao longo do tempo.
Break Glass Application
A aplicação break glass segue uma abordagem diferente, utilizando uma identidade de aplicativo (service principal) registrada no Microsoft Entra ID com permissões administrativas elevadas. Nesse modelo, a autenticação ocorre de forma não interativa, geralmente utilizando certificados digitais, eliminando a dependência de login manual baseado em usuário e senha.
Como não está vinculada diretamente a uma conta de usuário convencional, a aplicação normalmente não é impactada pelas políticas de Acesso Condicional aplicadas aos usuários da organização. Isso torna o mecanismo mais resiliente em cenários de recuperação, principalmente quando falhas de autenticação impedem o acesso administrativo tradicional.
Outro diferencial importante é que o aplicativo permanece funcional enquanto o registro da aplicação e seus certificados estiverem válidos. Além disso, ele pode ser utilizado em scripts, automações ou chamadas de API para executar ações administrativas críticas, como redefinição de métodos de autenticação, alteração de políticas de segurança, gerenciamento de usuários e outras operações de recuperação do ambiente
Importante: As funções de Administrador de Aplicações e Administrador de Aplicações em Nuvem devem ser tratadas como privilégios altamente sensíveis dentro do Microsoft Entra ID. Usuários atribuídos a esses papéis possuem capacidade para criar, alterar e administrar registros de aplicativos e service principals, incluindo a adição de credenciais em aplicações já existentes. Na prática, isso pode permitir que um administrador com essas permissões assuma o controle de aplicações críticas do ambiente, inclusive aplicativos de emergência com privilégios elevados, como uma aplicação break glass. Caso explorado indevidamente, esse cenário pode resultar em escalada de privilégios e obtenção de acesso administrativo completo ao tenant. Para reduzir esse risco, recomenda-se aplicar o princípio do menor privilégio, limitando essas funções apenas a administradores estritamente necessários e evitando atribuições amplas ou permanentes sempre que possível.
Por que e quando usar o aplicativo Break Glass Access no Microsoft 365?
O aplicativo Break Glass no Microsoft 365 é utilizado como um mecanismo adicional de recuperação administrativa para cenários em que contas privilegiadas tradicionais deixam de funcionar.
Diferente das contas break glass convencionais, que ainda dependem de autenticação interativa e podem ser afetadas por políticas de Acesso Condicional, MFA ou bloqueios administrativos, a aplicação utiliza autenticação não interativa baseada em certificados e permissões atribuídas diretamente ao service principal. Isso permite executar ações críticas de recuperação mesmo em situações onde nenhum administrador consegue acessar o ambiente normalmente. Seu uso é especialmente recomendado para organizações que desejam aumentar a resiliência operacional e garantir uma alternativa segura para restaurar o controle do tenant durante incidentes de segurança, falhas de configuração ou bloqueios generalizados de acesso.
Boas Práticas de Segurança para Break Glass Application no Microsoft Entra ID
- Proteja informações sensíveis da aplicação, como o Application ID, Thumbprint do certificado e certificados privados, utilizando cofres seguros ou soluções dedicadas para gerenciamento de segredos.
- Realize auditorias periódicas nos certificados utilizados pela aplicação para garantir que permaneçam válidos e atualizados, evitando indisponibilidade durante cenários de recuperação.
- Adote as mesmas práticas de hardening e monitoramento aplicadas a aplicações críticas do ambiente, reduzindo riscos de abuso, comprometimento ou persistência maliciosa por atacantes.
- Mantenha pelo menos duas contas de emergência altamente protegidas, seguindo as recomendações de segurança da Microsoft para contas break glass, garantindo redundância em cenários críticos.
Vamos para o Hands On
Faça login no portal do Microsoft Entra ID
- Na seção do Entra ID
- Desça até App registration
- New registrtions

- Na pagina de registro de aplicativo, Insira um nome para sua aplicação. Não utilize nomes desconhecidos ou nomes que indiquem acesso com altos privilégios para evitar chamar a atenção de invasores em caso de falhas de segurança.
- Especifique quem pode acessar o aplicativo por meio Supported account types e defina esse valor como Single tenant only, depois clique em Register.
- O campo Redirect URI pode deixar em branco e clique em Registrar para concluir o registro inicial do aplicativo.

Após concluir o registro, em seguida, selecione o aplicativo registrado, copie o Application (Client) ID e o Directory (tenant) ID, e salve essas informações para utilização posterior.

Configurando as permissões para o aplicativo
Acesse API permissions, e remova a permissão de User.Read (Delegated)


Clique em Add permission a aplicação deve receber as seguintes permissões de alto privilégio do Microsoft Graph:
- User.ReadWrite.All – Para gerenciar contas de usuário e detalhes.
- Directory.ReadWrite.All – Para ler e atualizar dados de diretório.
- Policy.Read.All – Para visualizar detalhes das políticas de Acesso Condicional.
- Policy.ReadWrite.ConditionalAccess – Para modificar as políticas de Acesso Condicional.
- RoleManagement.ReadWrite.Directory – Para atribuir ou remover funções de administrador.
- UserAuthenticationMethod.ReadWrite.All – Para redefinir ou alterar os métodos de autenticação do usuário
Após atribuir as permissões, Selecione o botão Grant admin consent for <domínio> e, em seguida, selecione
YES para conceder o consentimento de administrador para as permissões configuradas.

Essas permissões são fundamentais para permitir que o aplicativo realize ações críticas de recuperação, como gerenciamento de usuários, atualização de políticas de Acesso Condicional, administração de métodos de autenticação e reatribuição de funções em cenários de emergência.
Adicionar certificado ao registro do aplicativo do Entra ID
É necessário um certificado para iniciar sessão interativamente, de acordo com a sua disponibilidade, você pode obter um de uma autoridade certificadora (CA) criar um certificado autoassinado usando o PowerShell, que é oque vamos fazer nesse artigo.
Selecione Certificates & secrets na guia Certificates , selecione o botão Uploud certificate, vá ate seu certificado e selecione

Bloquear o uso de Client Secrets em aplicações privilegiadas é uma importante camada de segurança no Microsoft Entra ID. Diferente dos certificados, os secrets funcionam como senhas da aplicação e podem ser facilmente expostos em scripts, pipelines, arquivos de configuração ou repositórios. Com autenticação baseada em certificado, o acesso passa a depender da posse da chave privada armazenada localmente, reduzindo significativamente riscos relacionados a vazamento de credenciais, phishing e acesso remoto indevido.
Nota: Em aplicações críticas e de recuperação de emergência, essa abordagem fortalece a proteção das identidades não humanas e reduz a superfície de ataque do ambiente, tenho um artigo completo sobre como bloquear client secret.

Criando um próprio certificado SSL usando o PowerShell
Siga os passos abaixo para crie seu certificado usando ‘New-SelfSignedCertificate’ , você pode criar um certificado facilmente
$Certificate=New-SelfSignedCertificate –Subject testing.com -CertStoreLocation Cert:\CurrentUser\My $Certificate
Atenção: O certificado utilizado neste cenário foi armazenado no repositório Cert:\CurrentUser\My, o que significa que ele fica vinculado ao perfil do usuário que o criou na máquina local. Dessa forma, a autenticação do aplicativo depende não apenas do Client ID e Tenant ID, mas também da posse da chave privada associada ao certificado. Na prática, isso reduz significativamente a superfície de ataque, já que somente usuários com acesso ao contexto daquele perfil no dispositivo conseguem utilizar o certificado para autenticação via PowerShell ou Microsoft Graph.
Exportação e Importação Segura do Certificado para Recuperação Emergencial
Ao exportar um certificado no formato .PFX, tanto o certificado quanto a sua chave privada são incluídos no arquivo, permitindo sua utilização em outro ambiente para cenários de recuperação ou continuidade operacional. Esse processo é comum em situações de disaster recovery, automações com Microsoft Graph PowerShell ou migração de aplicações que utilizam autenticação baseada em certificado.
Após a exportação, o arquivo pode ser importado em outro dispositivo por meio do cmdlet Import-PfxCertificate, restaurando a capacidade de autenticação da aplicação no Microsoft 365.
Por conter a chave privada, o arquivo .PFX deve ser tratado como um segredo altamente sensível, equivalente a uma credencial privilegiada, e deve ser armazenado com controles de segurança adequados, como cofres de segredo ou repositórios protegidos.
Siga os comando abaixo para fazer o export.
# Nome do certificado
$certname = "EmergencyAccessApp"
# Localiza o certificado no repositório do usuário atual
$Certificate = Get-ChildItem Cert:\CurrentUser\My | Where-Object {
$_.Subject -like "*$certname*"
}
# Solicita a senha
$Pwd1 = Read-Host "Digite a senha do certificado" -AsSecureString
$Pwd2 = Read-Host "Confirme a senha do certificado" -AsSecureString
# Converte SecureString para texto para comparação
$Pass1 = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto(
[System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($Pwd1)
)
$Pass2 = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto(
[System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($Pwd2)
)
# Valida se as senhas coincidem
if ($Pass1 -eq $Pass2)
{
# Cria a pasta de destino
New-Item -Path "D:\Certificados" -ItemType Directory -Force
# Exporta o certificado para PFX
Export-PfxCertificate `
-Cert $Certificate `
-FilePath "D:\Certificados\EmergencyAccessApp.pfx" `
-Password $Pwd1
Write-Host "Certificado exportado com sucesso."
}
else
{
Write-Host "As senhas não coincidem."
}Atenção: O arquivo .pfx, que contém a chave privada do certificado, é protegido por criptografia e requer autenticação adequada para ser utilizado, impedindo o acesso não autorizado por outros usuários.
Siga os comando abaixo para fazer o Import.
# Cria a pasta de destino no disco C:
New-Item -Path "C:\EmergencyAccess" -ItemType Directory -Force
# Solicita a senha do PFX
$Pwd = Read-Host "Digite a senha do PFX" -AsSecureString
# Importa o certificado da pasta local
Import-PfxCertificate `
-FilePath "C:\EmergencyAccess\EmergencyAccessApp.pfx" `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Password $PwdObservação: Os caminhos utilizados nos exemplos são genéricos e devem ser ajustados conforme o ambiente, dispositivo ou local de armazenamento utilizado.
A importação do certificado permite restaurar a autenticação da aplicação em outra máquina utilizando o arquivo .pfx previamente exportado. Durante esse processo, o certificado e sua chave privada são adicionados ao repositório de certificados do usuário, possibilitando novamente a autenticação segura via Microsoft Graph PowerShell. Como o arquivo .pfx contém informações sensíveis, sua importação exige a senha definida no momento da exportação, garantindo proteção adicional contra uso não autorizado.
Exportar certificado autoassinado usando o PowerShell
Get-ChildItem -Path cert:\CurrentUser\my | Export-Certificate -FilePath c:\certs\allcerts.sstAo exportar o certificado, o formato padrão utilizado é CERT. Já na exportação de múltiplos certificados, o formato padrão passa a ser SST, caso necessário, o parâmetro -Type pode ser utilizado para definir um formato de arquivo diferente.
Com arquivo expotado, adicione ele na sua application.

Para se conectar com o aplicativo Break Glass, você precisa usar o seguinte cmdlet de conexão, substituindo os valores apropriados nos espaços reservados.
Connect-MgGraph -ClientId <Client ID> -TenantId <Tenant ID> -CertificateThumbprint <Thumbprint>Monitoramento de Operações da Aplicação de Emergência no Microsoft Entra Break Glass
O aplicativo Break Glass do Microsoft Entra possuem permissões altamente privilegiadas, e qualquer alteração não autorizada pode representar um risco significativo para a segurança da organização. Por isso, monitorar quando, como e por que o aplicativo foi utilizado é essencial para validar acessos emergenciais e garantir rastreabilidade das operações realizadas.
- No portal do Entra ID, desça ate Monitoring & health
- Clique em Sign-in logs
- Depois em Service principal sing-ins

Os logs de auditoria do Microsoft Entra ID podem ser utilizados para rastrear ações executadas pelo aplicativo Break Glass, como alterações em políticas, redefinições de métodos de autenticação e modificações de permissões. Esse monitoramento é essencial para identificar usos indevidos e garantir o controle sobre operações realizadas pelo aplicativo de acesso emergencial.
Monitorando as Operações do Application Break Glass por meio dos Logs de Auditoria do Microsoft Entra ID.
- No portal do Entra ID, desça ate Monitoring & health
- Clique em Audit logs
- Depois filtre por uma data especifica
- Selecione o filtro de categoria e escolha ApplicationManagement
- Adicione um novo filtro Target, de no campo value defina nome do da sua applicação

Implementar um aplicativo Break Glass no Microsoft Entra ID é uma estratégia fundamental para cenários de recuperação de desastres e resposta a incidentes. No entanto, tão importante quanto disponibilizar esse acesso emergencial é garantir sua proteção contra usos indevidos. Estar preparado não significa apenas possuir um plano de recuperação, mas também mantê-lo seguro, monitorado e validado continuamente.
Atenção: Embora a Microsoft não possua uma documentação específica para aplicações de recuperação emergencial baseadas em App Registrations, este conceito foi desenvolvido utilizando práticas recomendadas presentes em diferentes documentações oficiais relacionadas a Emergency Access Accounts, Service Principals, autenticação por certificado, Microsoft Graph e segurança de identidades privilegiadas no Microsoft Entra ID.
Links de referência:
Gerencie contas de acesso de emergência no Microsoft Entra ID
Garantindo a segurança das entidades de serviço no Microsoft Entra ID
Operações de segurança para contas privilegiadas no Microsoft Entra ID
Use o Azure PowerShell para criar uma entidade de serviço com um certificado.
Registre um aplicativo Microsoft Entra e crie uma entidade de serviço.
Chegamos ao final deste artigo!
O que você achou desse conceito de acesso emergencial para aplicações integradas ao Microsoft Entra ID?
Você já conhecia esse tipo de estratégia para cenários críticos e recuperação de acesso?
Compartilhe sua experiência com a comunidade, deixe sua opinião nos comentários e conte como sua empresa trata acessos emergenciais e continuidade operacional.