Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A desativação de um registro de aplicativo fornece uma maneira reversível de impedir que o aplicativo acesse recursos protegidos sem removê-lo permanentemente do seu locatário. Quando você desativa um aplicativo, ele para imediatamente de receber novos tokens de acesso, mas os tokens existentes permanecem válidos até expirarem. Essa abordagem é útil para investigações de segurança, suspensão temporária de aplicativos suspeitos ou quando você precisa manter dados de configuração do aplicativo.
Ao contrário da exclusão permanente de um aplicativo, a desativação preserva todos os metadados, permissões e configurações do aplicativo, facilitando a reativação do aplicativo, se necessário. O aplicativo permanece visível na lista de aplicativos empresariais do locatário, mas os usuários não podem entrar e nenhum novo token é emitido.
Este artigo mostra como desativar um aplicativo empresarial, exibir aplicativos desativados e reativar quando necessário.
Pré-requisitos
Antes de desativar um aplicativo, verifique se você atende aos seguintes requisitos:
- Uma das seguintes funções do Microsoft Entra:
- As seguintes permissões de API se estiverem usando o Microsoft Graph:
-
Application.ReadWrite.All(delegado ou aplicativo) -
Application.ReadWrite.OwnedBy(aplicativo, somente para aplicativos de propriedade)
-
Entender a desativação do aplicativo
Quando um aplicativo é desativado, o seguinte comportamento ocorre:
Efeitos imediatos:
- Novas solicitações de token de acesso são negadas
- Os usuários não podem entrar no aplicativo
- O aplicativo não pode acessar recursos protegidos com novos tokens
Elementos preservados:
- Os tokens de acesso existentes permanecem válidos até que o tempo de vida configurado expire
- A configuração do aplicativo, as permissões e os metadados são preservados
- O aplicativo permanece visível na lista de aplicativos empresariais
- O objeto principal de serviço é mantido no inquilino
Quando os usuários tentam entrar em um aplicativo desativado, eles recebem uma mensagem de erro indicando que o aplicativo foi desabilitado pelo proprietário. Isso é diferente de outras mensagens de erro, como credenciais inválidas ou acesso negado.
Comparação com outras opções
Aplicativos e principais de serviço do Microsoft Entra podem ser impedidos de serem usados de quatro maneiras:
- a propriedade isDisabled (deactivate) é definida em aplicativos que foram desabilitados globalmente pelo proprietário ou administrador do aplicativo.
- A propriedade disabledByMicrosoftStatus (desabilitada pela Microsoft) é definida em aplicativos que foram desabilitados globalmente pela Microsoft.
- A propriedade accountEnabled (desabilitar login) é configurada em entidades de serviço desabilitadas no inquilino pelo proprietário ou administrador do aplicativo.
- A operação DELETE (delete) é concluída como uma operação em aplicativos ou entidades de serviço pelo proprietário ou administrador do aplicativo.
A tabela a seguir descreve as diferentes abordagens com mais detalhes:
| Ação | Emissão de token | Configuração preservada | Reversível | Scope |
|---|---|---|---|---|
| Desativar | Blocked | Yes | Yes | Global (todos os locatários) |
| Desabilitado pela Microsoft | Blocked | Yes | Yes | Global (todos os locatários) |
| Desabilitar login | Bloqueado no locatário | Yes | Yes | Somente locatário único |
| Delete | Blocked | Não (lixeira de 30 dias) | Sim (30 dias) | Global |
Desativar um aplicativo
Para desativar um aplicativo usando a API do Microsoft Graph ou o Centro de administração do Microsoft Entra, você precisa de pelo menos uma função de Administrador de Aplicativos na Nuvem .
Navegue até o centro de administração do Microsoft Entra –> painel Registros de Aplicativo.
Localize o aplicativo que precisa ser desativado da sua lista de aplicativos registrados.
Depois de identificar o aplicativo para desativar, selecione o botão Desativar na página de registro do aplicativo.
Examine as informações fornecidas no painel Desativar registro do aplicativo antes de selecionar o segundo botão Desativar .
- O aplicativo não poderá acessar recursos protegidos.
- Ele não poderá obter novos tokens de acesso, mas os existentes ainda serão válidos.
- Ele ainda estará visível na lista de Aplicativos Empresariais para inquilinos que têm uma instância dele, mas os usuários não poderão fazer login.
- Os tokens de acesso emitidos anteriormente serão invalidados com base em seu tempo de vida. A expiração ou invalidação de um token de acesso depende de vários fatores, como tempo de expiração padrão e política de tempo de vida do token.
Depois de confirmar que deseja desativar o aplicativo, selecione o botão Desativar A desativação ocorre imediatamente e a
isDisabledpropriedade desse aplicativo está definida comotrue. Você pode garantir que o status do aplicativo reflita a alteração verificando sua alteração de Estado desativada na página Registro de Aplicativo .
Importante
Se o aplicativo tiver atribuído proprietários, essas informações aparecerão no painel Desativar registro do aplicativo . Antes de desativar, examine a lista de proprietários e decida se deseja remover algum deles. Para impedir que outras pessoas reativem o aplicativo, remova todos os outros proprietários.
Exibir aplicativos desativados
Você pode exibir aplicativos desativados para monitorar seu status e acompanhar quais aplicativos foram temporariamente desabilitados em seu locatário.
Navegue até o centro de administração do Microsoft Entra –> painel Registros de Aplicativo.
Selecione a guia Aplicativos Desativados .
Como alternativa, navegue até o painel Aplicativos Empresariais e verifique um determinado aplicativo empresarial em Gerenciar ->Propriedades ->Status de Ativação.
Importante
A desativação deve ser executada no registro do aplicativo (objeto do aplicativo). O estado desativado é então refletido no aplicativo corporativo (objeto principal de serviço). Você não pode desativar a entidade de serviço diretamente. Você só pode desabilitar a autenticação na entidade de serviço usando set accountEnabled = false.
Investigar aplicativos desativados
Ao lidar com aplicativos desativados, realize uma investigação completa examinando a configuração do aplicativo, incluindo permissões de API, configurações de autenticação, certificados e logs de entrada. Documente suas descobertas com cuidado, observando o motivo da desativação, quaisquer preocupações suspeitas de atividade ou segurança, usuários afetados e dependências que possam afetar sua organização.
Com base em sua investigação, execute as medidas apropriadas, como escalar para as equipes de segurança se houver suspeita de comprometimento, remover permissões desnecessárias antes da reativação ou atualizar a configuração do aplicativo para resolver problemas de segurança identificados. Se o aplicativo não for mais necessário ou representar riscos de segurança contínuos, considere a exclusão permanente em vez de reativar.
Reativar um aplicativo
Para reativar um aplicativo usando a API do Microsoft Graph ou o Centro de administração do Microsoft Entra, você precisa de pelo menos uma função de Administrador de Aplicativos na Nuvem .
Navegue até o centro de administração do Microsoft Entra –> painel Registros de Aplicativo.
Selecione a guia Aplicativos Desativados para localizar o aplicativo desativado que você deseja reativar.
Selecione o aplicativo desativado na lista.
Na página de registro do aplicativo, selecione o botão Reativar .
Examine as informações fornecidas no painel Desativar registro do aplicativo antes de selecionar o segundo botão Reativar .
- O aplicativo poderá acessar recursos protegidos novamente.
- Ele poderá obter novos tokens de acesso.
- Os usuários poderão entrar no aplicativo.
Depois de confirmar que deseja reativar o aplicativo, selecione o botão Reativar . A reativação ocorre imediatamente e a
isDisabledpropriedade deste aplicativo é definida comofalse. Você pode garantir que o status do aplicativo reflita a alteração verificando sua alteração de estado na página Registro de Aplicativo .
Impedir a reativação por não administradores
Antes de desativar o aplicativo, remova todos os proprietários do aplicativo. Isso garante que somente usuários com pelo menos o escopo da função administrador de aplicativos de nuvem possam reativar o aplicativo.
Desativação e reativação de auditoria
Sempre que um aplicativo for desativado ou reativado, haverá um evento de log de auditoria do Microsoft Entra com:
- Serviço: Diretório Principal
- Categoria: ApplicationManagement
- Atividade (activityDisplayName): "Atualizar aplicativo"
No Centro de administração do Microsoft Entra, você pode encontrar esses eventos em Logs de Auditoria e Monitoramento e Integridade>. Quando você seleciona um evento de Atualização de aplicativo, navegue até a guia Propriedades Modificadas no painel Detalhes do Log de Auditoria.
Você verá o Nome isDisabled da Propriedade com Valor Antigo e Novo Valor, em que "true" é desativado e "false" ou nulo é ativado ou reativado.
Conteúdo relacionado
- Excluir um aplicativo empresarial para remoção permanente
- Desabilitar a entrada do usuário para bloqueio específico do locatário
- Monitore o uso de aplicativos com registros de auditoria