No How To deste mês vamos mostrar como bloquear o registo de aplicações na Azure AD por utilizadores. Esta ação tem-se tornado cada vez mais relevante, pois em muitos dos casos de phishing recentes a contas do Office 365 que temos encontrado, os atacantes utilizam esta funcionalidade para registar aplicações.
Depois concedem permissões de acesso a recursos do Office 365 e lançam novos ataques utilizando as mesmas. Após esta configuração qualquer registo de apps tem de ser aprovado por um administrador, eliminando mais um possível vetor de ataque.
Vamos então mostrar como ativar esta funcionalidade:
1. Navegar até https://entra.microsoft.com e fazer login com uma conta de Global Admin.
2. No menu da esquerda, selecionar Applications\Enterprise Applications.
3. Uma vez neste menu, clicar em Consent and permissions.
4. Na secção User Content Settings, selecionar as seguintes opções e clicar em Save:
5. Na secção Admin consent settings, configurar qual o user, grupo ou role que irá aprovar os pedidos, bem como configurar as notificações e periodo de expiração do pedido. Para finalizar clicar em Save.
6. Assim, da próxima vez que alguém tentar registar uma aplicação na Azure AD, receberá um ecrã similar a este em que o botão de aprovar é substituído por um campo de texto com a justificação para o pedido. Após preenchido, o utilizador pode então clicar em Request Approval.
7. O(s) utilizador(es) designados como aprovadores no passo 5 receberão então um email a notificá-los do pedido.
8. Após clicarem em Review request, são então levados para a página das aprovações, onde poderão consultar o pedido e aprovar ou rejeitá-lo.
