- Área de tecnologia principal: Azure | EntraID
- Áreas de tecnologia adicionais: M365 | Copilot
- Dados do autor: https://linktr.ee/edupopov
Tipo de aplicativo: Aplicativos corporativos
Opcional: buscar por nome (ex: “Webex”, “Monday”, etc.)
Vá em: Propriedades
Altere: Habilitado para entrada do usuário (Enabled for users to sign-in) → coloque como Não
Resultado:
- Ninguém mais usa aquele agente e/ou aplicação
- Mata todos os agentes vinculados ao app
Sob a perspectiva de segurança da informação, cada aplicação listada representa uma potencial superfície de ataque ou vetor de exposição de dados, especialmente quando associada a mecanismos de autenticação federada, permissões OAuth ou acesso a recursos críticos como Microsoft Graph, SharePoint e OneDrive. A figura evidencia que tais aplicações podem permanecer ativas mesmo após sua criação, mantendo capacidade de autenticação e interação com o ambiente corporativo.
A operação destacada—consistente na análise e eventual bloqueio de aplicações específicas—materializa uma prática essencial de higiene de identidade (Identity Hygiene), cujo objetivo é reduzir a presença de objetos obsoletos, redundantes ou não autorizados no ecossistema de autenticação. O bloqueio de uma aplicação neste contexto pode ser realizado por meio da desabilitação do login, restrição de atribuição de usuários ou revogação de consentimentos previamente concedidos.
Do ponto de vista arquitetural, essa abordagem está alinhada aos princípios de Zero Trust, especialmente no que se refere à validação contínua de entidades e à minimização do acesso implícito. Ao restringir aplicações não necessárias ou não homologadas, a organização reduz significativamente o risco de uso indevido de credenciais, integração não autorizada de serviços externos e vazamento de informações sensíveis.
Além disso, o cenário ilustrado reforça a importância do controle centralizado de consentimento de aplicações, uma vez que a criação indiscriminada de integrações por usuários finais pode levar à proliferação de agentes externos—frequentemente associados ao fenômeno conhecido como Shadow IT ou Shadow AI. Tais agentes, quando não governados adequadamente, podem acessar dados corporativos sem a devida supervisão, comprometendo requisitos de conformidade e privacidade.
Por fim, a figura demonstra, de forma prática, como o Microsoft Entra ID atua como ponto de governança para aplicações corporativas, permitindo que administradores implementem políticas de segurança em escala. Essa capacidade é fundamental para assegurar que apenas aplicações devidamente autorizadas e alinhadas às diretrizes organizacionais possam interagir com os recursos corporativos, estabelecendo um ambiente mais seguro, auditável e aderente às boas práticas de governança digital.
Você também pode fazer o bloqueio através do portal do Admin Center do Microsoft 365, pela área ed agentes.
A figura do portal de administração do M365, ilustra a etapa operacional de controle e mitigação de riscos relacionados ao uso de agentes e integrações externas no ecossistema Microsoft 365, com foco específico na governança centralizada de agentes por meio do Microsoft 365 Admin Center, em conjunto com o Microsoft Entra ID.
Observa-se, inicialmente, a aplicação de filtros que isolam agentes provenientes de plataformas externas (“Plataforma: Outros”), evidenciando um conjunto significativo de aplicações e agentes fora do controle nativo da organização. Esse tipo de categorização é essencial para a identificação de integrações potencialmente não homologadas, frequentemente associadas a iniciativas descentralizadas de adoção tecnológica, como o fenômeno de Shadow IT e, mais recentemente, Shadow AI.
A figura destaca, ainda, o estado operacional dos agentes, indicando explicitamente aqueles que foram submetidos a políticas de bloqueio (“Status: Bloqueado”). Esse bloqueio representa a materialização prática de controles de segurança anteriormente definidos em nível de identidade — tipicamente aplicados via Microsoft Entra ID por meio de configurações como desativação de autenticação, restrição de consentimento ou exigência de atribuição explícita de usuários.
Sob uma perspectiva de segurança da informação, a desativação desses agentes reduz significativamente a superfície de ataque do ambiente, mitigando riscos associados a:
- acesso não autorizado a dados corporativos por aplicações externas;
- uso indevido de tokens de autenticação e permissões OAuth;
- exposição indireta de informações sensíveis via agentes automatizados;
- integração de serviços externos sem validação de conformidade ou governança.
Além disso, ao impedir a execução desses agentes, a organização estabelece uma barreira efetiva contra fluxos não controlados de processamento de dados, especialmente relevantes no contexto de soluções baseadas em IA, nas quais agentes podem atuar como intermediários entre usuários e grandes volumes de informação corporativa.
Do ponto de vista arquitetural, a prática ilustrada está alinhada com os princípios de Zero Trust, particularmente na premissa de que nenhuma aplicação deve ser implicitamente confiável, independentemente de sua origem ou funcionalidade. Dessa forma, cada agente ou integração deve ser explicitamente validado, autorizado e continuamente monitorado antes de ser permitido no ambiente produtivo.
A abordagem também reforça a importância de estabelecer guardrails organizacionais, conforme práticas recomendadas de governança de IA e dados corporativos. Esses controles devem ser implementados de forma proativa, garantindo que novas integrações não introduzam riscos adicionais ao ambiente — conceito amplamente associado à prevenção de oversharing e à proteção contra vazamento de informações.
Por fim, a figura demonstra a efetividade do modelo de governança em camadas, no qual o Microsoft Entra ID atua como ponto de controle de identidade e autenticação, enquanto o Microsoft 365 Admin Center consolida a visibilidade e o gerenciamento operacional dos agentes. Essa combinação permite não apenas a identificação de riscos, mas também sua mitigação em escala, promovendo um ambiente mais seguro, auditável e aderente às políticas corporativas de segurança da informação.