Pular para o conteúdo principal

Novidade no Microsoft Entra: Proteção de Tokens agora disponível para apps do Windows!

A Microsoft acaba de liberar uma novidade poderosa para quem se preocupa com segurança de identidade: agora é possível aplicar Token Protection (Proteção de Tokens) em aplicativos do Windows, como Azure Virtual Desktop (AVD) e Windows 365!

Essa funcionalidade representa um grande avanço na prevenção contra o uso indevido de tokens de acesso, especialmente em ambientes corporativos ou virtuais onde o risco de comprometimento de sessões é maior.

✅ Com essa novidade, tokens roubados ou exportados não poderão mais ser reutilizados fora do dispositivo onde foram emitidos!

🔍 O que é Token Protection?

A Proteção de Tokens é um recurso do Microsoft Entra que vincula o token de acesso ao dispositivo original onde ele foi emitido. Isso significa que, mesmo que um atacante consiga interceptar um token, ele não conseguirá usá-lo em outro dispositivo.

Essa é uma defesa eficiente contra ataques como:

  • Replay de token

  • Pass-the-token

  • Uso indevido de sessões em VDIs comprometidos

🚀 Agora compatível com:

  • Azure Virtual Desktop (AVD)

  • Windows 365

  • Qualquer outro app corporativo rodando em Windows e integrado ao Entra ID

🛠️ Como configurar a política de Token Protection no Microsoft Entra

Abaixo, mostro o passo a passo completo para criar essa política de forma prática e segura:

1. Acesse o portal do Microsoft Entra

👉 https://entra.microsoft.com

Vá até Segurança > Acesso Condicional (Conditional Access).

2. Crie uma nova política

Clique em “Nova política” e dê um nome intuitivo, como:
📌 Token Protection - Windows Apps

3. Defina os usuários

Em “Usuários ou cargas de trabalho”, escolha quem será impactado:

  • Grupos de teste

  • Equipe de TI

  • Ou “Todos os usuários” (recomendado após validação)

4. Escolha os aplicativos

Em “Aplicativos ou ações”, selecione:

  • Azure Virtual Desktop

  • Windows 365

  • Ou outros aplicativos corporativos em uso

5. Adicione condições (opcional)

Exemplo de filtros:

  • Plataforma do dispositivo: Windows

  • Estado do dispositivo: Em conformidade

  • Local: Apenas acessos internos

6. Configure o controle de acesso

Na aba “Conceder” (Grant):

  • Marque ✅ “Requer proteção de token”

  • ✅ “Requer autenticação multifator (MFA)” (opcional)

💡 Se a opção "Token protection" não aparecer, seu tenant ainda pode não ter recebido a atualização.

7. Defina o modo de ativação

  • Para testar: selecione “Somente relatório” (Report-only)

  • Para aplicar: selecione “Ativado”

8. Salve e monitore

Após salvar a política, acompanhe os logs e relatórios para garantir que tudo esteja funcionando conforme esperado.

🔐 Segurança elevada sem impacto no usuário

A beleza dessa solução é que ela é transparente para o usuário — desde que o acesso ocorra a partir do dispositivo autorizado. É mais uma camada de proteção poderosa para sua organização, sem atrito para o colaborador.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Microsoft Authenticator agora suporta Passkeys: Como ativar e testar

 A autenticação de dois fatores (MFA) sempre foi uma das melhores práticas para proteger contas online. Agora, a Microsoft deu um passo além ao adicionar suporte nativo para Passkeys no Microsoft Authenticator . Essa atualização, lançada em janeiro de 2025, permite que os usuários façam login sem precisar de senhas tradicionais, utilizando métodos resistentes a phishing e mais convenientes, como biometria ou PIN. Neste artigo, vamos explorar o que são Passkeys, os benefícios desse novo recurso e como ativá-lo e testá-lo no Microsoft Authenticator . O que são Passkeys? As Passkeys são um método moderno de autenticação baseado no padrão FIDO2/WebAuthn , que permite que os usuários façam login de maneira segura sem precisar inserir senhas. Em vez disso, eles usam biometria (impressão digital ou reconhecimento facial), um PIN ou outro fator local para validar a identidade. Principais benefícios das Passkeys - Resistência a phishing: Como não há senhas para serem roubadas, ataques d...
Postar um comentário
Leia mais

Mudança no Processo de Exclusão de Usuário no Microsoft 365

 A Microsoft fez uma atualização importante no processo de exclusão de usuários no Microsoft 365 . Agora, ao excluir um usuário, os delegados (pessoas que têm acesso à caixa de correio e aos arquivos) terão apenas 30 dias para acessar o OneDrive do usuário excluído. O que muda? Prazo reduzido : O tempo de acesso aos arquivos foi limitado a 30 dias após a exclusão do usuário, o que significa que os dados ficam acessíveis por um período mais curto. Impacto nos Delegados : Antes, os delegados podiam acessar os dados por mais tempo. Agora, a Microsoft reduziu esse prazo para evitar o armazenamento prolongado de dados de usuários excluídos. Ação Rápida Necessária : Caso seja necessário manter os arquivos por mais tempo, a organização deve tomar providências para transferir ou arquivar esses dados antes que o acesso expire. Por que isso é importante? Essa mudança reflete um esforço da Microsoft para alinhar a gestão de dados com práticas de segurança mais rígidas, incentivando as empre...
Postar um comentário
Leia mais

Microsoft está removendo as permissões "Todos, exceto usuários externos" no OneDrive

 Já encontrou arquivos no OneDrive acessíveis para toda a sua organização, mesmo sem ter compartilhado intencionalmente? Isso acontece por conta da permissão "Todos, exceto usuários externos" (EEEU) , que permite o acesso interno sem restrições. Mas isso está prestes a mudar. - A partir de 10 de abril de 2025 , a Microsoft removerá a permissão EEEU dos sites raiz do OneDrive e das bibliotecas de documentos padrão, reduzindo o risco de compartilhamento acidental de dados. - Se seus aplicativos, processos ou usuários dependem dessa permissão, eles perderão o acesso assim que a alteração for aplicada. - No entanto, permissões diretas de arquivos e pastas não serão afetadas – quem já tem acesso explícito continuará com permissão. Muitas organizações deixam conteúdos abertos para todos os usuários internos sem perceber. Apesar de parecer inofensivo, isso aumenta riscos de segurança e pode levar à exposição involuntária de dados. O que você deve fazer? ✅ Revisar as permissões ...
Postar um comentário
Leia mais