No Microsoft Entra ID, é possível desativar um aplicativo registrado para impedir temporariamente o acesso a recursos protegidos sem precisar removê-lo do ambiente. Essa abordagem é útil em cenários de investigação, mitigação de risco ou suspensão controlada de aplicações suspeitas.
A desativação mantém toda a configuração do aplicativo preservada, permitindo reativação futura caso necessário.
Por que desativar um aplicativo em vez de removê-lo?
Desativar um aplicativo oferece uma abordagem mais segura e flexível do que a exclusão, pois:
- Impede a emissão de novos tokens de acesso
- Mantém configurações, permissões e metadados intactos
- Permite reativação rápida em caso de necessidade
- Ajuda em investigações de segurança sem perda de contexto
Essa prática é amplamente utilizada em resposta a incidentes e governança de identidade.
Comportamento após a desativação
Quando um aplicativo é desativado:
- Novas autenticações são bloqueadas imediatamente
- O aplicativo não consegue acessar recursos protegidos
- Tokens já emitidos podem permanecer válidos até expirarem
- O aplicativo continua visível no tenant, mas inoperante
Esse comportamento garante controle sem impacto destrutivo imediato.
Como desativar um aplicativo no Microsoft Entra ID
Via Microsoft Entra Admin Center
- Acesse o Microsoft Entra Admin Center
- Navegue até App registrations > All applications
- Selecione o aplicativo desejado
- Clique em Deactivate
- Confirme a ação
Após a confirmação, o status do aplicativo será alterado para desativado imediatamente.
Desativação via PowerShell (Microsoft Graph)
Também é possível realizar a ação via Microsoft Graph PowerShell:
Conectar ao Microsoft Graph
Connect-MgGraph -Scopes "Application.ReadWrite.All"Desativar o aplicativo
Update-MgApplication -ApplicationId "APP-ID" -BodyParameter @{isDisabled = $true}Verificar status
Get-MgApplication -ApplicationId "APP-ID" | Select-Object DisplayName, AppId, IsDisabledSe o campo IsDisabled retornar True, o aplicativo está desativado.
Como reativar um aplicativo
Se necessário, a reativação pode ser feita alterando o estado para ativo:
Update-MgApplication -ApplicationId "APP-ID" -BodyParameter @{isDisabled = $false}Após isso, o aplicativo volta a emitir tokens e permitir autenticação normalmente.
Boas práticas atualizadas da Microsoft
Para uma gestão mais segura de aplicações no Entra ID:
1. Utilize desativação em vez de exclusão imediata
Permite investigação e reversão sem perda de configuração.
2. Remova owners antes de desativar (quando aplicável)
Evita reativações não autorizadas por usuários não administradores.
3. Use RBAC para controle administrativo
Apenas funções como Application Administrator ou Cloud Application Administrator devem gerenciar esse tipo de ação.
4. Combine com Conditional Access
Em cenários de risco, bloquear acesso via políticas pode ser mais eficiente do que apenas desativar o app.
5. Monitore logs de auditoria
Todas as ações de desativação e reativação são registradas no Entra Audit Logs.
Riscos comuns
- Desativar aplicações críticas sem análise de impacto
- Não revisar dependências antes da ação
- Manter owners ativos que podem reativar apps indevidamente
- Confundir desativação de app com bloqueio de sign-in de usuário
Conclusão
A desativação de aplicações no Microsoft Entra ID é uma prática importante para segurança e governança, permitindo controle rápido sobre o acesso sem perda de configuração. Quando aplicada corretamente, ela suporta investigações, resposta a incidentes e gestão de ciclo de vida de aplicações de forma segura e reversível.