.
A Microsoft estragou uma atualização de confiança zero que seus parceiros provedores de serviços foram solicitados a implementar para os clientes.
A gigante do software há muito oferece a seus parceiros privilégios de administração delegada (DAP) que lhes permitem administrar os serviços ou assinaturas dos clientes em seu nome. Os clientes autorizam o DAP antes que os parceiros possam exercer privilégios, e o provedor de serviços passa a fornecer o serviço.
O DAP não é novo. Mas, nos últimos anos, a Microsoft percebeu que os provedores de serviços de TI se tornaram um alvo para criminosos cibernéticos que perceberam que quebrar uma única consultoria de TI poderia permitir que eles alcançassem todos os seus clientes.
Portanto, em 2022, a Microsoft DAP atualizado para privilégios administrativos delegados granulares (GDAP) que, como o nome indica, oferece controles mais refinados – de modo que, se um invasor obtiver acesso às contas de um parceiro, o impacto será menos terrível.
GDAP é um pouco assustador embora. Para habilitá-lo, os parceiros podem criar novas entidades no Active Directory dos clientes, sem a aprovação ou mesmo conhecimento do cliente.
A implantação do GDPP não foi brilhante: Redmond foi lento para introduzir ferramentas que facilitam a tarefa e estendeu alguns prazos.
E na quinta-feira o software leviatã provocado novas prorrogações dos prazos de passagem da DAP para a GDPP.
Um dos motivos é que, se o nome de um locatário do cliente incluir um caractere de byte duplo, o GDAP simplesmente não funcionará.
Os caracteres de byte duplo são encontrados com mais frequência em scripts usados para japonês, coreano, chinês simplificado e chinês tradicional.
Bem jogado para bagunçar isso, Microsoft. Sinta-se à vontade para se juntar à sensibilidade cultural do clube asiático mais recentemente habitado por quem escalou Scarlett Johansson para Fantasma na Concha.
O outro motivo para atrasos relacionados ao GDAP é que os parceiros da Microsoft “solicitaram funções padrão do Azure Active Directory (Azure AD) ao criar um novo locatário do cliente”. Isso não é possível no momento, então os boffins estão ocupados projetando o recurso.
Enquanto resolve essas bagunças, a gigante do software informou que em breve estabelecerá novos prazos para as seguintes tarefas:
- Interromper novos DAPs – o DAP é atualmente concedido quando um novo locatário do cliente é criado. A Microsoft não concederá mais DAP para criação de novos clientes.
- Transição de DAPs inativos – a Microsoft começará a transição de relacionamentos DAP que não foram usados em 90 ou mais dias para GDAP com funções limitadas do Azure AD. Para revisar quais relacionamentos estão inativos, use o relatório de monitoramento DAP.
- Transição de DAPs ativos – a Microsoft começará a transição de relacionamentos de DAP ativos para GDAP com funções limitadas do Azure AD.
Outra oferta iminente é uma ferramenta de remoção de DAP em massa que será lançada em 15 de fevereiro de 2023.
A Microsoft também provocou uma mudança no final de janeiro que tornará mais fácil nomear um contato de segurança para usuários do Azure e ter relatórios de fraude roteados para eles, em vez de apenas para administradores do Azure. A gigante do software também prenunciou a aposentadoria do Legacy Exchange Online Public Client ID – também conhecido como cliente público ExO PowerShell – em 31 de março de 2023.
Ele “recomenda que os parceiros revisem qualquer código ou automação para localizar qualquer uso do ID de cliente público herdado” antes que a aposentadoria interrompa as coisas. O ID do aplicativo da ferramenta é “a0c73c16-a7e3-4564-9a95-2bdf47383716” caso isso ajude a encontrá-lo. ®
.
