Introdução

Após o vídeo que publiquei no canal Descomplicando Microsoft 365 sobre como bloquear apps de terceiros de serem adicionados no Microsoft Teams, um colega me perguntou sobre como bloquear em reuniões do Teams, afinal de contas, os usuários também se cadastram nessa solução para que ela ingresse automaticamente, a partir desse momento começou a jornada para o bloqueio do Read AI dentro do Teams, ou melhor, dentro do Microsoft 365.

Primeiro precisamos entender:

Precisamos entender como o Read AI trabalha e quais permissões ele tem dentro do ambiente de Microsoft 365, bloquear o acesso do bot as reuniões é um passo, agora bloquear o registro dele no tenant é outra situação que precisamos ter atenção. Quando o usuário consente a permissão de adicionar o aplicativo, ele vai para os aplicativos empresariais no Entra ID, criando assim um App registrado no ambiente. Abaixo estão imagens do meu ambiente de testes.

Quando verificamos as permissões existentes temos duas informações importantes, primeira, esse consentimento não foi em nível de administrador, pois o usuário que se autenticou no Read AI era um usuário comum.

Segundo, as permissões que estão dentro de consentimento de usuário. Permissões como leitura de e-mail, calendário, perfil e acesso full para ler e escrever no calendário.

No print podemos ver os campos sublinhados, o primeiro campo são as permissões que estão concedidas ao App. o Segundo são os usuários que concederam essa permissão, no caso o meu usuário de teste.

Isso é importante para mapear quais usuários podem ter ingressado com as suas contas corporativas no aplicativo.

Tá, mas como eu bloqueio?

Primeiro passo, caso o aplicativo já esteja aparecendo, bloquear a utilização dele, exigir atribuição para utilização e deixar oculto aos usuários.

Nesse primeiro momento eu não recomendo a remoção, até mesmo para ter ciência de quais usuários configuraram, conforme mencionado anteriomente.

Segundo passo, ir ao centro de administração do Microsoft Teams > Políticas > Políticas de reunião e exigir verificação de usuários anônimos e pessoas de organizações não confiáveis.

A mensagem que irá aparecer quando o usuário tentar logar é igual a esta:

Essa verificação evitará que o bot do Read AI ingressará na reunião. Realizei alguns testes e de fato não consegui identificar o bot tentado ingressar na reunião ou aparecendo no lobby da agenda.

Caso você seja mais radical e queria bloquear a entrada de todos usuários anônimos, é possível também descendo até a parte de participantes.

Importante

Segundo relatos recentes, mesmo após esse bloqueio, os usuários que já estão cadastrados ainda continuavam conseguindo usar, na minha opinião se a opção de exigir CAPTCHA estiver marcada, teoricamente o BOT não deveria conseguir acessar as agendas. Existe um script disponibilizado pela Microsoft que retira de forma automáticamente a permissão desses usuários, é possível fazer tanto manualmente conforme nas imagens que mostrei o meu usuário de teste, ou via script, deixarei aqui o script que pode ser utilizado e o link.

# Get Service Principal using objectId

$sp = Get-MgServicePrincipal -ServicePrincipalId c4388f37-5283-474f-9d95-dee17b94f5d3

# Get MS Graph App role assignments using objectId of the Service Principal

$assignments = Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $sp.Id -All

# Remove all users and groups assigned to the application

$assignments | ForEach-Object {

if ($_.PrincipalType -eq "User") {

Remove-MgUserAppRoleAssignment -UserId $_.PrincipalId -AppRoleAssignmentId $_.Id

} elseif ($_.PrincipalType -eq "Group") {

Remove-MgGroupAppRoleAssignment -GroupId $_.PrincipalId -AppRoleAssignmentId $_.Id

}

}

# Get Service Principal using objectId

$sp = Get-MgServicePrincipal -ServicePrincipalId c4388f37-5283-474f-9d95-dee17b94f5d3

# Get all delegated permissions for the service principal

$spOAuth2PermissionsGrants = Get-MgServicePrincipalOauth2PermissionGrant -ServicePrincipalId $sp.Id -All

# Remove all delegated permissions

$spOAuth2PermissionsGrants | ForEach-Object {

Remove-MgOauth2PermissionGrant -OAuth2PermissionGrantId $_.Id

}

# Get all application permissions for the service principal

$spApplicationPermissions = Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $sp.Id

# Remove all app role assignments

$spApplicationPermissions | ForEach-Object {

Remove-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $_.PrincipalId -AppRoleAssignmentId $_.Id

}

# Get Service Principal using objectId

$sp = Get-MgServicePrincipal -ServicePrincipalId c4388f37-5283-474f-9d95-dee17b94f5d3

# Get MS Graph App role assignments using objectId of the Service Principal

$assignments = Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $sp.Id -All | Where-Object {$_.PrincipalType -eq "User"}

# Revoke refresh token for all users assigned to the application

$assignments | ForEach-Object {

Invoke-MgInvalidateUserRefreshToken -UserId $_.PrincipalId

}

Link da públicação do cmdlet: https://learn.microsoft.com/en-ca/answers/questions/1820538/blocked-teams-app-still-prompts-to-join-meetings

O bloqueio funcionará em meu ambiente?

Caso você tenha chegado até aqui, provavelmente é porque você precisa encontrar uma solução para este assunto, nos meus testes em ambiente de homologação, foi possível bloquear o App de ingressar nas agendas.

Caso ainda sim você queira realizar mais um teste e mais restritivo, é possível restringir que os usuários registrem apps e assim não usem as contas corporativa para tal feito.

Todos os testes que eu realizei foram em ambientes não produtivos. Recomendo que os testes sejam realizados com cautela, que você aguarde a replicação de cada política e continue testando.

📢 Resultado

Após a aplicação dos bloqueios assim apareceu no Read AI de teste que integrei com a conta de teste do usuário Diego.

Caso queira bloquear o aplicativo também no Microsoft Teams de forma que não apareceça quando os usuários pesquisarem, deixo abaixo o link do vídeo do nosso canal sobre esse assunto.

Postarei um vídeo sobre artigo para aqueles que gostam de assistir na prática, em breve estará em nosso canal. Caso eu tenha mais alguma informação sobre esse assunto, atualizarei o conteúdo.