Deaktivieren der Benutzeranmeldung für eine Anwendung

Möglicherweise gibt es Situationen beim Konfigurieren oder Verwalten einer Anwendung, in der keine Token für die Anwendung ausgestellt werden sollen. Oder Sie möchten ggf. eine Anwendung blockieren, auf die Ihre Mitarbeiter keinen Zugriff haben sollen. Dazu können Sie die Benutzeranmeldung für die Anwendung deaktivieren. Dadurch wird verhindert, dass keine Token für diese Anwendung ausgestellt werden.

In diesem Artikel erfahren Sie, wie Sie verhindern, dass sich Benutzer*innen über das Azure-Portal und PowerShell bei einer Anwendung in Azure Active Directory anmelden. Wenn Sie für bestimmte Benutzer den Zugriff auf eine Anwendung blockieren möchten, verwenden Sie Benutzer- oder Gruppenzuweisungen.

Voraussetzungen

Zum Deaktivieren der Benutzeranmeldung benötigen Sie Folgendes:

  • Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
  • Eine der folgenden Rollen: Globaler Administrator, Cloudanwendungsadministrator, Anwendungsadministrator oder Besitzer des Dienstprinzipals.

Deaktivieren der Benutzeranmeldung

  1. Melden Sie sich beim Azure-Portal als globaler Administrator für Ihr Verzeichnis an.
  2. Suchen Sie nach Azure Active Directory, und wählen Sie diese Option aus.
  3. Wählen Sie Unternehmensanwendungen.
  4. Suchen Sie nach der Anwendung, die Sie für die Anmeldung eines Benutzers sperren möchten, und wählen Sie die Anwendung aus.
  5. Wählen Sie Eigenschaften aus.
  6. Wählen Sie „Nein“ für „Aktiviert für Benutzer zur Anmeldung?“
  7. Wählen Sie Speichern aus.

Deaktivieren einer nicht aufgelisteten App mit Azure AD PowerShell

Stellen Sie sicher, dass Sie das AzureAD-Modul installiert haben (verwenden Sie den Befehl Install-Module -Name AzureAD). Falls Sie aufgefordert werden, ein NuGet-Modul oder das neue „Azure Active Directory V2 PowerShell“-Modul zu installieren, geben Sie Y ein und drücken Sie die Eingabetaste.

Wenn Sie die App-ID einer App kennen, die nicht in der Liste der Unternehmens-Apps angezeigt wird (weil Sie z. B. die App gelöscht haben oder der Dienstprinzipal noch nicht erstellt wurde, da die App von Microsoft vorab autorisiert wurde), können Sie den Dienstprinzipal für die App manuell erstellen und die App dann mit dem folgenden Cmdlet deaktivieren.

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Nächste Schritte