Deaktivieren der Benutzeranmeldung für eine Anwendung

Möglicherweise gibt es Situationen beim Konfigurieren oder Verwalten einer Anwendung, in der keine Token für eine Anwendung ausgestellt werden sollen, oder eine Anwendung soll blockiert werden, damit Ihre Mitarbeiter nicht darauf zugreifen können. Um den Benutzerzugriff auf eine Anwendung zu blockieren, können Sie die Benutzeranmeldung für die Anwendung deaktivieren. Dadurch wird verhindert, dass Token für diese Anwendung ausgestellt werden.

In diesem Artikel erfahren Sie, wie Sie über das Microsoft Entra Admin Center und mit PowerShell verhindern, dass sich Benutzer*innen bei einer Anwendung in Microsoft Entra ID anmelden. Wenn Sie für bestimmte Benutzer den Zugriff auf eine Anwendung blockieren möchten, verwenden Sie Benutzer- oder Gruppenzuweisungen.

Voraussetzungen

Zum Deaktivieren der Benutzeranmeldung benötigen Sie Folgendes:

• Ein Microsoft Entra-Benutzerkonto. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
• Eine der folgenden Rollen: Globaler Administrator, Cloudanwendungsadministrator, Anwendungsadministrator oder Besitzer des Dienstprinzipals.

Deaktivieren die Benutzeranmeldung über das Microsoft Entra Admin Center

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.
3. Suchen Sie nach der Anwendung, die Sie für die Anmeldung eines Benutzers sperren möchten, und wählen Sie die Anwendung aus.
4. Wählen Sie Eigenschaften aus.
5. Wählen Sie „Nein“ für „Aktiviert für Benutzer zur Anmeldung?“
6. Wählen Sie Speichern.

Aktivieren der Benutzeranmeldung mit Azure AD PowerShell

Möglicherweise kennen Sie die App-ID (AppId) einer App, die nicht in der Liste der Unternehmens-Apps angezeigt wird, z. B. wenn Sie die App löschen oder der Dienstprinzipal noch nicht erstellt wurde, weil Microsoft ihn vorab autorisiert. Sie können den Dienstprinzipal für die App manuell erstellen und ihn anschließend mithilfe des folgenden Azure AD PowerShell-Cmdlets deaktivieren.

Stellen Sie sicher dass Sie das Azure AD-PowerShell-Modul installiert haben. (Verwenden Sie den Befehl Install-Module -Name AzureAD.) Falls Sie aufgefordert werden, ein NuGet-Modul oder das neue Azure AD-PowerShell-Modul V2 zu installieren, geben Sie „J“ ein, und drücken Sie die EINGABETASTE. Sie müssen sich mindestens als Cloudanwendungsadministrator anmelden.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Deaktivieren der Benutzeranmeldung mit Microsoft Graph PowerShell

Möglicherweise kennen Sie die App-ID (AppId) einer App, die nicht in der Liste der Unternehmens-Apps angezeigt wird, z. B. wenn Sie die App löschen oder der Dienstprinzipal noch nicht erstellt wurde, weil Microsoft die App vorab autorisiert. Sie können den Dienstprinzipal für die App manuell erstellen und ihn anschließend mithilfe des folgenden Microsoft Graph PowerShell-Cmdlets deaktivieren.

Achten Sie darauf, das Microsoft Graph-Modul zu installieren (mit dem Befehl Install-Module Microsoft.Graph). Sie müssen sich mindestens als Cloudanwendungsadministrator anmelden.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Deaktivieren der Benutzeranmeldung mithilfe der Microsoft Graph-API

Möglicherweise kennen Sie die App-ID (AppId) einer App, die nicht in der Liste der Unternehmens-Apps angezeigt wird, z. B. wenn Sie die App löschen oder der Dienstprinzipal noch nicht erstellt wurde, weil Microsoft die App vorab autorisiert. Sie können den Dienstprinzipal für die App manuell erstellen und ihn anschließend mithilfe des folgenden Microsoft Graph-Aufrufs deaktivieren.

Um die Anmeldung bei einer Anwendung zu deaktivieren, melden Sie sich bei Graph Explorer mindestens als Cloudanwendungsadministrator an.

Sie müssen der Application.ReadWrite.All-Berechtigung zustimmen.

Führen Sie die folgende Abfrage aus, um die Benutzeranmeldung bei einer Anwendung zu deaktivieren.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/2a8f9e7a-af01-413a-9592-c32ec0e5c1a7

Content-type: application/json

{
    "accountEnabled": false
}

Nächste Schritte

• Entfernen einer Benutzer- oder Gruppenzuweisung aus einer Unternehmens-App