Freigeben über


Deaktivieren der Benutzeranmeldung für eine Anwendung

Möglicherweise gibt es Situationen beim Konfigurieren oder Verwalten einer Anwendung, in der keine Token für eine Anwendung ausgestellt werden sollen, oder eine Anwendung soll blockiert werden, damit Ihre Mitarbeiter nicht darauf zugreifen können. Um den Benutzerzugriff auf eine Anwendung zu blockieren, können Sie die Benutzeranmeldung für die Anwendung deaktivieren. Dadurch wird verhindert, dass Token für diese Anwendung ausgestellt werden.

In diesem Artikel erfahren Sie, wie Sie über das Microsoft Entra Admin Center und mit PowerShell verhindern, dass sich Benutzer*innen bei einer Anwendung in Microsoft Entra ID anmelden. Wenn Sie suchen, wie Sie verhindern möchten, dass bestimmte Benutzer auf eine Anwendung zugreifen, verwenden Sie die Benutzer- oder Gruppenzuweisung.

Voraussetzungen

Zum Deaktivieren der Benutzeranmeldung benötigen Sie Folgendes:

  • Ein Microsoft Entra-Benutzerkonto. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
  • Eine der folgenden Rollen:
    • Cloudanwendungsadministrator
    • Anwendungsadministrator
    • Besitzer des Dienstprinzipals

Deaktivieren die Benutzeranmeldung über das Microsoft Entra Admin Center

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>alle Anwendungen.
  3. Suchen Sie die Anwendung, mit der Sie die Anmeldung eines Benutzers verhindern möchten, und wählen Sie die Anwendung aus.
  4. Wählen Sie "Eigenschaften" aus.
  5. Wählen Sie "Nein" für Aktiviert für die Anmeldung von Benutzern?.
  6. Wählen Sie "Speichern" aus.

Benutzeranmeldung mit Microsoft Entra PowerShell deaktivieren

Möglicherweise kennen Sie die App-ID (AppId) einer App, die nicht in der Liste der Unternehmens-Apps angezeigt wird, Zum Beispiel wenn Sie die App löschen oder der Dienstprinzipal noch nicht erstellt wurde, weil Microsoft ihn vorab autorisiert. Sie können den Dienstprinzipal für die App manuell erstellen und ihn dann mithilfe des folgenden Microsoft-Entra-PowerShell-Cmdlets deaktivieren.

Stellen Sie sicher, dass Sie das Microsoft Entra PowerShell-Modul installieren. Wenn Sie aufgefordert werden, ein NuGet-Modul oder das neue Microsoft Entra PowerShell V2-Modul zu installieren, geben Sie Y ein, und drücken Sie die EINGABETASTE. Sie müssen sich mindestens als Cloudanwendungsadministrator anmelden.

# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"

# The AppId of the service principal to be disabled
$appId = "{AppId}"

# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false

Benutzeranmeldung mit Microsoft Graph PowerShell deaktivieren

Möglicherweise kennen Sie die App-ID (AppId) einer App, die nicht in der Liste der Unternehmens-Apps angezeigt wird, Zum Beispiel wenn Sie die App löschen oder der Dienstprinzipal noch nicht erstellt wurde, weil Microsoft die App vorab autorisiert. Sie können den Dienstprinzipal für die App manuell erstellen und ihn anschließend mithilfe des folgenden Microsoft Graph PowerShell-Cmdlets deaktivieren.

Achten Sie darauf, das Microsoft Graph-Modul zu installieren (mit dem Befehl Install-Module Microsoft.Graph). Sie müssen sich mindestens als Cloudanwendungsadministrator anmelden.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Get the AppId of the service principal to be disabled  
$appId = "{AppId}"  
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false 

Deaktivieren der Benutzeranmeldung mithilfe der Microsoft Graph-API

Möglicherweise kennen Sie die App-ID (AppId) einer App, die nicht in der Liste der Unternehmens-Apps angezeigt wird, Zum Beispiel wenn Sie die App löschen oder der Dienstprinzipal noch nicht erstellt wurde, weil Microsoft die App vorab autorisiert. Sie können den Dienstprinzipal für die App manuell erstellen und ihn anschließend mithilfe des folgenden Microsoft Graph-Aufrufs deaktivieren.

Um die Anmeldung bei einer Anwendung zu deaktivieren, melden Sie sich beim Graph-Explorer als mindestens Cloudanwendungsadministrator an.

Sie müssen der Application.ReadWrite.All-Berechtigung zustimmen.

Führen Sie die folgende Abfrage aus, um die Benutzeranmeldung bei einer Anwendung zu deaktivieren.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444

Content-type: application/json

{
    "accountEnabled": false
}