Deshabilitación del inicio de sesión de usuarios de una aplicación

Puede haber situaciones al configurar o administrar una aplicación en la que no desea que se emitan tokens para una aplicación. También puede bloquear de forma preventiva cualquier aplicación a la que no desee que los empleados intenten acceder. Para bloquear el acceso de los usuarios a una aplicación, puede deshabilitar el inicio de sesión de los usuarios en la aplicación, lo que impide que se emitan todos los tokens de esa aplicación.

En este artículo, aprenderá a evitar que los usuarios inicien sesión en una aplicación en Microsoft Entra ID mediante el centro de administración de Microsoft Entra y PowerShell. Si lo que desea es evitar que usuarios concretos accedan a una aplicación, use la asignación de usuarios o grupos.

Requisitos previos

Para deshabilitar el inicio de sesión de los usuarios, necesita lo siguiente:

• Una cuenta de usuario de Microsoft Entra. Si no la tiene, puede crear una cuenta gratis.
• Uno de los siguientes roles: Administrador global, Administrador de aplicaciones en la nube, Administrador de aplicaciones o Propietario de la entidad de servicio.

Deshabilitación del inicio de sesión del usuario mediante el Centro de administración de Microsoft Entra

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
2. Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.
3. Busque la aplicación en la que desea deshabilitar que un usuario se registre y seleccione la aplicación.
4. Seleccione Propiedades.
5. Seleccione No¿Habilitado para que los usuarios inicien sesión? .
6. Seleccione Guardar.

Deshabilitación del inicio de sesión de usuario mediante PowerShell de Azure AD

Es posible que conozca el AppId de una aplicación que no aparece en la lista de aplicaciones empresariales. Por ejemplo, si elimina la aplicación o la entidad de servicio aún no se ha creado porque Microsoft la autoriza previamente. Puede crear manualmente la entidad de servicio para la aplicación y, después, deshabilitarla mediante el siguiente cmdlet de PowerShell de Azure AD.

Asegúrese de haber instalado el módulo Azure AD Powershell (use el comando Install-Module -Name AzureAD). Si se le solicita que instale un módulo de NuGet o el nuevo Azure AD PowerShell V2, escriba Y y presione ENTRAR. Debe iniciar sesión como mínimo un administrador de aplicaciones en la nube.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Deshabilitar el inicio de sesión de usuario con PowerShell de Microsoft Graph

Es posible que conozca el AppId de una aplicación que no aparece en la lista de aplicaciones empresariales. Por ejemplo, si elimina la aplicación o la entidad de servicio aún no se ha creado debido a la aplicación porque Microsoft la autoriza previamente. Puede crear la entidad de servicio para la aplicación manualmente y, a continuación, deshabilitarla mediante el siguiente cmdlet de Microsoft Graph PowerShell.

Asegúrese de instalar el módulo de Microsoft Graph (use el comando Install-Module Microsoft.Graph). Debe iniciar sesión como mínimo un administrador de aplicaciones en la nube.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Deshabilitación del inicio de sesión de usuario mediante Microsoft Graph API

Es posible que conozca el AppId de una aplicación que no aparece en la lista de aplicaciones empresariales. Por ejemplo, si elimina la aplicación o la entidad de servicio aún no se ha creado debido a la aplicación porque Microsoft la autoriza previamente. Puede crear la entidad de servicio para la aplicación manualmente y, a continuación, deshabilitarla mediante la siguiente llamada de Microsoft Graph.

Para deshabilitar el inicio de sesión en una aplicación, inicie sesión en el Explorador de Graph al menos como Administrador de aplicaciones en la nube.

Tiene que dar su consentimiento al permiso Application.ReadWrite.All.

Ejecute la consulta siguiente para deshabilitar el inicio de sesión de usuario en una aplicación.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/2a8f9e7a-af01-413a-9592-c32ec0e5c1a7

Content-type: application/json

{
    "accountEnabled": false
}

Pasos siguientes

• Quitar una asignación de usuario o grupo de una aplicación empresarial