Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede haber situaciones al configurar o administrar una aplicación en la que no desea que se emitan tokens para una aplicación. También puede bloquear de forma preventiva cualquier aplicación a la que no desee que los empleados intenten acceder. Para bloquear el acceso de los usuarios a una aplicación, puede deshabilitar el inicio de sesión de los usuarios en la aplicación, lo que impide que se emitan todos los tokens de esa aplicación.
En este artículo, aprenderá a evitar que los usuarios inicien sesión en una aplicación en Microsoft Entra ID mediante el centro de administración de Microsoft Entra y PowerShell. Si busca cómo impedir que usuarios específicos accedan a una aplicación, use la asignación de usuarios o grupos.
Requisitos previos
Para deshabilitar el inicio de sesión de los usuarios, necesita lo siguiente:
- Una cuenta de usuario de Microsoft Entra. Si aún no tiene una, puede crear una cuenta de forma gratuita.
- Uno de los siguientes roles:
- Administrador de aplicaciones en la nube
- Administrador de aplicaciones
- propietario de la entidad de servicio
Deshabilitar el inicio de sesión de usuario mediante el Centro de administración de Microsoft Entra
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
- Vaya a Entra ID>Aplicaciones empresariales>Todas las aplicaciones.
- Busque la aplicación en la que desea deshabilitar que un usuario se registre y seleccione la aplicación.
- Seleccione Propiedades.
- Seleccione No para Habilitado para que los usuarios inicien sesión?
- Seleccione Guardar.
Deshabilitar el inicio de sesión de usuario con Microsoft Entra PowerShell
Es posible que conozca el AppId de una aplicación que no aparece en la lista de aplicaciones empresariales. Por ejemplo, si elimina la aplicación o la entidad de servicio aún no se ha creado porque Microsoft la autentica previamente. Puede crear manualmente la entidad de servicio para la aplicación y, a continuación, deshabilitarla mediante el siguiente cmdlet de Microsoft Entra PowerShell.
Asegúrese de instalar el módulo de PowerShell de Microsoft Entra. En caso de que se le pida que instale un módulo NuGet o el nuevo módulo de Microsoft Entra PowerShell V2, escriba Y y presione ENTRAR. Debe iniciar sesión como al menos un Cloud Application Administrator.
# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"
# The AppId of the service principal to be disabled
$appId = "{AppId}"
# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
Deshabilitar el inicio de sesión de usuario con PowerShell de Microsoft Graph
Es posible que conozca el AppId de una aplicación que no aparece en la lista de aplicaciones empresariales. Por ejemplo, si elimina la aplicación o la entidad de servicio aún no se ha creado debido a la aplicación porque Microsoft la autentica previamente. Puede crear la entidad de servicio para la aplicación manualmente y, a continuación, deshabilitarla mediante el siguiente cmdlet de Microsoft Graph PowerShell.
Asegúrese de instalar el módulo de Microsoft Graph (use el comando Install-Module Microsoft.Graph). Debe iniciar sesión como al menos un Cloud Application Administrator.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Get the AppId of the service principal to be disabled
$appId = "{AppId}"
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false
Deshabilitación del inicio de sesión de usuario mediante Microsoft Graph API
Es posible que conozca el AppId de una aplicación que no aparece en la lista de aplicaciones empresariales. Por ejemplo, si elimina la aplicación o la entidad de servicio aún no se ha creado debido a la aplicación porque Microsoft la autentica previamente. Puede crear manualmente la entidad de servicio para la aplicación y, a continuación, deshabilitarla mediante la siguiente llamada a Microsoft Graph.
Para deshabilitar el inicio de sesión en una aplicación, inicie sesión en Graph Explorer como al menos un administrador de aplicaciones en la nube.
Tiene que dar su consentimiento al permiso Application.ReadWrite.All.
Ejecute la consulta siguiente para deshabilitar el inicio de sesión de usuario en una aplicación.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}