Désactivation des connexions utilisateurs pour une application

Il peut y avoir des situations lors de la configuration ou de la gestion d'une application dans lesquelles vous ne souhaitez pas que des jetons soient émis pour une application. Ou encore, vous souhaiterez peut-être bloquer une application à laquelle vous ne souhaitez pas que vos employés tentent d'accéder. Pour bloquer l’accès utilisateur à une application, vous pouvez désactiver la connexion de l’utilisateur sur l’application, ce qui empêche l’émission de tous les jetons de cette application.

Dans cet article, vous apprenez comment empêcher les utilisateurs de se connecter à une application dans Microsoft Entra ID par le biais du centre d’administration Microsoft Entra et de PowerShell. Si vous cherchez à empêcher des utilisateurs spécifiques d’accéder à une application, utilisez l’attribution d’utilisateurs ou de groupes.

Prérequis

Pour désactiver la connexion utilisateur, vous avez besoin de :

• Un compte d’utilisateur Microsoft Entra. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
• Un des rôles suivants : Administrateur général, Administrateur d’application cloud, Administrateur d’application ou propriétaire du principal de service.

Désactivez la connexion de l’utilisateur à l’aide du Centre d’administration Microsoft Entra

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.
3. Recherchez l’application à laquelle vous souhaitez empêcher un utilisateur de se connecter, puis sélectionnez l’application.
4. Sélectionner Propriétés.
5. Sélectionnez Non pour Connexion permise pour les utilisateurs ? .
6. Sélectionnez Enregistrer.

Désactiver la connexion des utilisateurs à l'aide d'Azure AD PowerShell

Vous connaissez peut-être l'AppId d'une application qui n'apparaît pas dans la liste des applications d'entreprise. Par exemple, si vous supprimez l'application ou si le principal du service n'est pas encore créé car Microsoft l'autorise au préalable. Vous pouvez créer manuellement le principal de service pour l’application, puis le désactiver à l’aide de l’applet de commande Azure AD PowerShell suivante.

Vérifiez que vous avez installé le module Azure AD PowerShell (utilisez la commande Install-Module -Name AzureAD). Si vous êtes invité à installer un module NuGet ou le nouveau module Azure AD PowerShell V2, tapez O et appuyez sur ENTRÉE. Vous devez vous connecter en tant qu’Administrateur d’application cloud.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Désactiver la connexion des utilisateurs à l'aide de Microsoft Graph PowerShell

Vous connaissez peut-être l'AppId d'une application qui n'apparaît pas dans la liste des applications d'entreprise. Par exemple, si vous supprimez l'application ou si le principal du service n'est pas encore créé en raison de l'application, car Microsoft l'autorise au préalable. Vous pouvez créer manuellement le principal de service pour l’application, puis le désactiver en utilisant le cmdlet du PowerShell Microsoft Graph suivant.

Assurez-vous d'installer le module Microsoft Graph (utilisez la commande Install-Module Microsoft.Graph). Vous devez vous connecter en tant qu’Administrateur d’application cloud.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Désactivez la connexion de l’utilisateur à l’aide de l’API Microsoft Graph

Vous connaissez peut-être l'AppId d'une application qui n'apparaît pas dans la liste des applications d'entreprise. Par exemple, si vous supprimez l'application ou si le principal du service n'est pas encore créé en raison de l'application, car Microsoft l'autorise au préalable. Vous pouvez créer manuellement le principal de service pour l’application, puis le désactiver à l’aide de l’appel Microsoft Graph suivant.

Pour désactiver la connexion à une application, connectez-vous à l’Afficheur Graph comme Administrateur d’application cloud au minimum.

Vous devez consentir à l’autorisation Application.ReadWrite.All.

Exécutez la requête suivante pour désactiver la connexion utilisateur à une application.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/2a8f9e7a-af01-413a-9592-c32ec0e5c1a7

Content-type: application/json

{
    "accountEnabled": false
}

Étapes suivantes

• Suppression d’une affectation d’utilisateur ou de groupe à partir d’une application d’entreprise