Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Il peut y avoir des situations lors de la configuration ou de la gestion d'une application dans lesquelles vous ne souhaitez pas que des jetons soient émis pour une application. Ou encore, vous souhaiterez peut-être bloquer une application à laquelle vous ne souhaitez pas que vos employés tentent d'accéder. Pour bloquer l’accès utilisateur à une application, vous pouvez désactiver la connexion de l’utilisateur sur l’application, ce qui empêche l’émission de tous les jetons de cette application.
Dans cet article, vous apprenez comment empêcher les utilisateurs de se connecter à une application dans Microsoft Entra ID par le biais du centre d’administration Microsoft Entra et de PowerShell. Si vous recherchez comment empêcher des utilisateurs spécifiques d’accéder à une application, utilisez l’affectation d’utilisateur ou de groupe.
Prérequis
Pour désactiver la connexion utilisateur, vous avez besoin de :
- Un compte d’utilisateur Microsoft Entra. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
- L’un des rôles suivants :
- Administrateur d’applications cloud
- Administrateur d’application
- propriétaire du service principal
Désactivez la connexion de l’utilisateur à l’aide du Centre d’administration Microsoft Entra
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.
- Accédez à Entra ID>Applications d'entreprise>Toutes les applications.
- Recherchez l’application à laquelle vous souhaitez empêcher un utilisateur de se connecter, puis sélectionnez l’application.
- Sélectionnez Propriétés.
- Sélectionnez Nonpour permettre aux utilisateurs de se connecter ?.
- Sélectionnez Enregistrer.
Désactiver la connexion utilisateur à l’aide de Microsoft Entra PowerShell
Vous connaissez peut-être l'AppId d'une application qui n'apparaît pas dans la liste des applications d'entreprise. Par exemple, si vous supprimez l'application ou si le principal du service n'est pas encore créé car Microsoft l'autorise au préalable. Vous pouvez créer manuellement le principal de service pour l’application, puis le désactiver à l’aide de l’applet de commande Microsoft Entra PowerShell suivante.
Veillez à installer le module Microsoft Entra PowerShell. Si vous êtes invité à installer un module NuGet ou le nouveau module Microsoft Entra PowerShell V2, tapez Y et appuyez sur Entrée. Vous devez vous connecter en tant qu’administrateur d’application cloud au moins.
# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"
# The AppId of the service principal to be disabled
$appId = "{AppId}"
# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
Désactiver la connexion des utilisateurs à l'aide de Microsoft Graph PowerShell
Vous connaissez peut-être l'AppId d'une application qui n'apparaît pas dans la liste des applications d'entreprise. Par exemple, si vous supprimez l'application ou si le principal du service n'est pas encore créé en raison de l'application, car Microsoft l'autorise au préalable. Vous pouvez créer manuellement le principal de service pour l’application, puis le désactiver en utilisant le cmdlet du PowerShell Microsoft Graph suivant.
Assurez-vous d'installer le module Microsoft Graph (utilisez la commande Install-Module Microsoft.Graph). Vous devez vous connecter en tant qu’administrateur d’application cloud au moins.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Get the AppId of the service principal to be disabled
$appId = "{AppId}"
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false
Désactivez la connexion de l’utilisateur à l’aide de l’API Microsoft Graph
Vous connaissez peut-être l'AppId d'une application qui n'apparaît pas dans la liste des applications d'entreprise. Par exemple, si vous supprimez l'application ou si le principal du service n'est pas encore créé en raison de l'application, car Microsoft l'autorise au préalable. Vous pouvez créer manuellement le principal de service pour l’application, puis le désactiver à l’aide de l’appel Microsoft Graph suivant.
Pour désactiver la connexion à une application, connectez-vous à Graph Explorer en tant qu’administrateur d’application cloud au moins.
Vous devez consentir à l’autorisation Application.ReadWrite.All.
Exécutez la requête suivante pour désactiver la connexion utilisateur à une application.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}