Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A vállalati alkalmazások inaktiválásával visszafordítható módon megakadályozhatja, hogy az alkalmazás hozzáférjen a védett erőforrásokhoz anélkül, hogy véglegesen eltávolítaná azt a bérlőből. Ha inaktivál egy alkalmazást, az azonnal leállítja az új hozzáférési jogkivonatok fogadását, de a meglévő jogkivonatok érvényesek maradnak mindaddig, amíg lejárnak. Ez a megközelítés biztonsági vizsgálatokhoz, gyanús alkalmazások ideiglenes felfüggesztéséhez vagy az alkalmazáskonfigurációs adatok karbantartásához hasznos.
Az alkalmazás végleges törlésétől eltérően az inaktiválás megőrzi az alkalmazás metaadatait, engedélyeit és konfigurációs beállításait, így szükség esetén egyszerűen újraaktiválhatja az alkalmazást. Az alkalmazás továbbra is látható marad a bérlő vállalati alkalmazáslistájában, de a felhasználók nem tudnak bejelentkezni, és nem adnak ki új jogkivonatokat.
Ez a cikk bemutatja, hogyan inaktiválhat egy vállalati alkalmazást, tekintheti meg az inaktivált alkalmazásokat, és szükség esetén újraaktiválhatja őket.
Előfeltételek
Mielőtt inaktiválhat egy alkalmazást, győződjön meg arról, hogy megfelel az alábbi követelményeknek:
- Az alábbi Microsoft Entra-szerepkörök egyike:
- A Microsoft Graph használata esetén a következő API-engedélyek:
-
Application.ReadWrite.All(delegált vagy alkalmazás) -
Application.ReadWrite.OwnedBy(csak saját alkalmazások esetén)
-
Az alkalmazás inaktiválásának ismertetése
Egy alkalmazás inaktiválásakor a következő viselkedés következik be:
Azonnali hatások:
- A rendszer megtagadja az új hozzáférési jogkivonat-kérelmeket
- A felhasználók nem tudnak bejelentkezni az alkalmazásba
- Az alkalmazás nem tud új jogkivonatokkal hozzáférni a védett erőforrásokhoz
Megőrzött elemek:
- A meglévő hozzáférési jogkivonatok a konfigurált élettartam lejáratáig érvényesek maradnak
- Az alkalmazáskonfiguráció, az engedélyek és a metaadatok megmaradnak
- Az alkalmazás továbbra is látható marad a Vállalati alkalmazások listában
- A szolgáltatásnév objektuma megmarad a bérlőben
Amikor a felhasználók inaktivált alkalmazásba próbálnak bejelentkezni, hibaüzenet jelenik meg, amely azt jelzi, hogy az alkalmazást a tulajdonosa letiltotta. Ez eltér a többi hibaüzenettől, például az érvénytelen hitelesítő adatoktól vagy a hozzáférés megtagadásától.
Összehasonlítás más beállításokkal
A Microsoft Entra-alkalmazások és szolgáltatásnevek négy módon akadályozhatók meg a használatban:
- Az isDisabled (inaktiválás) tulajdonság olyan alkalmazásokra van beállítva, amelyeket az alkalmazás tulajdonosa vagy rendszergazdája globálisan letiltott.
- A disabledByMicrosoftStatus (a Microsoft által letiltva) tulajdonság azokra az alkalmazásokra van beállítva, amelyeket a Microsoft globálisan letiltott.
- accountEnabled (bejelentkezés letiltása) tulajdonságot a bérlőben letiltott szolgáltatás azonosítókra állítja be az alkalmazás tulajdonosa vagy rendszergazdája.
- A DELETE (delete) művelet az alkalmazás tulajdonosa vagy rendszergazdája által végrehajtott műveletként fejeződik be az alkalmazásokon vagy szolgáltatásneveken.
Az alábbi táblázat részletesebben ismerteti a különböző megközelítéseket:
| Tevékenység | Token kibocsátása | Konfigurálás megőrzve | Megfordítható | Scope |
|---|---|---|---|---|
| Hatástalanít | Letiltott | Igen | Igen | Globális (minden bérlő) |
| A Microsoft letiltotta | Letiltott | Igen | Igen | Globális (minden bérlő) |
| Bejelentkezés letiltása | Ebben a bérlőben letiltva | Igen | Igen | Csak egyetlen bérlő |
| Delete | Letiltott | Nem (30 napos lomtár) | Igen (30 nap) | Global |
Alkalmazás inaktiválása
Az alkalmazások Microsoft Graph API-val történő inaktiválásához legalább felhőalkalmazás-rendszergazdai szerepkörre van szükség.
Kérje le az alkalmazásazonosítót, ha nem rendelkezik vele
GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'Your App Name'Az alkalmazás inaktiválása
PATCH https://graph.microsoft.com/beta/applications/{application-id} Content-Type: application/json { "isDisabled": true }Deaktiválás ellenőrzése
GET https://graph.microsoft.com/beta/applications/{application-id}A válasz tartalmazza a következőt:
"isDisabled": true.
Inaktivált alkalmazások megtekintése
Az összes inaktivált alkalmazás listázása
GET https://graph.microsoft.com/beta/applications?$filter=isDisabled eq trueAlkalmazás adott állapotának lekérése
GET https://graph.microsoft.com/beta/applications/{application-id}?$select=displayName,isDisabled,appId
Inaktivált alkalmazások vizsgálata
Inaktivált alkalmazások kezelésekor alaposan vizsgálja meg az alkalmazás konfigurációját, beleértve az API-engedélyeket, a hitelesítési beállításokat, a tanúsítványokat és a bejelentkezési naplókat. Gondosan dokumentálja az eredményeket, és ne feledje az inaktiválás okát, a gyanús tevékenységeket vagy biztonsági problémákat, az érintett felhasználókat és a szervezetre esetlegesen hatással lévő függőségeket.
A vizsgálat alapján hajtsa végre a megfelelő lépéseket, például a biztonsági csapatok felé történő eszkalálást, ha felmerül a biztonsági kockázat gyanúja, távolítsa el a szükségtelen engedélyeket az újraaktiválás előtt, vagy frissítse az alkalmazás konfigurációját az azonosított biztonsági problémák megoldása érdekében. Ha az alkalmazásra már nincs szükség, vagy folyamatos biztonsági kockázatot jelent, fontolja meg az újraaktiválás helyett a végleges törlést.
Alkalmazás újraaktiválása
Az alkalmazások Microsoft Graph API-val való újraaktiválásához legalább alkalmazásadminisztrátori szerepkörre van szükség.
Az alkalmazás újraaktiválása
PATCH https://graph.microsoft.com/v1.0/applications/{application-id} Content-Type: application/json { "isDisabled": false }Újraaktiválás ellenőrzése
GET https://graph.microsoft.com/v1.0/applications/{application-id}?$select=displayName,isDisabledA válasz a következőt jeleníti meg
"isDisabled": false:
A nemminisztrátorok általi újraaktiválás megakadályozása
Az alkalmazás inaktiválása előtt távolítsa el az összes tulajdonost az alkalmazásból. Ez biztosítja, hogy csak a bérlői microsoft.directory/applications/enable hatókörrel rendelkező felhasználók aktiválhatják újra az alkalmazást. Ez a hatókör rendszergazdai szerepkörökre korlátozódik. Ez a hatókör rendszergazdai szerepkörökre korlátozódik.
Kapcsolódó tartalom
- Vállalati alkalmazás törlése végleges eltávolítás céljából
- A bérlőspecifikus blokkolás felhasználói bejelentkezésének letiltása
- Vállalati alkalmazás visszaállítása a lomtárból
- Alkalmazáshasználat figyelése naplózási naplókkal