Alkalmazás felhasználói bejelentkezésének letiltása

Előfordulhatnak olyan helyzetek, amikor olyan alkalmazást konfigurál vagy kezel, amelyben nem szeretné, hogy jogkivonatok legyenek kibocsátva egy alkalmazáshoz. Vagy letilthat egy olyan alkalmazást, amelyhez nem szeretné, hogy az alkalmazottak megpróbálják elérni. Ha meg szeretné tiltani egy alkalmazás felhasználói hozzáférését, letilthatja az alkalmazáshoz való felhasználói bejelentkezést, ami megakadályozza, hogy minden jogkivonat ki legyen adva az adott alkalmazáshoz.

Ebből a cikkből megtudhatja, hogyan akadályozhatja meg, hogy a felhasználók a Microsoft Entra-azonosítóban jelentkezzenek be egy alkalmazásba a Microsoft Entra felügyeleti központban és a PowerShellben. Ha azt keresi, hogyan tilthatja le, hogy egyes felhasználók hozzáférjenek egy alkalmazáshoz, használjon felhasználó- vagy csoporthozzárendelést.

Előfeltételek

A felhasználói bejelentkezés letiltásához a következőkre van szükség:

• Egy Microsoft Entra felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
• Az alábbi szerepkörök egyike: Cloud Application Rendszergazda istrator, Application Rendszergazda istrator vagy a szolgáltatásnév tulajdonosa.

Felhasználói bejelentkezés letiltása a Microsoft Entra Felügyeleti központban

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.
3. Keresse meg azt az alkalmazást, amelybe le szeretné tiltani a felhasználó bejelentkezését, és válassza ki az alkalmazást.
4. Válassza ki a tulajdonságokat.
5. Válassza a Nem lehetőséget, hogy a felhasználók bejelentkezhessenek?.
6. Válassza a Mentés lehetőséget.

Felhasználói bejelentkezés letiltása az Azure AD PowerShell használatával

Előfordulhat, hogy ismeri egy olyan alkalmazás AppId azonosítóját, amely nem jelenik meg a Nagyvállalati alkalmazások listájában. Ha például törli az alkalmazást, vagy a szolgáltatásnév még nincs létrehozva, mert a Microsoft előhitelesíti. Manuálisan létrehozhatja az alkalmazás szolgáltatásnevét, majd letilthatja az alábbi Azure AD PowerShell-parancsmaggal.

Győződjön meg arról, hogy telepítette az Azure AD PowerShell-modult (használja a parancsot Install-Module -Name AzureAD). Ha a rendszer nuGet-modul vagy az új Azure AD PowerShell V2-modul telepítését kéri, írja be az Y kifejezést, és nyomja le az ENTER billentyűt. Legalább felhőalapú alkalmazásként kell bejelentkeznie Rendszergazda istratorként.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Felhasználói bejelentkezés letiltása a Microsoft Graph PowerShell használatával

Előfordulhat, hogy ismeri egy olyan alkalmazás AppId azonosítóját, amely nem jelenik meg a Nagyvállalati alkalmazások listájában. Ha például törli az alkalmazást, vagy a szolgáltatásnév még nem jön létre az alkalmazás miatt, mert a Microsoft előhitelesíti. Manuálisan létrehozhatja az alkalmazás szolgáltatásnevét, majd letilthatja az alábbi Microsoft Graph PowerShell-parancsmaggal.

Győződjön meg arról, hogy telepíti a Microsoft Graph modult (használja a parancsot Install-Module Microsoft.Graph). Legalább felhőalapú alkalmazásként kell bejelentkeznie Rendszergazda istratorként.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Felhasználói bejelentkezés letiltása a Microsoft Graph API használatával

Előfordulhat, hogy ismeri egy olyan alkalmazás AppId azonosítóját, amely nem jelenik meg a Nagyvállalati alkalmazások listájában. Ha például törli az alkalmazást, vagy a szolgáltatásnév még nem jön létre az alkalmazás miatt, mert a Microsoft előhitelesíti. Manuálisan létrehozhatja az alkalmazás szolgáltatásnevét, majd letilthatja az alábbi Microsoft Graph-hívással.

Ha le szeretné tiltani egy alkalmazásba való bejelentkezést, jelentkezzen be a Graph Explorerbe legalább felhőalapú alkalmazásként Rendszergazda istratorként.

Hozzá kell járulnia az Application.ReadWrite.All engedélyhez.

Az alábbi lekérdezés futtatásával letilthatja a felhasználói bejelentkezést egy alkalmazásba.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444

Content-type: application/json

{
    "accountEnabled": false
}

Következő lépések

• Felhasználó- vagy csoporthozzárendelés eltávolítása vállalati alkalmazásból