Menonaktifkan aplikasi perusahaan

Menonaktifkan aplikasi perusahaan menyediakan cara yang dapat dibalik untuk mencegah aplikasi mengakses sumber daya yang dilindungi tanpa menghapusnya secara permanen dari penyewa Anda. Ketika Anda menonaktifkan aplikasi, aplikasi segera berhenti menerima token akses baru, tetapi token yang ada tetap valid sampai kedaluwarsa. Pendekatan ini berguna untuk penyelidikan keamanan, penangguhan sementara aplikasi yang mencurigakan, atau ketika Anda perlu mempertahankan data konfigurasi aplikasi.

Tidak seperti menghapus aplikasi secara permanen, penonaktifan mempertahankan semua metadata aplikasi, izin, dan pengaturan konfigurasi, sehingga memudahkan untuk mengaktifkan kembali aplikasi jika diperlukan. Aplikasi tetap terlihat dalam daftar aplikasi perusahaan penyewa Anda, tetapi pengguna tidak dapat masuk dan tidak ada token baru yang dikeluarkan.

Artikel ini memperlihatkan kepada Anda cara menonaktifkan aplikasi perusahaan, melihat aplikasi yang dinonaktifkan, dan mengaktifkannya kembali jika diperlukan.

Prasyarat

Sebelum Anda dapat menonaktifkan aplikasi, pastikan Anda memenuhi persyaratan berikut:

  • Salah satu peran Microsoft Entra berikut:
  • Izin API berikut jika menggunakan Microsoft Graph:
    • Application.ReadWrite.All (didelegasikan atau aplikasi)
    • Application.ReadWrite.OwnedBy (aplikasi, hanya untuk aplikasi yang dimiliki)

Memahami pennonaktifkan aplikasi

Ketika aplikasi dinonaktifkan, perilaku berikut terjadi:

  • Efek langsung:

    • Permintaan token akses baru ditolak
    • Pengguna tidak dapat masuk ke aplikasi
    • Aplikasi tidak dapat mengakses sumber daya yang dilindungi dengan token baru

  • Elemen yang dipertahankan:

    • Token akses yang ada tetap valid hingga masa pakai yang dikonfigurasi kedaluwarsa
    • Konfigurasi, izin, dan metadata aplikasi dipertahankan
    • Aplikasi tetap terlihat dalam daftar aplikasi Enterprise
    • Objek perwakilan layanan dipertahankan di penyewa

Ketika pengguna mencoba masuk ke aplikasi yang dinonaktifkan, mereka menerima pesan kesalahan yang menunjukkan aplikasi telah dinonaktifkan oleh pemiliknya. Ini berbeda dari pesan kesalahan lain seperti kredensial atau akses yang tidak valid ditolak.

Perbandingan dengan opsi lain

Aplikasi Microsoft Entra dan prinsipal layanan dapat dihentikan penggunaannya dengan empat cara:

  • properti isDisabled (nonaktifkan) diatur pada aplikasi yang telah dinonaktifkan secara global oleh pemilik atau administrator aplikasi.
  • properti disabledByMicrosoftStatus (dinonaktifkan oleh Microsoft) diatur pada aplikasi yang telah dinonaktifkan secara global oleh Microsoft.
  • Properti accountEnabled (menonaktifkan masuk) dikonfigurasi pada perwakilan layanan yang dinonaktifkan dalam penyewa oleh pemilik atau administrator aplikasi.
  • Operasi DELETE (hapus) diselesaikan sebagai operasi pada aplikasi atau perwakilan layanan oleh pemilik atau administrator aplikasi.

Tabel berikut menguraikan berbagai pendekatan secara lebih rinci:

Tindakan Penerbitan token Konfigurasi dipertahankan Reversibel Ruang lingkup
Nonaktifkan Blocked Yes Yes Global (semua penyewa)
Dinonaktifkan oleh Microsoft Blocked Yes Yes Global (semua penyewa)
Menonaktifkan masuk Diblokir pada klien Yes Yes Penyewa tunggal saja
Delete Blocked Tidak (keranjang sampah 30 hari) Ya (30 hari) Global

Menonaktifkan aplikasi

Untuk menonaktifkan aplikasi menggunakan Microsoft Graph API, Anda memerlukan setidaknya peran Administrator Aplikasi Cloud .

  1. Menonaktifkan aplikasi

    PATCH https://graph.microsoft.com/beta/applications/{applicationObjectId}
Content-Type: application/json

{
    "isDisabled": true
}

  2. Verifikasi penonaktifan

    GET https://graph.microsoft.com/beta/applications/{applicationObjectId}

    Responsnya mencakup "isDisabled": true.

Melihat aplikasi yang dinonaktifkan

  1. Mencantumkan semua aplikasi yang dinonaktifkan

    GET https://graph.microsoft.com/beta/applications?$filter=isDisabled eq true

  2. Mendapatkan status aplikasi tertentu

    GET https://graph.microsoft.com/beta/applications/{applicationObjectId}?$select=displayName,isDisabled,appId

Menyelidiki aplikasi yang dinonaktifkan

Saat menangani aplikasi yang dinonaktifkan, lakukan penyelidikan menyeluruh dengan memeriksa konfigurasi aplikasi, termasuk izin API, pengaturan autentikasi, sertifikat, dan log masuk. Dokumentasikan temuan Anda dengan cermat, mencatat alasan pennonaktifkanan, aktivitas mencurigakan atau masalah keamanan, pengguna yang terpengaruh, dan dependensi yang mungkin memengaruhi organisasi Anda.

Berdasarkan penyelidikan Anda, ambil tindakan yang tepat seperti meningkatkan ke tim keamanan jika kompromi dicurigai, menghapus izin yang tidak perlu sebelum pengaktifan ulang, atau memperbarui konfigurasi aplikasi untuk mengatasi masalah keamanan yang diidentifikasi. Jika aplikasi tidak lagi diperlukan atau menimbulkan risiko keamanan yang sedang berlangsung, pertimbangkan penghapusan permanen alih-alih aktivasi ulang.

Mengaktifkan kembali aplikasi

Untuk mengaktifkan kembali aplikasi menggunakan Microsoft Graph API, Anda memerlukan setidaknya peran Administrator Aplikasi .

  1. Mengaktifkan kembali aplikasi

    PATCH https://graph.microsoft.com/v1.0/applications/{application-id}
Content-Type: application/json

{
    "isDisabled": false
}

  2. Memverifikasi aktivasi ulang

    GET https://graph.microsoft.com/v1.0/applications/{application-id}?$select=displayName,isDisabled

    Respons menunjukkan "isDisabled": false.

Mencegah reaktivasi oleh pihak non-administrator

Sebelum menonaktifkan aplikasi, hapus semua pemilik dari aplikasi. Ini memastikan hanya pengguna dengan cakupan penyewa secara keseluruhan microsoft.directory/applications/enable yang dapat mengaktifkan kembali aplikasi. Cakupan ini dibatasi untuk peran administratif. Cakupan ini dibatasi untuk peran administratif.

Konten terkait

  • Last updated on