Disabilitare l'accesso utente per un'applicazione

Potrebbero verificarsi situazioni durante la configurazione o la gestione di un'applicazione in cui non si vuole che i token vengano rilasciati per un'applicazione. In alternativa, è possibile bloccare un'applicazione a cui non si vuole che i dipendenti tentino di accedere. Per bloccare l'accesso utente a un'applicazione, è possibile disabilitare l'accesso utente per l'applicazione, impedendo l'emissione di tutti i token per tale applicazione.

In questo articolo si apprenderà come impedire agli utenti di accedere a un'applicazione in Microsoft Entra ID tramite l'interfaccia di amministrazione di Microsoft Entra e PowerShell. Per impedire a utenti specifici di accedere a un'applicazione, usare l'assegnazione di utenti o gruppi.

Prerequisiti

Per disabilitare l'accesso utente, è necessario:

• Un account utente di Microsoft Entra. Se non è già disponibile, è possibile creare gratuitamente un account.
• Uno dei ruoli seguenti: amministratore globale, amministratore di applicazioni cloud o amministratore di applicazioni oppure proprietario dell'entità servizio.

Disabilitare l'accesso utente tramite l'interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
2. Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.
3. Cercare l'applicazione in cui si vuole disabilitare l'accesso di un utente e selezionare l'applicazione.
4. Selezionare Proprietà.
5. Selezionare No per Abilitato per consentire agli utenti di accedere?.
6. Seleziona Salva.

Disabilitare l'accesso utente con Azure AD PowerShell

È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata perché Viene preautenticata da Microsoft. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando il cmdlet di Azure AD PowerShell seguente.

Assicurarsi di aver installato il modulo Azure AD PowerShell (usare il comando Install-Module -Name AzureAD). Se viene richiesto di installare un modulo NuGet o il nuovo modulo Azure AD PowerShell V2, digitare Y e premere INVIO. È necessario accedere come almeno un'applicazione cloud Amministrazione istrator.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Disabilitare l'accesso utente con Microsoft Graph PowerShell

È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata a causa dell'app perché Microsoft lo preautentica. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando il cmdlet di PowerShell di Microsoft Graph seguente.

Assicurarsi di installare il modulo Microsoft Graph (usare il comando Install-Module Microsoft.Graph). È necessario accedere come almeno un'applicazione cloud Amministrazione istrator.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Disabilitare l'accesso utente con l'API Microsoft Graph

È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata a causa dell'app perché Microsoft lo preautentica. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando la chiamata di Microsoft Graph seguente.

Per disabilitare l'accesso a un'applicazione, accedere a Graph Explorer come almeno un'applicazione cloud Amministrazione istrator.

È necessario fornire il consenso all'autorizzazione Application.ReadWrite.All .

Eseguire la query seguente per disabilitare l'accesso utente a un'applicazione.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/2a8f9e7a-af01-413a-9592-c32ec0e5c1a7

Content-type: application/json

{
    "accountEnabled": false
}

Passaggi successivi

• Rimuovere l'assegnazione di un utente o un gruppo da un'app aziendale