Disabilitare l'accesso di un utente per un'applicazione

Durante la configurazione o la gestione di un'applicazione, potrebbero verificarsi situazioni in cui non si vuole che vengano rilasciati token per un'applicazione. Oppure, si potrebbe voler bloccare un'applicazione a cui non si vuole che i dipendenti tentino di accedere. Per bloccare l'accesso di un utente a un'applicazione, è possibile disabilitare l'accesso dell'utente per l'applicazione, impedendo il rilascio di tutti i token per tale applicazione.

In questo articolo viene illustrato come impedire agli utenti di accedere a un'applicazione in Microsoft Entra ID tramite l'interfaccia di amministrazione di Microsoft Entra e PowerShell. Per bloccare l'accesso a un'applicazione da parte di utenti specifici, usare l'assegnazione di utenti o gruppi.

Prerequisiti

Per disabilitare l'accesso di un utente, è necessario:

• Un account utente di Microsoft Entra. Se non si dispone già di un account, è possibile creare un account gratuitamente.
• Uno dei ruoli seguenti: Amministratore applicazione cloud, Amministratore di applicazioni oppure proprietario dell'entità servizio.

Disabilitare l'accesso di un utente usando l'interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
3. Cercare l'applicazione per cui si vuole disabilitare l'accesso di un utente e selezionare l'applicazione.
4. Selezionare Proprietà.
5. Selezionare No per Abilitata per l'accesso degli utenti?.
6. Seleziona Salva.

Disabilitare l'accesso di un utente con Azure AD PowerShell

È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata perché viene preautorizzata da Microsoft. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando il cmdlet di Azure AD PowerShell seguente.

Assicurarsi di aver installato il modulo Azure AD PowerShell (usare il comando Install-Module -Name AzureAD). Se viene richiesto di installare un modulo NuGet o il nuovo modulo Azure AD PowerShell V2, digitare Y e premere INVIO. È necessario accedere almeno come Amministratore applicazione cloud.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Disabilitare l'accesso di un utente con Microsoft Graph PowerShell

È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata perché viene preautorizzata da Microsoft. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando il cmdlet di Microsoft Graph PowerShell seguente.

Assicurarsi di installare il modulo Microsoft Graph (usare il comando Install-Module Microsoft.Graph). È necessario accedere almeno come Amministratore applicazione cloud.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Disabilitare l'accesso di un utente con l'API Microsoft Graph

È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata perché viene preautorizzata da Microsoft. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando la chiamata di Microsoft Graph seguente.

Per disabilitare l'accesso a un'applicazione, accedere a Graph Explorer almeno come Amministratore applicazione cloud.

È necessario fornire il consenso all'autorizzazione Application.ReadWrite.All.

Eseguire la query seguente per disabilitare l'accesso di un utente a un'applicazione.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444

Content-type: application/json

{
    "accountEnabled": false
}

Passaggi successivi

• Rimuovere l'assegnazione di un utente o un gruppo da un'app aziendale