Gebruikersaanmelding uitschakelen voor een toepassing

Er kunnen situaties zijn tijdens het configureren of beheren van een toepassing waarbij u geen tokens wilt uitgeven voor een toepassing. Of misschien wilt u een toepassing blokkeren waartoe uw werknemers geen toegang willen krijgen. Als u de toegang van gebruikers tot een toepassing wilt blokkeren, kunt u gebruikersaanmelding uitschakelen voor de toepassing, waardoor niet alle tokens voor die toepassing worden uitgegeven.

In dit artikel leert u hoe u kunt voorkomen dat gebruikers zich aanmelden bij een toepassing in Microsoft Entra ID via het Microsoft Entra-beheercentrum en PowerShell. Als u wilt weten hoe u specifieke gebruikers toegang tot een toepassing kunt blokkeren, gebruikt u de gebruikers- of groepstoewijzing.

Vereisten

Als u gebruikersaanmelding wilt uitschakelen, hebt u het volgende nodig:

• Een Microsoft Entra-gebruikersaccount. Als u dat nog niet hebt, kunt u gratis een account maken.
• Een van de volgende rollen: Globale beheerder, Cloudtoepassingsbeheerder, Toepassingsbeheerder of eigenaar van de service-principal.

Gebruikersaanmelding uitschakelen via het Microsoft Entra-beheercentrum

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.
3. Zoek de toepassing die u wilt uitschakelen zodat een gebruiker zich er niet meer bij kan aanmelden en selecteer de toepassing.
4. Selecteer Eigenschappen.
5. Selecteer Nee voor Ingeschakeld zodat gebruikers zich kunnen aanmelden?
6. Selecteer Opslaan.

Gebruikersaanmelding uitschakelen met Behulp van Azure AD PowerShell

Mogelijk weet u de AppId van een app die niet wordt weergegeven in de lijst met enterprise-apps. Als u bijvoorbeeld de app verwijdert of de service-principal nog niet is gemaakt omdat Microsoft deze vooraf heeft geverifieerd. U kunt de service-principal voor de app handmatig maken en deze vervolgens uitschakelen met behulp van de volgende Azure AD PowerShell-cmdlet.

Zorg ervoor dat u de Azure AD PowerShell-module hebt geïnstalleerd (gebruik de opdracht Install-Module -Name AzureAD). Als u wordt gevraagd om een NuGet-module of de nieuwe Azure AD PowerShell V2-module te installeren, typt u Y en drukt u op Enter. U moet zich aanmelden als ten minste een cloudtoepassing Beheer istrator.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Gebruikersaanmelding uitschakelen met Microsoft Graph PowerShell

Mogelijk weet u de AppId van een app die niet wordt weergegeven in de lijst met enterprise-apps. Als u bijvoorbeeld de app verwijdert of de service-principal nog niet is gemaakt vanwege de app omdat Microsoft deze vooraf heeft geverifieerd. U kunt de service-principal voor de app handmatig maken en deze vervolgens uitschakelen met behulp van de volgende Microsoft Graph PowerShell-cmdlet.

Zorg ervoor dat u de Microsoft Graph-module installeert (gebruik de opdracht Install-Module Microsoft.Graph). U moet zich aanmelden als ten minste een cloudtoepassing Beheer istrator.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Gebruikersaanmelding uitschakelen met Behulp van Microsoft Graph API

Mogelijk weet u de AppId van een app die niet wordt weergegeven in de lijst met enterprise-apps. Als u bijvoorbeeld de app verwijdert of de service-principal nog niet is gemaakt vanwege de app omdat Microsoft deze vooraf heeft geverifieerd. U kunt de service-principal voor de app handmatig maken en deze vervolgens uitschakelen met behulp van de volgende Microsoft Graph-aanroep.

Als u aanmelden bij een toepassing wilt uitschakelen, meldt u zich aan bij Graph Explorer als ten minste een cloudtoepassing Beheer istrator.

U moet toestemming geven voor de Application.ReadWrite.All machtiging.

Voer de volgende query uit om gebruikersaanmelding bij een toepassing uit te schakelen.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/2a8f9e7a-af01-413a-9592-c32ec0e5c1a7

Content-type: application/json

{
    "accountEnabled": false
}

Volgende stappen

• Een gebruikers- of groepstoewijzing verwijderen uit een ondernemingstoepassing