Gebruikersaanmelding uitschakelen voor een toepassing
Er kunnen situaties zijn tijdens het configureren of beheren van een toepassing waarbij u geen tokens wilt uitgeven voor een toepassing. Of misschien wilt u een toepassing blokkeren waartoe uw werknemers geen toegang willen krijgen. Als u de toegang van gebruikers tot een toepassing wilt blokkeren, kunt u gebruikersaanmelding uitschakelen voor de toepassing, waardoor niet alle tokens voor die toepassing worden uitgegeven.
In dit artikel leert u hoe u kunt voorkomen dat gebruikers zich aanmelden bij een toepassing in Microsoft Entra ID via het Microsoft Entra-beheercentrum en PowerShell. Als u wilt weten hoe u specifieke gebruikers toegang tot een toepassing kunt blokkeren, gebruikt u de gebruikers- of groepstoewijzing.
Vereisten
Als u gebruikersaanmelding wilt uitschakelen, hebt u het volgende nodig:
- Een Microsoft Entra-gebruikersaccount. Als u dat nog niet hebt, kunt u gratis een account maken.
- Een van de volgende rollen: cloudtoepassingsbeheerder, toepassingsbeheerder of eigenaar van de service-principal.
Gebruikersaanmelding uitschakelen via het Microsoft Entra-beheercentrum
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
- Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
- Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.
- Zoek de toepassing die u wilt uitschakelen zodat een gebruiker zich er niet meer bij kan aanmelden en selecteer de toepassing.
- Selecteer Eigenschappen.
- Selecteer Nee voor Ingeschakeld zodat gebruikers zich kunnen aanmelden?
- Selecteer Opslaan.
Gebruikersaanmelding uitschakelen met Behulp van Azure AD PowerShell
Mogelijk weet u de AppId van een app die niet wordt weergegeven in de lijst met enterprise-apps. Als u bijvoorbeeld de app verwijdert of de service-principal nog niet is gemaakt omdat Microsoft deze vooraf heeft geverifieerd. U kunt de service-principal voor de app handmatig maken en deze vervolgens uitschakelen met behulp van de volgende Azure AD PowerShell-cmdlet.
Zorg ervoor dat u de Azure AD PowerShell-module hebt geïnstalleerd (gebruik de opdracht Install-Module -Name AzureAD
). Als u wordt gevraagd om een NuGet-module of de nieuwe Azure AD PowerShell V2-module te installeren, typt u Y en drukt u op Enter. U moet zich aanmelden als ten minste een cloudtoepassingsbeheerder.
# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes
# The AppId of the app to be disabled
$appId = "{AppId}"
# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
# Service principal exists already, disable it
Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
# Service principal does not yet exist, create it and disable it at the same time
$servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}
Gebruikersaanmelding uitschakelen met Microsoft Graph PowerShell
Mogelijk weet u de AppId van een app die niet wordt weergegeven in de lijst met enterprise-apps. Als u bijvoorbeeld de app verwijdert of de service-principal nog niet is gemaakt vanwege de app omdat Microsoft deze vooraf heeft geverifieerd. U kunt de service-principal voor de app handmatig maken en deze vervolgens uitschakelen met behulp van de volgende Microsoft Graph PowerShell-cmdlet.
Zorg ervoor dat u de Microsoft Graph-module installeert (gebruik de opdracht Install-Module Microsoft.Graph
). U moet zich aanmelden als ten minste een cloudtoepassingsbeheerder.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# The AppId of the app to be disabled
$appId = "{AppId}"
# Check if a service principal already exists for the app
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# If Service principal exists already, disable it , else, create it and disable it at the same time
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }
else { $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false }
Gebruikersaanmelding uitschakelen met Behulp van Microsoft Graph API
Mogelijk weet u de AppId van een app die niet wordt weergegeven in de lijst met enterprise-apps. Als u bijvoorbeeld de app verwijdert of de service-principal nog niet is gemaakt vanwege de app omdat Microsoft deze vooraf heeft geverifieerd. U kunt de service-principal voor de app handmatig maken en deze vervolgens uitschakelen met behulp van de volgende Microsoft Graph-aanroep.
Als u aanmelding bij een toepassing wilt uitschakelen, meldt u zich aan bij Graph Explorer als ten minste een cloudtoepassingsbeheerder.
U moet toestemming geven voor de Application.ReadWrite.All
machtiging.
Voer de volgende query uit om gebruikersaanmelding bij een toepassing uit te schakelen.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}