Desabilitar entradas de usuário em um aplicativo

Pode haver situações ao configurar ou gerenciar um aplicativo em que você não deseja que os tokens sejam emitidos para um aplicativo. Ou talvez você queira bloquear um aplicativo que não deseja que seus funcionários tentem acessar. Para bloquear o acesso do usuário a um aplicativo, você pode desabilitar o login do usuário no aplicativo, o que impedirá a emissão de tokens para esse aplicativo.

Nesse artigo, você aprenderá como impedir que os usuários entrem em um aplicativo no Microsoft Entra ID tanto por meio do centro de administração do Microsoft Entra quanto do PowerShell. Se você quer saber como impedir que usuários específicos acessem um aplicativo, use a atribuição de usuário ou grupo.

Pré-requisitos

Para desabilitar a entrada do usuário, você precisará:

  • Uma conta de usuário do Microsoft Entra. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
  • Uma das seguintes funções: administrador global, administrador de aplicativos de nuvem, administrador de aplicativos ou proprietário da entidade de serviço.

Desabilitar a entrada do usuário usando o Centro de administração do Microsoft Entra

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.
  3. Pesquise o aplicativo em que você deseja desabilitar a entrada de um usuário e selecione o aplicativo.
  4. Selecione Propriedades.
  5. Selecione Não para Habilitado para entrada de usuários? .
  6. Selecione Salvar.

Desabilitar a entrada do usuário usando o PowerShell do Azure AD

Talvez você saiba a AppId de um aplicativo que não aparece na lista aplicativos empresariais. Por exemplo, se você excluir o aplicativo ou a entidade de serviço ainda não for criada porque a Microsoft o pré-autoriza. Você pode criar manualmente a entidade de serviço para o aplicativo e desabilitá-la usando o seguinte cmdlet do PowerShell do Azure AD.

Certifique-se de ter instalado o módulo Azure AD PowerShell (use o comandoInstall-Module -Name AzureAD). Caso você seja solicitado a instalar um módulo do NuGet ou o novo módulo Azure AD PowerShell V2, digite Y e pressione ENTER. Você precisa entrar como, pelo menos, um Administrador de Aplicativos de Nuvem.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Desabilitar a entrada do usuário usando o Microsoft Graph PowerShell

Talvez você saiba a AppId de um aplicativo que não aparece na lista aplicativos empresariais. Por exemplo, se você excluir o aplicativo ou a entidade de serviço ainda não for criada devido ao aplicativo, porque a Microsoft o pré-autoriza. Você pode criar a entidade de serviço para o aplicativo manualmente e, a seguir, desabilitá-la usando o cmdlet do PowerShell do Microsoft Graph abaixo.

Verifique se você instalou o módulo do Microsoft Graph (use o comando Install-Module Microsoft.Graph). Você precisa entrar como, pelo menos, um Administrador de Aplicativos de Nuvem.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Desabilitar a entrada do usuário usando a API do Microsoft Graph

Talvez você saiba a AppId de um aplicativo que não aparece na lista aplicativos empresariais. Por exemplo, se você excluir o aplicativo ou a entidade de serviço ainda não for criada devido ao aplicativo, porque a Microsoft o pré-autoriza. Você pode criar manualmente a entidade de serviço para o aplicativo e desabilitá-la usando a seguinte chamada do Microsoft Graph.

Para desabilitar a entrada em um aplicativo, entre no Graph Explorer como, pelo menos, um Administrador de Aplicativos de Nuvem.

Você precisa consentir com a permissão Application.ReadWrite.All.

Execute a consulta a seguir para desabilitar a entrada do usuário em um aplicativo.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/2a8f9e7a-af01-413a-9592-c32ec0e5c1a7

Content-type: application/json

{
    "accountEnabled": false
}

Próximas etapas