Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Pode haver situações ao configurar ou gerenciar um aplicativo em que você não deseja que tokens sejam emitidos para um aplicativo. Ou, você pode querer bloquear um aplicativo que você não quer que seus funcionários tentem acessar. Para bloquear o acesso do usuário a um aplicativo, você pode desabilitar o login do usuário para o aplicativo, o que impede que todos os tokens sejam emitidos para esse aplicativo.
Neste artigo, você aprenderá a impedir que os usuários entrem em um aplicativo no Microsoft Entra ID por meio do centro de administração do Microsoft Entra e do PowerShell. Se você estiver procurando como bloquear o acesso de usuários específicos a um aplicativo, use a atribuição de usuário ou grupo.
Pré-requisitos
Para desativar o início de sessão do utilizador, precisa de:
- Uma conta de usuário do Microsoft Entra. Se ainda não tiver uma, pode criar uma conta gratuitamente.
- Uma das seguintes funções:
- Administrador de aplicativos na nuvem
- Administrador de aplicativos
- proprietário da entidade de serviço
Desativar o início de sessão do utilizador utilizando o Microsoft Entra admin center
- Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
- Navegue até Entra ID>Enterprise apps>Todos os aplicativos.
- Procure o aplicativo que você deseja desabilitar um usuário de entrar e selecione o aplicativo.
- Selecione Propriedades.
- Selecione Não para Habilitado para que os usuários entrem?.
- Selecione Guardar.
Desabilitar a entrada do usuário usando o Microsoft Entra PowerShell
Talvez você conheça o AppId de um aplicativo que não aparece na lista de aplicativos corporativos. Por exemplo, se eliminares a aplicação ou a entidade de serviço ainda não tiver sido criada, uma vez que a Microsoft a pré-autorizou. Pode criar manualmente a entidade de serviço para a aplicação e depois desativá-la utilizando o seguinte cmdlet do Microsoft Entra PowerShell.
Certifique-se de instalar o módulo Microsoft Entra PowerShell. Caso você seja solicitado a instalar um módulo NuGet ou o novo módulo Microsoft Entra PowerShell V2, digite Y e pressione ENTER. Você precisa entrar como pelo menos um administrador de aplicativos na nuvem.
# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"
# The AppId of the service principal to be disabled
$appId = "{AppId}"
# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
Desabilitar a entrada do usuário usando o Microsoft Graph PowerShell
Talvez você conheça o AppId de um aplicativo que não aparece na lista de aplicativos corporativos. Por exemplo, se eliminar a aplicação ou se a entidade de serviço ainda não tiver sido criada devido à pré-autorização da aplicação pela Microsoft. Você pode criar manualmente o principal de serviço para a aplicação e, em seguida, desativá-lo utilizando o seguinte cmdlet do PowerShell do Microsoft Graph.
Certifique-se de instalar o módulo Microsoft Graph (use o comando Install-Module Microsoft.Graph). Você precisa entrar como pelo menos um administrador de aplicativos na nuvem.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Get the AppId of the service principal to be disabled
$appId = "{AppId}"
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false
Desabilitar a entrada do usuário usando a API do Microsoft Graph
Talvez você conheça o AppId de um aplicativo que não aparece na lista de aplicativos corporativos. Por exemplo, se eliminar a aplicação ou se a entidade de serviço ainda não tiver sido criada devido à pré-autorização da aplicação pela Microsoft. Você pode criar manualmente o principal de serviço para a aplicação e, em seguida, desativá-lo com a seguinte chamada para o Microsoft Graph.
Para desativar o início de sessão numa aplicação, inicie sessão no Graph Explorer como, pelo menos, um Administrador de Aplicações na Nuvem.
Você precisa consentir com a Application.ReadWrite.All permissão.
Execute a consulta a seguir para desabilitar o login do usuário em um aplicativo.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}