Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При настройке или управлении приложением могут возникнуть ситуации, когда вы не хотите выдавать маркеры для приложения. Кроме того, может потребоваться заблокировать приложение, к которому вы не хотите, чтобы сотрудники пытались получить доступ. Чтобы заблокировать доступ пользователей к приложению, можно отключить вход пользователя в приложение, что предотвращает выдачу всех маркеров для этого приложения.
В этой статье описано, как запретить пользователям входить в приложение в идентификаторе Microsoft Entra с помощью Центра администрирования Microsoft Entra и PowerShell. Если вы ищете, как заблокировать доступ конкретных пользователей к приложению, используйте назначение пользователей или групп.
Замечание
Действия, описанные в этой статье, отключают вход пользователя для одного арендатора. Если необходимо отключить приложение для всех клиентов (для мультитенантных приложений), рассмотрите возможность деактивации приложения, что предотвращает выдачу токенов глобально.
Предварительные условия
Чтобы отключить вход пользователя, вам потребуется:
- Учетная запись пользователя Microsoft Entra. Если ее нет, можно создать учетную запись бесплатно.
- Одна из следующих ролей:
- Администратор облачных приложений
- Администратор приложений
- владелец принципала службы
Отключение входа пользователей с помощью Центра администрирования Microsoft Entra
- Войдите в Центр администрирования Microsoft Entra как минимум Администратор облачных приложений.
- Перейдите к Entra ID>Корпоративные приложения>Все приложения.
- Найдите приложение, для которого нужно отключить вход пользователя, и выберите его.
- Выберите Свойства.
- Задайте для параметра Включен ли вход для пользователей? значение Нет.
- Выберите Сохранить.
Отключение входа пользователей с помощью Microsoft Entra PowerShell
Возможно, вы знаете AppId приложения, которое не отображается в списке корпоративных приложений. Например, если вы удалите приложение или субъект службы еще не создан, так как корпорация Майкрософт предварительно одобряет его. Вы можете вручную создать сервисный принципал для приложения, а затем отключить его с помощью следующего командлета Microsoft Entra PowerShell.
Убедитесь, что установлен модуль Microsoft Entra PowerShell. Если вам будет предложено установить модуль NuGet или новый модуль Microsoft Entra PowerShell V2, введите Y и нажмите ENTER. Вам нужно войти как минимум как администратор облачных приложений.
# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"
# The AppId of the service principal to be disabled
$appId = "{AppId}"
# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
Отключение входа пользователей с помощью Microsoft Graph PowerShell
Возможно, вы знаете AppId приложения, которое не отображается в списке корпоративных приложений. Например, если вы удалите приложение или учетная запись службы еще не создана из-за приложения, поскольку компания Microsoft предварительно авторизует его. Вы можете вручную создать учетную запись службы для приложения и затем отключить её с помощью следующего командлета Microsoft Graph PowerShell.
Убедитесь, что вы устанавливаете модуль Microsoft Graph (используйте команду Install-Module Microsoft.Graph). Вам нужно войти как минимум как администратор облачных приложений.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Get the AppId of the service principal to be disabled
$appId = "{AppId}"
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false
Отключение входа пользователей с помощью API Microsoft Graph
Возможно, вы знаете AppId приложения, которое не отображается в списке корпоративных приложений. Например, если вы удалите приложение или учетная запись службы еще не создана из-за приложения, поскольку компания Microsoft предварительно авторизует его. Вы можете вручную создать учетную запись службы для приложения, а затем отключить её, вызвав Microsoft Graph следующим образом.
Чтобы отключить вход в приложение, войдите в Graph Explorer как минимум администратор облачных приложений.
Необходимо предоставить согласие на Application.ReadWrite.All разрешение.
Выполните следующий запрос, чтобы отключить вход пользователя в приложение.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}