Inaktivera användarinloggning för program - Microsoft Entra

Artikel
03/21/2023
3 minuter för att läsa

Det kan finnas situationer när du konfigurerar eller hanterar ett program där du inte vill att token ska utfärdas för ett program. Eller så kanske du vill blockera ett program som du inte vill att dina anställda ska försöka komma åt. Om du vill blockera användaråtkomst till ett program kan du inaktivera användarinloggning för programmet, vilket förhindrar att alla token utfärdas för programmet.

I den här artikeln får du lära dig hur du förhindrar användare från att logga in i ett program i Azure Active Directory via både Azure Portal och PowerShell. Om du letar efter hur du blockerar specifika användare från att komma åt ett program kan du använda användar- eller grupptilldelning.

Förutsättningar

Om du vill inaktivera användarinloggning behöver du:

Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
En av följande roller: En administratör eller ägare av tjänstens huvudnamn.

Inaktivera hur en användare loggar in

Logga in på Azure Portal som global administratör för din katalog.
Sök efter och välj Azure Active Directory.
Välj Företagsprogram.
Sök efter det program som du vill inaktivera en användare från att logga in på och välj programmet.
Välj Egenskaper.
Välj Nej för Aktiverat för användare att logga in?.
Välj Spara.

Du kanske känner till AppId för en app som inte visas i listan Över Företagsappar. Du kan till exempel ha tagit bort appen eller så har tjänstens huvudnamn ännu inte skapats på grund av att appen har förauktoriserats av Microsoft. Du kan manuellt skapa tjänstens huvudnamn för appen och sedan inaktivera den med hjälp av följande Azure AD PowerShell-cmdlet.

Kontrollera att du har installerat AzureAD-modulen (använd kommandot Install-Module -Name AzureAD). Om du uppmanas att installera en NuGet-modul eller den nya Azure AD V2 PowerShell-modulen skriver du Y och trycker på RETUR.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Kontrollera att du har installerat Microsoft Graph-modulen (använd kommandot Install-Module Microsoft.Graph).

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false }

Om du vill inaktivera inloggning till ett program loggar du in på Graph Explorer med en av rollerna som anges i avsnittet om förhandskrav.

Du måste godkänna behörigheten Application.ReadWrite.All .

Kör följande fråga för att inaktivera användarinloggning till ett program.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/2a8f9e7a-af01-413a-9592-c32ec0e5c1a7

Content-type: application/json

{
    "accountEnabled": false
}

Nästa steg

Ta bort en användar- eller grupptilldelning från en företagsapp

Förutsättningar

Inaktivera hur en användare loggar in

Nästa steg

Ytterligare resurser

Ytterligare resurser

Inaktivera användarinloggning för ett program

Förutsättningar

Inaktivera hur en användare loggar in

Nästa steg

Ytterligare resurser

Ytterligare resurser