Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det kan finnas situationer när du konfigurerar eller hanterar ett program där du inte vill att token ska utfärdas för ett program. Eller så kanske du vill blockera ett program som du inte vill att dina anställda ska försöka komma åt. Om du vill blockera användaråtkomst till ett program kan du inaktivera användarinloggning för programmet, vilket förhindrar att alla token utfärdas för programmet.
I den här artikeln får du lära dig hur du förhindrar att användare loggar in på ett program i Microsoft Entra ID via både Microsoft Entra administrationscenter och PowerShell. Om du letar efter hur du blockerar specifika användare från att komma åt ett program använder du användar- eller grupptilldelning.
Anmärkning
Stegen i den här artikeln inaktiverar användarinloggning för en enda klientorganisation. Om du behöver inaktivera ett program globalt för alla klienter (för appar med flera klienter) kan du inaktivera programmet i stället, vilket förhindrar alla tokenutfärdanden globalt.
Förutsättningar
Om du vill inaktivera användarinloggning behöver du:
- Ett Microsoft Entra användarkonto. Om du inte redan har ett konto kan du Skapa ett konto kostnadsfritt.
- En av följande roller:
- Molnprogramadministratör
- Appadministratör
- ägare av tjänstens huvudnamn
Inaktivera användarinloggning med hjälp av administrationscentret för Microsoft Entra
- Logga in på administrationscentret för Microsoft Entra som minst en Cloud-programadministratör.
- Bläddra till Entra ID>Enterprise-appar>Alla program.
- Sök efter det program som du vill inaktivera en användare från att logga in och välj programmet.
- Välj Egenskaper.
- Välj Nej för Aktiverad för användare att logga in?.
- Välj Spara.
Inaktivera användarinloggning med hjälp av Microsoft Entra PowerShell
Du kanske känner till AppId för en app som inte visas i listan Enterprise-appar. Om du till exempel tar bort appen eller tjänstens huvudkonto ännu inte har skapats eftersom Microsoft förhandsauktoriserar den. Du kan skapa tjänstens huvudnamn för appen manuellt och sedan inaktivera det med hjälp av följande Microsoft Entra PowerShell-cmdlet.
Se till att du installerar Microsoft Entra PowerShell-modulen. Om du uppmanas att installera en NuGet-modul eller den nya Microsoft Entra PowerShell V2-modulen skriver du Y och trycker på RETUR. Du måste logga in som minst molnprogramadministratör.
# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"
# The AppId of the service principal to be disabled
$appId = "{AppId}"
# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
Inaktivera användarinloggning med hjälp av Microsoft Graph PowerShell
Du kanske känner till AppId för en app som inte visas i listan Enterprise-appar. Till exempel, om du tar bort appen eller om tjänstens huvudnamn ännu inte har skapats på grund av att Microsoft förauktoriserar den. Du kan skapa tjänstens huvudnamn för appen manuellt och sedan inaktivera det med hjälp av följande Microsoft Graph PowerShell-cmdlet.
Se till att du installerar Microsoft Graph-modulen (använd kommandot Install-Module Microsoft.Graph). Du måste logga in som minst molnprogramadministratör.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Get the AppId of the service principal to be disabled
$appId = "{AppId}"
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false
Inaktivera användarinloggning med Microsoft Graph API
Du kanske känner till AppId för en app som inte visas i listan Enterprise-appar. Till exempel, om du tar bort appen eller om tjänstens huvudnamn ännu inte har skapats på grund av att Microsoft förauktoriserar den. Du kan skapa tjänstens huvudnamn för appen manuellt och sedan inaktivera det med hjälp av följande Microsoft Graph anrop.
Om du vill inaktivera inloggning till ett program loggar du in på Graph Explorer som minst molnprogramadministratör.
Du måste godkänna behörigheten Application.ReadWrite.All.
Kör följande fråga för att inaktivera användarinloggning till ett program.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}