Bir uygulama için kullanıcı oturum açmayı devre dışı bırakma

Bir uygulamayı yapılandırırken veya yönetirken bir uygulama için belirteçlerin verilmesini istemediğiniz durumlar olabilir. Ya da çalışanlarınızın erişmesini istemediğiniz bir uygulamayı engellemek isteyebilirsiniz. Bir uygulamaya kullanıcı erişimini engellemek için, uygulama için kullanıcı oturum açma özelliğini devre dışı bırakabilirsiniz ve bu da söz konusu uygulama için tüm belirteçlerin verilmesini engeller.

Bu makalede, hem Microsoft Entra yönetim merkezi hem de PowerShell aracılığıyla kullanıcıların Microsoft Entra Id'de bir uygulamada oturum açmasını engellemeyi öğreneceksiniz. Belirli kullanıcıların bir uygulamaya erişmesini engellemeyi arıyorsanız kullanıcı veya grup atamasını kullanın.

Önkoşullar

Kullanıcı oturum açma özelliğini devre dışı bırakmak için şunları yapmanız gerekir:

  • Microsoft Entra kullanıcı hesabı. Henüz bir hesabınız yoksa ücretsiz hesap oluşturabilirsiniz.
  • Şu rollerden biri: Genel Yönetici, Bulut Uygulaması Yöneticisi, Uygulama Yöneticisi veya hizmet sorumlusu sahibi.

Microsoft Entra yönetim merkezini kullanarak kullanıcı oturum açmayı devre dışı bırakma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Tüm uygulamalar'a göz atın.
  3. Kullanıcının oturum açmasını devre dışı bırakmak istediğiniz uygulamayı arayın ve uygulamayı seçin.
  4. Özellikleri'i seçin.
  5. Kullanıcıların oturum açması için Etkin için Hayır'ı seçin.
  6. Kaydet'i seçin.

Azure AD PowerShell kullanarak kullanıcı oturum açmayı devre dışı bırakma

Kurumsal uygulamalar listesinde görünmeyen bir uygulamanın AppId değerini biliyor olabilirsiniz. Örneğin, uygulamayı silerseniz veya Hizmet sorumlusu henüz Microsoft ön kimlik doğrulamasından dolayı oluşturulmamışsa. Uygulama için hizmet sorumlusunu el ile oluşturabilir ve ardından aşağıdaki Azure AD PowerShell cmdlet'ini kullanarak devre dışı bırakabilirsiniz.

Azure AD PowerShell modülünü yüklediğinizden emin olun (komutunu Install-Module -Name AzureADkullanın). NuGet modülünü veya yeni Azure AD PowerShell V2 modülünü yüklemeniz istenirse Y yazın ve ENTER tuşuna basın. En azından bulut uygulaması Yönetici istrator olarak oturum açmanız gerekir.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Microsoft Graph PowerShell kullanarak kullanıcı oturum açmayı devre dışı bırakma

Kurumsal uygulamalar listesinde görünmeyen bir uygulamanın AppId değerini biliyor olabilirsiniz. Örneğin, uygulamayı silerseniz veya hizmet sorumlusu henüz uygulama nedeniyle oluşturulmamışsa çünkü Microsoft bu uygulamayı önceden doğrular. Uygulama için hizmet sorumlusunu el ile oluşturabilir ve ardından aşağıdaki Microsoft Graph PowerShell cmdlet'ini kullanarak devre dışı bırakabilirsiniz.

Microsoft Graph modülünü yüklediğinizden emin olun (komutunu Install-Module Microsoft.Graphkullanın). En azından bulut uygulaması Yönetici istrator olarak oturum açmanız gerekir.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Microsoft Graph API'sini kullanarak kullanıcı oturum açmayı devre dışı bırakma

Kurumsal uygulamalar listesinde görünmeyen bir uygulamanın AppId değerini biliyor olabilirsiniz. Örneğin, uygulamayı silerseniz veya hizmet sorumlusu henüz uygulama nedeniyle oluşturulmamışsa çünkü Microsoft bu uygulamayı önceden doğrular. Uygulama için hizmet sorumlusunu el ile oluşturabilir ve ardından aşağıdaki Microsoft Graph çağrısını kullanarak devre dışı bırakabilirsiniz.

Uygulamada oturum açmayı devre dışı bırakmak için Graf Gezgini'nde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

İzin için onay vermeniz Application.ReadWrite.All gerekir.

Uygulamada kullanıcı oturum açma özelliğini devre dışı bırakmak için aşağıdaki sorguyu çalıştırın.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/2a8f9e7a-af01-413a-9592-c32ec0e5c1a7

Content-type: application/json

{
    "accountEnabled": false
}

Sonraki adımlar