Zakázání přihlašování uživatelů pro aplikaci
Při konfiguraci nebo správě aplikace můžou nastat situace, kdy nechcete, aby byly tokeny vydávány pro aplikaci. Nebo můžete chtít zablokovat aplikaci, ke které nechcete, aby se vaši zaměstnanci pokusili o přístup. Pokud chcete zablokovat přístup uživatelů k aplikaci, můžete zakázat přihlášení uživatele pro aplikaci, což brání v vystavování všech tokenů pro danou aplikaci.
V tomto článku se dozvíte, jak uživatelům zabránit v přihlášení k aplikaci v Microsoft Entra ID prostřednictvím Centra pro správu Microsoft Entra i PowerShellu. Pokud hledáte, jak konkrétním uživatelům zablokovat přístup k aplikaci, použijte přiřazení uživatele nebo skupiny.
Požadavky
Pokud chcete zakázat přihlašování uživatelů, potřebujete:
- Uživatelský účet Microsoft Entra. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
- Jedna z následujících rolí:
- Správce cloudové aplikace
- Správce aplikace
- vlastník objektu služby
Zakázání přihlašování uživatelů pomocí Centra pro správu Microsoft Entra
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
- Přejděte k Identita>Aplikace>Podnikové aplikace>Všechny aplikace.
- Vyhledejte aplikaci, kterou chcete zakázat přihlášení uživatele, a vyberte aplikaci.
- Vyberte Vlastnosti.
- Vyberte Ne pro Povolit uživatelům přihlášení?.
- Zvolte Uložit.
Zakázání přihlašování uživatelů pomocí Prostředí Microsoft Entra PowerShell
Možná znáte AppId aplikace, která se nezobrazuje v seznamu podnikových aplikací. Pokud například odstraníte aplikaci nebo instanční objekt ještě není vytvořený, protože ho Microsoft předem schvaluje. Instanční objekt (service principal) můžete vytvořit ručně a pak ho zakázat pomocí následujícího příkazového modulu Microsoft Entra PowerShell.
Ujistěte se, že jste nainstalovali modul Microsoft Entra PowerShell. Pokud se zobrazí výzva k instalaci modulu NuGet nebo nového modulu Microsoft Entra PowerShell v2, zadejte Y a stiskněte ENTER. Musíte se přihlásit alespoň jako správce cloudových aplikací.
# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"
# The AppId of the service principal to be disabled
$appId = "{AppId}"
# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
Zakázání přihlašování uživatelů pomocí Microsoft Graph PowerShellu
Možná znáte AppId aplikace, která se nezobrazuje v seznamu podnikových aplikací. Pokud například odstraníte aplikaci nebo instanční objekt ještě není vytvořený kvůli aplikaci, protože ji Microsoft předem autorizuje. Služební účet pro aplikaci můžete vytvořit ručně a poté ho zakázat pomocí následujícího cmdletu Microsoft Graph PowerShell.
Ujistěte se, že jste nainstalovali modul Microsoft Graphu (použijte příkaz Install-Module Microsoft.Graph). Musíte se přihlásit alespoň jako správce cloudových aplikací.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Get the AppId of the service principal to be disabled
$appId = "{AppId}"
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false
Zakázání přihlašování uživatelů pomocí rozhraní Microsoft Graph API
Možná znáte AppId aplikace, která se nezobrazuje v seznamu podnikových aplikací. Například pokud odstraníte aplikaci, nebo pokud instanční objekt služby ještě není vytvořený, protože ji Microsoft předběžně autorizuje. Principála služby aplikace můžete vytvořit ručně a pak ho zakázat pomocí volání Microsoft Graph.
Pokud chcete zakázat přihlášení k aplikaci, přihlaste se k Graph Explorerujako alespoň správce cloudových aplikací.
Musíte udělit souhlas s oprávněním Application.ReadWrite.All .
Spuštěním následujícího dotazu zakažte přihlášení uživatele k aplikaci.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}