Zakázání přihlašování uživatelů pro aplikaci

Při konfiguraci nebo správě aplikace můžou nastat situace, kdy nechcete, aby se tokeny vystavily pro aplikaci. Nebo můžete chtít zablokovat aplikaci, ke které nechcete, aby se vaši zaměstnanci pokusili o přístup. Pokud chcete zablokovat přístup uživatelů k aplikaci, můžete zakázat přihlášení uživatele pro aplikaci, což brání v vystavování všech tokenů pro danou aplikaci.

V tomto článku se dozvíte, jak uživatelům zabránit v přihlášení k aplikaci v Microsoft Entra ID prostřednictvím Centra pro správu Microsoft Entra i PowerShellu. Pokud hledáte, jak konkrétním uživatelům zablokovat přístup k aplikaci, použijte přiřazení uživatele nebo skupiny.

Požadavky

Pokud chcete zakázat přihlašování uživatelů, potřebujete:

• Uživatelský účet Microsoft Entra. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
• Jedna z následujících rolí: Správce cloudových aplikací, Správce aplikací nebo vlastník instančního objektu.

Zakázání přihlašování uživatelů pomocí Centra pro správu Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.
3. Vyhledejte aplikaci, kterou chcete zakázat přihlášení uživatele, a vyberte aplikaci.
4. Vyberte Vlastnosti.
5. Chcete-li povolit přihlášení uživatelů, vyberte Možnost Ne.
6. Zvolte Uložit.

Zakázání přihlašování uživatelů pomocí Azure AD PowerShellu

Možná znáte AppId aplikace, která se nezobrazuje v seznamu podnikových aplikací. Pokud například odstraníte aplikaci nebo instanční objekt ještě není vytvořený, protože ho Microsoft předvytvářením. Instanční objekt aplikace můžete vytvořit ručně a pak ho zakázat pomocí následující rutiny Azure AD PowerShellu.

Ujistěte se, že jste nainstalovali modul Azure AD PowerShell (použijte příkaz Install-Module -Name AzureAD). Pokud se zobrazí výzva k instalaci modulu NuGet nebo nového modulu Azure AD PowerShell v2, zadejte Y a stiskněte ENTER. Musíte se přihlásit alespoň jako správce cloudových aplikací.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Zakázání přihlašování uživatelů pomocí Microsoft Graph PowerShellu

Možná znáte AppId aplikace, která se nezobrazuje v seznamu podnikových aplikací. Pokud například odstraníte aplikaci nebo instanční objekt ještě není vytvořený kvůli aplikaci, protože ji Microsoft předem autorizuje. Instanční objekt aplikace můžete vytvořit ručně a pak ho zakázat pomocí následující rutiny Microsoft Graph PowerShellu.

Ujistěte se, že jste nainstalovali modul Microsoft Graphu (použijte příkaz Install-Module Microsoft.Graph). Musíte se přihlásit alespoň jako správce cloudových aplikací.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Zakázání přihlašování uživatelů pomocí rozhraní Microsoft Graph API

Možná znáte AppId aplikace, která se nezobrazuje v seznamu podnikových aplikací. Pokud například odstraníte aplikaci nebo instanční objekt ještě není vytvořený kvůli aplikaci, protože ji Microsoft předem autorizuje. Instanční objekt aplikace můžete vytvořit ručně a pak ho zakázat pomocí následujícího volání Microsoft Graphu.

Pokud chcete zakázat přihlášení k aplikaci, přihlaste se k Graph Exploreru jako alespoň správce cloudových aplikací.

Musíte udělit souhlas s oprávněním Application.ReadWrite.All .

Spuštěním následujícího dotazu zakažte přihlášení uživatele k aplikaci.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444

Content-type: application/json

{
    "accountEnabled": false
}

Další kroky

• Odebrání přiřazení uživatele nebo skupiny z podnikové aplikace