Disabilitare l'accesso di un utente per un'applicazione

Durante la configurazione o la gestione di un'applicazione, potrebbero verificarsi situazioni in cui non si vuole che vengano rilasciati token per un'applicazione. Oppure, si potrebbe voler bloccare un'applicazione a cui non si vuole che i dipendenti tentino di accedere. Per bloccare l'accesso di un utente a un'applicazione, è possibile disabilitare l'accesso dell'utente per l'applicazione, impedendo il rilascio di tutti i token per tale applicazione.

In questo articolo viene illustrato come impedire agli utenti di accedere a un'applicazione in Microsoft Entra ID tramite l'interfaccia di amministrazione di Microsoft Entra e PowerShell. Per bloccare l'accesso a un'applicazione da parte di utenti specifici, usare l'assegnazione di utenti o gruppi.

Prerequisiti

Per disabilitare l'accesso di un utente, è necessario:

• Un account utente di Microsoft Entra. Chi non ha ancora un account può crearlo gratuitamente.
• Uno dei ruoli seguenti: Amministratore applicazione cloud, Amministratore di applicazioni oppure proprietario dell'entità servizio.

Disabilitare l'accesso di un utente usando l'interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
3. Cercare l'applicazione per cui si vuole disabilitare l'accesso di un utente e selezionare l'applicazione.
4. Selezionare Proprietà.
5. Selezionare No per Abilitata per l'accesso degli utenti?.
6. Seleziona Salva.

Disabilitare l'accesso di un utente con Azure AD PowerShell

È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata perché viene preautorizzata da Microsoft. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando il cmdlet di Azure AD PowerShell seguente.

Assicurarsi di aver installato il modulo Azure AD PowerShell (usare il comando Install-Module -Name AzureAD). Se viene richiesto di installare un modulo NuGet o il nuovo modulo Azure AD PowerShell V2, digitare Y e premere INVIO. È necessario accedere almeno come Amministratore applicazione cloud.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Disabilitare l'accesso di un utente con Microsoft Graph PowerShell

È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata perché viene preautorizzata da Microsoft. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando il cmdlet di Microsoft Graph PowerShell seguente.

Assicurarsi di installare il modulo Microsoft Graph (usare il comando Install-Module Microsoft.Graph). È necessario accedere almeno come Amministratore applicazione cloud.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Disabilitare l'accesso di un utente con l'API Microsoft Graph

È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata perché viene preautorizzata da Microsoft. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando la chiamata di Microsoft Graph seguente.

Per disabilitare l'accesso a un'applicazione, accedere a Graph Explorer almeno come Amministratore applicazione cloud.

È necessario fornire il consenso all'autorizzazione Application.ReadWrite.All.

Eseguire la query seguente per disabilitare l'accesso di un utente a un'applicazione.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444

Content-type: application/json

{
    "accountEnabled": false
}

Passaggi successivi

• Rimuovere l'assegnazione di un utente o un gruppo da un'app aziendale