Disabilitare l'accesso di un utente per un'applicazione
Durante la configurazione o la gestione di un'applicazione, potrebbero verificarsi situazioni in cui non si vuole che vengano rilasciati token per un'applicazione. Oppure, si potrebbe voler bloccare un'applicazione a cui non si vuole che i dipendenti tentino di accedere. Per bloccare l'accesso di un utente a un'applicazione, è possibile disabilitare l'accesso dell'utente per l'applicazione, impedendo il rilascio di tutti i token per tale applicazione.
In questo articolo viene illustrato come impedire agli utenti di accedere a un'applicazione in Microsoft Entra ID tramite l'interfaccia di amministrazione di Microsoft Entra e PowerShell. Per bloccare l'accesso a un'applicazione da parte di utenti specifici, usare l'assegnazione di utenti o gruppi.
Prerequisiti
Per disabilitare l'accesso di un utente, è necessario:
- Un account utente di Microsoft Entra. Chi non ha ancora un account può crearlo gratuitamente.
- Uno dei ruoli seguenti:
- Amministratore di applicazioni cloud
- Amministratore di applicazioni
- proprietario del service principal
Disabilitare l'accesso di un utente usando l'interfaccia di amministrazione di Microsoft Entra
- Accedi al Centro amministrativo di Microsoft Entra come almeno Amministratore delle applicazioni cloud.
- Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
- Cercare l'applicazione per cui si vuole disabilitare l'accesso di un utente e selezionare l'applicazione.
- Selezionare Proprietà.
- Selezionare No per Abilitata per l'accesso degli utenti?.
- Seleziona Salva.
Disabilitare l'accesso utente con Microsoft Entra PowerShell
È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata perché viene preautorizzata da Microsoft. È possibile creare manualmente il service principal per l'app e poi disabilitarlo usando il seguente cmdlet di Microsoft Entra PowerShell.
Assicurarsi di installare il modulo Microsoft Entra PowerShell. Se viene richiesto di installare un modulo NuGet o il nuovo modulo Microsoft Entra PowerShell V2, digitare Y e premere INVIO. È necessario accedere almeno come Amministratore applicazione cloud.
# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"
# The AppId of the service principal to be disabled
$appId = "{AppId}"
# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
Disabilitare l'accesso di un utente con Microsoft Graph PowerShell
È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata a causa dell'app, poiché viene preautorizzata da Microsoft. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando il cmdlet di Microsoft Graph PowerShell seguente.
Assicurarsi di installare il modulo Microsoft Graph (usare il comando Install-Module Microsoft.Graph). È necessario accedere almeno come Amministratore applicazione cloud.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Get the AppId of the service principal to be disabled
$appId = "{AppId}"
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false
Disabilitare l'accesso di un utente con l'API Microsoft Graph
È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata a causa dell'app, poiché viene preautorizzata da Microsoft. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla tramite la seguente chiamata a Microsoft Graph.
Per disabilitare l'accesso a un'applicazione, accedere a Graph Explorer almeno come Amministratore applicazione cloud.
È necessario fornire il consenso all'autorizzazione Application.ReadWrite.All.
Eseguire la query seguente per disabilitare l'accesso di un utente a un'applicazione.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}