Condividi tramite


Disabilitare l'accesso di un utente per un'applicazione

Durante la configurazione o la gestione di un'applicazione, potrebbero verificarsi situazioni in cui non si vuole che vengano rilasciati token per un'applicazione. Oppure, si potrebbe voler bloccare un'applicazione a cui non si vuole che i dipendenti tentino di accedere. Per bloccare l'accesso di un utente a un'applicazione, è possibile disabilitare l'accesso dell'utente per l'applicazione, impedendo il rilascio di tutti i token per tale applicazione.

In questo articolo viene illustrato come impedire agli utenti di accedere a un'applicazione in Microsoft Entra ID tramite l'interfaccia di amministrazione di Microsoft Entra e PowerShell. Per bloccare l'accesso a un'applicazione da parte di utenti specifici, usare l'assegnazione di utenti o gruppi.

Prerequisiti

Per disabilitare l'accesso di un utente, è necessario:

  • Un account utente di Microsoft Entra. Chi non ha ancora un account può crearlo gratuitamente.
  • Uno dei ruoli seguenti:
    • Amministratore di applicazioni cloud
    • Amministratore di applicazioni
    • proprietario del service principal

Disabilitare l'accesso di un utente usando l'interfaccia di amministrazione di Microsoft Entra

  1. Accedi al Centro amministrativo di Microsoft Entra come almeno Amministratore delle applicazioni cloud.
  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
  3. Cercare l'applicazione per cui si vuole disabilitare l'accesso di un utente e selezionare l'applicazione.
  4. Selezionare Proprietà.
  5. Selezionare No per Abilitata per l'accesso degli utenti?.
  6. Seleziona Salva.

Disabilitare l'accesso utente con Microsoft Entra PowerShell

È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata perché viene preautorizzata da Microsoft. È possibile creare manualmente il service principal per l'app e poi disabilitarlo usando il seguente cmdlet di Microsoft Entra PowerShell.

Assicurarsi di installare il modulo Microsoft Entra PowerShell. Se viene richiesto di installare un modulo NuGet o il nuovo modulo Microsoft Entra PowerShell V2, digitare Y e premere INVIO. È necessario accedere almeno come Amministratore applicazione cloud.

# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"

# The AppId of the service principal to be disabled
$appId = "{AppId}"

# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false

Disabilitare l'accesso di un utente con Microsoft Graph PowerShell

È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata a causa dell'app, poiché viene preautorizzata da Microsoft. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando il cmdlet di Microsoft Graph PowerShell seguente.

Assicurarsi di installare il modulo Microsoft Graph (usare il comando Install-Module Microsoft.Graph). È necessario accedere almeno come Amministratore applicazione cloud.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Get the AppId of the service principal to be disabled  
$appId = "{AppId}"  
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false 

Disabilitare l'accesso di un utente con l'API Microsoft Graph

È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o se l'entità servizio non è ancora stata creata a causa dell'app, poiché viene preautorizzata da Microsoft. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando la chiamata di Microsoft Graph seguente.

Per disabilitare l'accesso a un'applicazione, accedere a Graph Explorer almeno come Amministratore applicazione cloud.

È necessario fornire il consenso all'autorizzazione Application.ReadWrite.All.

Eseguire la query seguente per disabilitare l'accesso di un utente a un'applicazione.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444

Content-type: application/json

{
    "accountEnabled": false
}