Wyłączanie logowania użytkownika dla aplikacji
Podczas konfigurowania aplikacji lub zarządzania nią mogą wystąpić sytuacje, w których nie chcesz wystawiać tokenów dla aplikacji. Możesz też zablokować aplikację, do której nie chcesz, aby pracownicy próbowali uzyskać dostęp. Aby zablokować dostęp użytkowników do aplikacji, możesz wyłączyć logowanie użytkownika dla aplikacji, co uniemożliwia wystawianie wszystkich tokenów dla tej aplikacji.
Z tego artykułu dowiesz się, jak uniemożliwić użytkownikom logowanie się do aplikacji w usłudze Microsoft Entra ID za pośrednictwem centrum administracyjnego firmy Microsoft Entra i programu PowerShell. Jeśli szukasz sposobu blokowania dostępu określonych użytkowników do aplikacji, użyj przypisania użytkowników lub grup.
Wymagania wstępne
Aby wyłączyć logowanie użytkownika, potrzebne są następujące elementy:
- Konto użytkownika Microsoft Entra. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
- Jedna z następujących ról:
- Administrator aplikacji w chmurze
- Administrator aplikacji
- właściciel głównej usługi
Wyłączanie logowania użytkownika przy użyciu centrum administracyjnego firmy Microsoft Entra
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>Wszystkie aplikacje.
- Wyszukaj aplikację, dla której chcesz uniemożliwić użytkownikowi logowanie, i wybierz tę aplikację.
- Wybierz Właściwości.
- Wybierz Nie dla Czy użytkownicy mogą się logować?.
- Wybierz pozycję Zapisz.
Wyłączanie logowania użytkownika przy użyciu programu Microsoft Entra PowerShell
Być może znasz identyfikator AppId aplikacji, która nie jest wyświetlana na liście aplikacji dla przedsiębiorstw. Jeśli na przykład usuniesz aplikację lub główna jednostka usługi jeszcze nie została utworzona, ponieważ firma Microsoft wstępnie ją autoryzuje. Główną jednostkę usługi dla aplikacji można utworzyć ręcznie, a następnie wyłączyć, używając następującego polecenia cmdlet programu Microsoft Entra PowerShell.
Upewnij się, że zainstalowano moduł Microsoft Entra PowerShell. Jeśli zostanie wyświetlony monit o zainstalowanie modułu NuGet lub nowego modułu Microsoft Entra PowerShell V2, wpisz Y i naciśnij ENTER. Musisz zalogować się jako co najmniej administrator aplikacji w chmurze.
# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"
# The AppId of the service principal to be disabled
$appId = "{AppId}"
# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
Wyłączanie logowania użytkownika przy użyciu programu Microsoft Graph PowerShell
Być może znasz identyfikator AppId aplikacji, która nie jest wyświetlana na liście aplikacji dla przedsiębiorstw. Na przykład, jeśli usuniesz aplikację lub jednostka usługi jeszcze nie została utworzona, ponieważ aplikacja jest wstępnie autoryzowana przez firmę Microsoft. Można ręcznie utworzyć jednostkę usługi dla aplikacji, a następnie wyłączyć ją, używając następującego polecenia cmdlet Microsoft Graph PowerShell.
Upewnij się, że zainstalowano moduł Programu Microsoft Graph (użyj polecenia Install-Module Microsoft.Graph). Musisz zalogować się jako co najmniej administrator aplikacji w chmurze.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Get the AppId of the service principal to be disabled
$appId = "{AppId}"
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false
Wyłączanie logowania użytkownika przy użyciu interfejsu API programu Microsoft Graph
Być może znasz identyfikator AppId aplikacji, która nie jest wyświetlana na liście aplikacji dla przedsiębiorstw. Na przykład, jeśli usuniesz aplikację, lub gdy jednostka usługi nie została jeszcze utworzona, ponieważ aplikacja ta jest wstępnie autoryzowana przez firmę Microsoft. Możesz ręcznie utworzyć zasadę usługi dla aplikacji, a następnie ją wyłączyć przy użyciu następującego wywołania interfejsu Microsoft Graph.
Aby wyłączyć logowanie do aplikacji, zaloguj się do Eksploratora programu Graph jako co najmniej administrator aplikacji w chmurze.
Musisz wyrazić zgodę na Application.ReadWrite.All zezwolenie.
Uruchom następujące zapytanie, aby wyłączyć logowanie użytkownika do aplikacji.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}