Отключение входа пользователей для приложения
При настройке или управлении приложением могут возникнуть ситуации, когда вы не хотите выдавать маркеры для приложения. Кроме того, может потребоваться заблокировать приложение, к которому вы не хотите, чтобы сотрудники пытались получить доступ. Чтобы заблокировать доступ пользователей к приложению, можно отключить вход пользователя в приложение, что предотвращает выдачу всех маркеров для этого приложения.
В этой статье описано, как запретить пользователям входить в приложение в идентификаторе Microsoft Entra с помощью Центра администрирования Microsoft Entra и PowerShell. Если вы ищете, как заблокировать доступ конкретных пользователей к приложению, используйте назначение пользователей или групп.
Предварительные условия
Чтобы отключить вход пользователя, вам потребуется:
- Учетная запись пользователя Microsoft Entra. Если ее нет, можно создать учетную запись бесплатно.
- Одна из следующих ролей:
- Администратор облачных приложений
- Администратор приложений
- владелец принципала службы
Отключение входа пользователей с помощью Центра администрирования Microsoft Entra
- Войдите в Центр администрирования Microsoft Entra как минимум Администратор облачных приложений.
- Перейдите к Identity>Applications>Enterprise applications>All applications.
- Найдите приложение, для которого нужно отключить вход пользователя, и выберите его.
- Выберите Свойства.
- Задайте для параметра Включен ли вход для пользователей? значение Нет.
- Выберите Сохранить.
Отключение входа пользователей с помощью Microsoft Entra PowerShell
Возможно, вы знаете AppId приложения, которое не отображается в списке корпоративных приложений. Например, если вы удалите приложение или субъект службы еще не создан, так как корпорация Майкрософт предварительно одобряет его. Вы можете вручную создать сервисный принципал для приложения, а затем отключить его с помощью следующего командлета Microsoft Entra PowerShell.
Убедитесь, что установлен модуль Microsoft Entra PowerShell. Если вам будет предложено установить модуль NuGet или новый модуль Microsoft Entra PowerShell V2, введите Y и нажмите ENTER. Вам нужно войти как минимум как администратор облачных приложений.
# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"
# The AppId of the service principal to be disabled
$appId = "{AppId}"
# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
Отключение входа пользователей с помощью Microsoft Graph PowerShell
Возможно, вы знаете AppId приложения, которое не отображается в списке корпоративных приложений. Например, если вы удалите приложение или учетная запись службы еще не создана из-за приложения, поскольку компания Microsoft предварительно авторизует его. Вы можете вручную создать учетную запись службы для приложения и затем отключить её с помощью следующего командлета Microsoft Graph PowerShell.
Убедитесь, что вы устанавливаете модуль Microsoft Graph (используйте команду Install-Module Microsoft.Graph). Вам нужно войти как минимум как администратор облачных приложений.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Get the AppId of the service principal to be disabled
$appId = "{AppId}"
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false
Отключение входа пользователей с помощью API Microsoft Graph
Возможно, вы знаете AppId приложения, которое не отображается в списке корпоративных приложений. Например, если вы удалите приложение или учетная запись службы еще не создана из-за приложения, поскольку компания Microsoft предварительно авторизует его. Вы можете вручную создать учетную запись службы для приложения, а затем отключить её, вызвав Microsoft Graph следующим образом.
Чтобы отключить вход в приложение, войдите в Graph Explorer как минимум администратор облачных приложений.
Необходимо предоставить согласие на Application.ReadWrite.All разрешение.
Выполните следующий запрос, чтобы отключить вход пользователя в приложение.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}