Inaktivera användarinloggning för ett program
Det kan finnas situationer när du konfigurerar eller hanterar ett program där du inte vill att token ska utfärdas för ett program. Eller så kanske du vill blockera ett program som du inte vill att dina anställda ska försöka komma åt. Om du vill blockera användaråtkomst till ett program kan du inaktivera användarinloggning för programmet, vilket förhindrar att alla token utfärdas för programmet.
I den här artikeln får du lära dig hur du förhindrar att användare loggar in på ett program i Microsoft Entra-ID via både administrationscentret för Microsoft Entra och PowerShell. Om du letar efter hur du blockerar specifika användare från att komma åt ett program använder du användar- eller grupptilldelning.
Förutsättningar
Om du vill inaktivera användarinloggning behöver du:
- Ett Microsoft Entra-användarkonto. Om du inte redan har ett kan du skapa ett konto kostnadsfritt.
- En av följande roller:
- Molnprogramadministratör
- Appadministratör
- ägare av tjänstens huvudnamn
Inaktivera användarinloggning med hjälp av administrationscentret för Microsoft Entra
- Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
- Bläddra till Identity>Program>Företagsprogram>Alla program.
- Sök efter det program som du vill inaktivera en användare från att logga in och välj programmet.
- Välj Egenskaper.
- Välj Nej för Aktiverad för användare att logga in?.
- Välj Spara.
Inaktivera användarinloggning med Microsoft Entra PowerShell
Du kanske känner till AppId för en app som inte visas i listan Enterprise-appar. Om du till exempel tar bort appen eller tjänstens huvudnamn ännu inte har skapats eftersom Microsoft förauktoriserar den. Du kan skapa tjänstens huvudnamn för appen manuellt och sedan inaktivera det med hjälp av följande Microsoft Entra PowerShell-cmdlet.
Se till att du installerar Microsoft Entra PowerShell-modulen. Om du uppmanas att installera en NuGet-modul eller den nya Microsoft Entra PowerShell V2-modulen skriver du Y och trycker på RETUR. Du måste logga in som minst molnprogramadministratör.
# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"
# The AppId of the service principal to be disabled
$appId = "{AppId}"
# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
Inaktivera användarinloggning med Microsoft Graph PowerShell
Du kanske känner till AppId för en app som inte visas i listan Enterprise-appar. Om du till exempel tar bort appen eller tjänstens huvudnamn ännu inte har skapats på grund av appen eftersom Microsoft förauktoriserar den. Du kan skapa tjänstens huvudnamn för appen manuellt och sedan inaktivera det med hjälp av följande Microsoft Graph PowerShell-cmdlet.
Se till att du installerar Microsoft Graph-modulen (använd kommandot Install-Module Microsoft.Graph). Du måste logga in som minst molnprogramadministratör.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Get the AppId of the service principal to be disabled
$appId = "{AppId}"
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false
Inaktivera användarinloggning med Hjälp av Microsoft Graph API
Du kanske känner till AppId för en app som inte visas i listan Enterprise-appar. Om du till exempel tar bort appen eller om tjänstens huvudkonto ännu inte har skapats på grund av att Microsoft förauktoriserar det. Du kan skapa tjänstens huvudnamn för appen manuellt och sedan inaktivera det med hjälp av följande Microsoft Graph-anrop.
Om du vill inaktivera inloggning till ett program loggar du in på Graph Explorer som minst molnprogramadministratör.
Du måste godkänna behörigheten Application.ReadWrite.All .
Kör följande fråga för att inaktivera användarinloggning till ett program.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}