Disabilitare l'accesso utente per un'applicazione
Potrebbero verificarsi situazioni durante la configurazione o la gestione di un'applicazione in cui non si vuole che i token vengano rilasciati per un'applicazione. In alternativa, è possibile bloccare un'applicazione a cui non si vuole che i dipendenti tentino di accedere. Per bloccare l'accesso utente a un'applicazione, è possibile disabilitare l'accesso utente per l'applicazione, impedendo l'emissione di tutti i token per tale applicazione.
In questo articolo si apprenderà come impedire agli utenti di accedere a un'applicazione in Microsoft Entra ID tramite l'interfaccia di amministrazione di Microsoft Entra e PowerShell. Per impedire a utenti specifici di accedere a un'applicazione, usare l'assegnazione di utenti o gruppi.
Prerequisiti
Per disabilitare l'accesso utente, è necessario:
- Un account utente di Microsoft Entra. Se non è già disponibile, è possibile creare gratuitamente un account.
- Uno dei ruoli seguenti: amministratore globale, amministratore di applicazioni cloud o amministratore di applicazioni oppure proprietario dell'entità servizio.
Disabilitare l'accesso utente tramite l'interfaccia di amministrazione di Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
- Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.
- Cercare l'applicazione in cui si vuole disabilitare l'accesso di un utente e selezionare l'applicazione.
- Selezionare Proprietà.
- Selezionare No per Abilitato per consentire agli utenti di accedere?.
- Seleziona Salva.
Disabilitare l'accesso utente con Azure AD PowerShell
È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata perché Viene preautenticata da Microsoft. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando il cmdlet di Azure AD PowerShell seguente.
Assicurarsi di aver installato il modulo Azure AD PowerShell (usare il comando Install-Module -Name AzureAD
). Se viene richiesto di installare un modulo NuGet o il nuovo modulo Azure AD PowerShell V2, digitare Y e premere INVIO. È necessario accedere come almeno un'applicazione cloud Amministrazione istrator.
# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes
# The AppId of the app to be disabled
$appId = "{AppId}"
# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
# Service principal exists already, disable it
Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
# Service principal does not yet exist, create it and disable it at the same time
$servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}
Disabilitare l'accesso utente con Microsoft Graph PowerShell
È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata a causa dell'app perché Microsoft lo preautentica. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando il cmdlet di PowerShell di Microsoft Graph seguente.
Assicurarsi di installare il modulo Microsoft Graph (usare il comando Install-Module Microsoft.Graph
). È necessario accedere come almeno un'applicazione cloud Amministrazione istrator.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# The AppId of the app to be disabled
$appId = "{AppId}"
# Check if a service principal already exists for the app
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# If Service principal exists already, disable it , else, create it and disable it at the same time
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }
else { $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false }
Disabilitare l'accesso utente con l'API Microsoft Graph
È possibile che si conosca l'AppId di un'app che non viene visualizzata nell'elenco App aziendali. Ad esempio, se si elimina l'app o l'entità servizio non è ancora stata creata a causa dell'app perché Microsoft lo preautentica. È possibile creare manualmente l'entità servizio per l'app e quindi disabilitarla usando la chiamata di Microsoft Graph seguente.
Per disabilitare l'accesso a un'applicazione, accedere a Graph Explorer come almeno un'applicazione cloud Amministrazione istrator.
È necessario fornire il consenso all'autorizzazione Application.ReadWrite.All
.
Eseguire la query seguente per disabilitare l'accesso utente a un'applicazione.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/2a8f9e7a-af01-413a-9592-c32ec0e5c1a7
Content-type: application/json
{
"accountEnabled": false
}