Desativar o início de sessão do utilizador para uma aplicação

Pode haver situações ao configurar ou gerenciar um aplicativo em que você não deseja que tokens sejam emitidos para um aplicativo. Ou, você pode querer bloquear um aplicativo que você não quer que seus funcionários tentem acessar. Para bloquear o acesso do usuário a um aplicativo, você pode desabilitar o login do usuário para o aplicativo, o que impede que todos os tokens sejam emitidos para esse aplicativo.

Neste artigo, você aprenderá a impedir que os usuários entrem em um aplicativo no Microsoft Entra ID por meio do centro de administração do Microsoft Entra e do PowerShell. Se você estiver procurando como bloquear o acesso de usuários específicos a um aplicativo, use a atribuição de usuário ou grupo.

Pré-requisitos

Para desativar o início de sessão do utilizador, necessita:

• Uma conta de usuário do Microsoft Entra. Se ainda não tiver uma, pode criar uma conta gratuitamente.
• Uma das seguintes funções: Administrador Global, Administrador de Aplicações na Cloud, Administrador de Aplicações ou proprietário do principal de serviço.

Desativar o início de sessão do utilizador utilizando o centro de administração do Microsoft Entra

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.
3. Procure o aplicativo que você deseja desabilitar um usuário de entrar e selecione o aplicativo.
4. Selecione Propriedades.
5. Selecione Não para Habilitado para que os usuários entrem?.
6. Selecione Guardar.

Desabilitar a entrada do usuário usando o Azure AD PowerShell

Talvez você conheça o AppId de um aplicativo que não aparece na lista de aplicativos corporativos. Por exemplo, se você excluir o aplicativo ou a entidade de serviço ainda não tiver sido criada porque a Microsoft a pré-autorizará. Você pode criar manualmente a entidade de serviço para o aplicativo e desabilitá-la usando o seguinte cmdlet do Azure AD PowerShell.

Certifique-se de ter instalado o módulo do Azure AD PowerShell (use o comando Install-Module -Name AzureAD). Caso você seja solicitado a instalar um módulo NuGet ou o novo módulo do Azure AD PowerShell V2, digite Y e pressione ENTER. Você precisa entrar como pelo menos um administrador de aplicativos na nuvem.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Desabilitar a entrada do usuário usando o Microsoft Graph PowerShell

Talvez você conheça o AppId de um aplicativo que não aparece na lista de aplicativos corporativos. Por exemplo, se você excluir o aplicativo ou a entidade de serviço ainda não tiver sido criada devido ao aplicativo porque a Microsoft o pré-autoriza. Você pode criar manualmente a entidade de serviço para o aplicativo e desativá-la usando o seguinte cmdlet do Microsoft Graph PowerShell.

Certifique-se de instalar o módulo Microsoft Graph (use o comando Install-Module Microsoft.Graph). Você precisa entrar como pelo menos um administrador de aplicativos na nuvem.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Desabilitar a entrada do usuário usando a API do Microsoft Graph

Talvez você conheça o AppId de um aplicativo que não aparece na lista de aplicativos corporativos. Por exemplo, se você excluir o aplicativo ou a entidade de serviço ainda não tiver sido criada devido ao aplicativo porque a Microsoft o pré-autoriza. Você pode criar manualmente a entidade de serviço para o aplicativo e, em seguida, desativá-lo usando a seguinte chamada do Microsoft Graph.

Para desativar o início de sessão numa aplicação, inicie sessão no Graph Explorer como, pelo menos, um Administrador de Aplicações na Nuvem.

Você precisa consentir com a Application.ReadWrite.All permissão.

Execute a consulta a seguir para desabilitar o login do usuário em um aplicativo.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/2a8f9e7a-af01-413a-9592-c32ec0e5c1a7

Content-type: application/json

{
    "accountEnabled": false
}

Próximos passos

• Remover uma atribuição de usuário ou grupo de um aplicativo corporativo