Inaktivera användarinloggning för ett program

Det kan finnas situationer när du konfigurerar eller hanterar ett program där du inte vill att token ska utfärdas för ett program. Eller så kanske du vill blockera ett program som du inte vill att dina anställda ska försöka komma åt. Om du vill blockera användaråtkomst till ett program kan du inaktivera användarinloggning för programmet, vilket förhindrar att alla token utfärdas för programmet.

I den här artikeln får du lära dig hur du förhindrar att användare loggar in på ett program i Microsoft Entra-ID via både administrationscentret för Microsoft Entra och PowerShell. Om du letar efter hur du blockerar specifika användare från att komma åt ett program använder du användar- eller grupptilldelning.

Förutsättningar

Om du vill inaktivera användarinloggning behöver du:

• Ett Microsoft Entra-användarkonto. Om du inte redan har ett kan du skapa ett konto kostnadsfritt.
• Någon av följande roller: global administratör, molnprogramadministratör, programadministratör eller ägare av tjänstens huvudnamn.

Inaktivera användarinloggning med hjälp av administrationscentret för Microsoft Entra

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
2. Bläddra till Identity>Applications Enterprise-program>>Alla program.
3. Sök efter det program som du vill inaktivera en användare från att logga in och välj programmet.
4. Välj Egenskaper.
5. Välj Nej för Aktiverad för användare att logga in?.
6. Välj Spara.

Inaktivera användarinloggning med Azure AD PowerShell

Du kanske känner till AppId för en app som inte visas i listan Enterprise-appar. Om du till exempel tar bort appen eller tjänstens huvudnamn ännu inte har skapats eftersom Microsoft förauktoriserar den. Du kan skapa tjänstens huvudnamn för appen manuellt och sedan inaktivera det med hjälp av följande Azure AD PowerShell-cmdlet.

Kontrollera att du har installerat Azure AD PowerShell-modulen (använd kommandot Install-Module -Name AzureAD). Om du uppmanas att installera en NuGet-modul eller den nya Azure AD PowerShell V2-modulen skriver du Y och trycker på RETUR. Du måste logga in som minst molnprogramadministratör.

# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
    # Service principal exists already, disable it
    Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
    # Service principal does not yet exist, create it and disable it at the same time
    $servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}

Inaktivera användarinloggning med Microsoft Graph PowerShell

Du kanske känner till AppId för en app som inte visas i listan Enterprise-appar. Om du till exempel tar bort appen eller tjänstens huvudnamn ännu inte har skapats på grund av appen eftersom Microsoft förauktoriserar den. Du kan skapa tjänstens huvudnamn för appen manuellt och sedan inaktivera det med hjälp av följande Microsoft Graph PowerShell-cmdlet.

Se till att du installerar Microsoft Graph-modulen (använd kommandot Install-Module Microsoft.Graph). Du måste logga in som minst molnprogramadministratör.

# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# The AppId of the app to be disabled  
$appId = "{AppId}"  

# Check if a service principal already exists for the app 
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"  

# If Service principal exists already, disable it , else, create it and disable it at the same time 
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }  

else {  $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false } 

Inaktivera användarinloggning med Hjälp av Microsoft Graph API

Du kanske känner till AppId för en app som inte visas i listan Enterprise-appar. Om du till exempel tar bort appen eller tjänstens huvudnamn ännu inte har skapats på grund av appen eftersom Microsoft förauktoriserar den. Du kan skapa tjänstens huvudnamn för appen manuellt och sedan inaktivera det med hjälp av följande Microsoft Graph-anrop.

Om du vill inaktivera inloggning till ett program loggar du in på Graph Explorer som minst molnprogramadministratör.

Du måste godkänna behörigheten Application.ReadWrite.All .

Kör följande fråga för att inaktivera användarinloggning till ett program.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/2a8f9e7a-af01-413a-9592-c32ec0e5c1a7

Content-type: application/json

{
    "accountEnabled": false
}

Nästa steg

• Ta bort en användar- eller grupptilldelning från en företagsapp