Inaktivera användarinloggning för ett program
Det kan finnas situationer när du konfigurerar eller hanterar ett program där du inte vill att token ska utfärdas för ett program. Eller så kanske du vill blockera ett program som du inte vill att dina anställda ska försöka komma åt. Om du vill blockera användaråtkomst till ett program kan du inaktivera användarinloggning för programmet, vilket förhindrar att alla token utfärdas för programmet.
I den här artikeln får du lära dig hur du förhindrar att användare loggar in på ett program i Microsoft Entra-ID via både administrationscentret för Microsoft Entra och PowerShell. Om du letar efter hur du blockerar specifika användare från att komma åt ett program använder du användar- eller grupptilldelning.
Förutsättningar
Om du vill inaktivera användarinloggning behöver du:
- Ett Microsoft Entra-användarkonto. Om du inte redan har ett kan du skapa ett konto kostnadsfritt.
- En av följande roller: Molnprogramadministratör, programadministratör eller ägare av tjänstens huvudnamn.
Inaktivera användarinloggning med hjälp av administrationscentret för Microsoft Entra
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
- Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
- Bläddra till Identity>Applications Enterprise-program>>Alla program.
- Sök efter det program som du vill inaktivera en användare från att logga in och välj programmet.
- Välj Egenskaper.
- Välj Nej för Aktiverad för användare att logga in?.
- Välj Spara.
Inaktivera användarinloggning med Azure AD PowerShell
Du kanske känner till AppId för en app som inte visas i listan Enterprise-appar. Om du till exempel tar bort appen eller tjänstens huvudnamn ännu inte har skapats eftersom Microsoft förauktoriserar den. Du kan skapa tjänstens huvudnamn för appen manuellt och sedan inaktivera det med hjälp av följande Azure AD PowerShell-cmdlet.
Kontrollera att du har installerat Azure AD PowerShell-modulen (använd kommandot Install-Module -Name AzureAD
). Om du uppmanas att installera en NuGet-modul eller den nya Azure AD PowerShell V2-modulen skriver du Y och trycker på RETUR. Du måste logga in som minst molnprogramadministratör.
# Connect to Azure AD PowerShell
Connect-AzureAD -Scopes
# The AppId of the app to be disabled
$appId = "{AppId}"
# Check if a service principal already exists for the app
$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
# Service principal exists already, disable it
Set-AzureADServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
} else {
# Service principal does not yet exist, create it and disable it at the same time
$servicePrincipal = New-AzureADServicePrincipal -AppId $appId -AccountEnabled $false
}
Inaktivera användarinloggning med Microsoft Graph PowerShell
Du kanske känner till AppId för en app som inte visas i listan Enterprise-appar. Om du till exempel tar bort appen eller tjänstens huvudnamn ännu inte har skapats på grund av appen eftersom Microsoft förauktoriserar den. Du kan skapa tjänstens huvudnamn för appen manuellt och sedan inaktivera det med hjälp av följande Microsoft Graph PowerShell-cmdlet.
Se till att du installerar Microsoft Graph-modulen (använd kommandot Install-Module Microsoft.Graph
). Du måste logga in som minst molnprogramadministratör.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# The AppId of the app to be disabled
$appId = "{AppId}"
# Check if a service principal already exists for the app
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# If Service principal exists already, disable it , else, create it and disable it at the same time
if ($servicePrincipal) { Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false }
else { $servicePrincipal = New-MgServicePrincipal -AppId $appId –AccountEnabled:$false }
Inaktivera användarinloggning med Hjälp av Microsoft Graph API
Du kanske känner till AppId för en app som inte visas i listan Enterprise-appar. Om du till exempel tar bort appen eller tjänstens huvudnamn ännu inte har skapats på grund av appen eftersom Microsoft förauktoriserar den. Du kan skapa tjänstens huvudnamn för appen manuellt och sedan inaktivera det med hjälp av följande Microsoft Graph-anrop.
Om du vill inaktivera inloggning till ett program loggar du in på Graph Explorer som minst molnprogramadministratör.
Du måste godkänna behörigheten Application.ReadWrite.All
.
Kör följande fråga för att inaktivera användarinloggning till ett program.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}