Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Möglicherweise gibt es Situationen beim Konfigurieren oder Verwalten einer Anwendung, in der keine Token für eine Anwendung ausgestellt werden sollen, oder eine Anwendung soll blockiert werden, damit Ihre Mitarbeiter nicht darauf zugreifen können. Um den Benutzerzugriff auf eine Anwendung zu blockieren, können Sie die Benutzeranmeldung für die Anwendung deaktivieren. Dadurch wird verhindert, dass Token für diese Anwendung ausgestellt werden.
In diesem Artikel erfahren Sie, wie Sie verhindern können, dass sich Benutzer über das Microsoft Entra Admin Center und PowerShell bei einer Anwendung in Microsoft Entra ID anmelden. Wenn Sie suchen, wie Sie verhindern möchten, dass bestimmte Benutzer auf eine Anwendung zugreifen, verwenden Sie die Benutzer- oder Gruppenzuweisung.
Hinweis
Die Schritte in diesem Artikel deaktivieren die Benutzeranmeldung für einen einzelnen Mandanten. Wenn Sie eine Anwendung für alle Mandanten (für Multitenant-Apps) global deaktivieren müssen, sollten Sie stattdessen die Deaktivierung der Anwendung in Betracht ziehen, wodurch die gesamte Tokenausstellung global verhindert wird.
Voraussetzungen
Zum Deaktivieren der Benutzeranmeldung benötigen Sie Folgendes:
- Ein Microsoft Entra Benutzerkonto. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
- Eine der folgenden Rollen:
- Cloudanwendungsadministrator
- Anwendungsadministrator
- Besitzer des Dienstprinzipals
Deaktivieren der Benutzeranmeldung über das Microsoft Entra Admin Center
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.
- Navigieren Sie zu Entra ID>Enterprise-Apps>alle Anwendungen.
- Suchen Sie die Anwendung, mit der Sie die Anmeldung eines Benutzers verhindern möchten, und wählen Sie die Anwendung aus.
- Wählen Sie "Eigenschaften" aus.
- Wählen Sie "Nein" für Aktiviert für die Anmeldung von Benutzern?.
- Wählen Sie "Speichern" aus.
Benutzeranmeldung mit Microsoft Entra PowerShell deaktivieren
Möglicherweise kennen Sie die App-ID (AppId) einer App, die nicht in der Liste der Unternehmens-Apps angezeigt wird, Zum Beispiel wenn Sie die App löschen oder der Dienstprinzipal noch nicht erstellt wurde, weil Microsoft ihn vorab autorisiert. Sie können den Dienstprinzipal für die Anwendung manuell erstellen und dann mithilfe des folgenden Microsoft Entra PowerShell-Cmdlets deaktivieren.
Stellen Sie sicher, dass Sie das Microsoft Entra PowerShell-Modul installieren. Wenn Sie aufgefordert werden, ein NuGet-Modul oder das neue Microsoft Entra PowerShell V2-Modul zu installieren, geben Sie Y ein, und drücken Sie die EINGABETASTE. Sie müssen sich mindestens als Cloudanwendungsadministrator anmelden.
# Connect to Microsoft Entra PowerShell
Connect-Entra -scopes "Application.ReadWrite.All"
# The AppId of the service principal to be disabled
$appId = "{AppId}"
# Disable the service principal
$servicePrincipal = Get-EntraServicePrincipal -Filter "appId eq '$appId'"
Set-EntraServicePrincipal -ObjectId $servicePrincipal.ObjectId -AccountEnabled $false
Deaktivieren des Benutzer-Logins mit Microsoft Graph PowerShell
Möglicherweise kennen Sie die App-ID (AppId) einer App, die nicht in der Liste der Unternehmens-Apps angezeigt wird, Zum Beispiel wenn Sie die App löschen oder der Dienstprinzipal noch nicht erstellt wurde, weil Microsoft die App vorab autorisiert. Sie können das Dienstprinzipalobjekt für die App manuell erstellen und es dann mithilfe des folgenden Microsoft Graph PowerShell-Cmdlets deaktivieren.
Stellen Sie sicher, dass Sie das Microsoft Graph Modul installieren (verwenden Sie den Befehl Install-Module Microsoft.Graph). Sie müssen sich mindestens als Cloudanwendungsadministrator anmelden.
# Connect to Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Get the AppId of the service principal to be disabled
$appId = "{AppId}"
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# Disable the service principal
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AccountEnabled:$false
Deaktivieren der Benutzeranmeldung über die Microsoft Graph API
Möglicherweise kennen Sie die App-ID (AppId) einer App, die nicht in der Liste der Unternehmens-Apps angezeigt wird, Zum Beispiel wenn Sie die App löschen oder der Dienstprinzipal noch nicht erstellt wurde, weil Microsoft die App vorab autorisiert. Sie können den Dienstprinzipal für die App manuell erstellen und ihn dann mit dem folgenden Microsoft-Graph-Aufruf deaktivieren.
Um die Anmeldung bei einer Anwendung zu deaktivieren, melden Sie sich beim Graph-Explorer als mindestens Cloudanwendungsadministrator an.
Sie müssen der Application.ReadWrite.All-Berechtigung zustimmen.
Führen Sie die folgende Abfrage aus, um die Benutzeranmeldung bei einer Anwendung zu deaktivieren.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
Content-type: application/json
{
"accountEnabled": false
}