问如何阻止具有目录角色的用户组的访问

EN

我尝试在我的环境中复制相同的结果，结果如下：

我创建了一个名为AppAdminCA的Azure组，方法是向该组添加'Application‘角色，如下所示：

​

​

这意味着该组中的每个用户都有'Application‘角色。注意到，应用程序管理角色没有修改条件访问策略的权限。

若要限制这些用户对特定应用程序的访问，可以创建“条件访问策略”，如下所示：

转到Azure Portal -> Azure Active Directory -> Security ->条件访问-> policy -> New policy

​

​

在Users字段中，您可以选择，或者选择具有目录角色的用户或上面创建的组，如下所示：

​

​

在Cloud apps字段中，选择要阻止访问的特定应用程序，如下所示：

​

​

在Access controls字段中，选择块访问并通过启用策略单击Create：

​

​

您可以在这里找到创建的条件策略：

​

​