A segurança é baseada em potencialmente um conjunto de certificados (normalmente autoassinados) - cada conjunto possui um 'certificado raiz' que é implantado no Azure e certificados de cliente vinculados a ele. Se você remover um determinado 'certificado raiz' da configuração de rede no Azure, removerá o acesso a todos os certificados de cliente vinculados a ele.
Infelizmente, você não pode controlar um cliente específico (não sem criar um conjunto para cada cliente, o que, na maioria dos casos, é insustentável) e, portanto, se precisar remover um cliente específico, provavelmente terá que criar um novo conjunto , excluindo o cliente que você deseja remover e redistribuir o conjunto para todos os outros clientes.