az ad app permission

Umožňuje spravovat oprávnění OAuth2 aplikace.

Příkazy

Name	Description	Typ	Stav
az ad app permission add	Přidejte oprávnění rozhraní API.	Core	GA
az ad app permission admin-consent	Udělte aplikaci & delegovaná oprávnění prostřednictvím souhlasu správce.	Core	GA
az ad app permission delete	Odeberte oprávnění rozhraní API.	Core	GA
az ad app permission grant	Udělte aplikaci delegovaná oprávnění rozhraní API.	Core	GA
az ad app permission list	Výpis oprávnění rozhraní API, která aplikace požadovala.	Core	GA
az ad app permission list-grants	Výpis udělení oprávnění Oauth2	Core	GA

az ad app permission add

Přidejte oprávnění rozhraní API.

K jeho aktivaci je potřeba vyvolání příkazu az ad app permission grant.

Pokud chcete získat dostupná oprávnění aplikace prostředků, spusťte az ad sp show --id <resource-appId>. Pokud například chcete získat dostupná oprávnění pro Microsoft Graph API, spusťte az ad sp show --id 00000003-0000-0000-c000-000000000000. Oprávnění aplikace v rámci vlastnosti appRoles odpovídají Role v --api-permissions. Delegovaná oprávnění v rámci vlastnosti oauth2Permissions odpovídají Scope v --api-permissions.

Podrobnosti o oprávněních Microsoft Graph najdete v tématu https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id
                         [--acquire-policy-token]
                         [--change-reference]

Příklady

Přidání Microsoft Graph delegovaného oprávnění User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Přidání Microsoft Graph oprávnění aplikace Application.ReadWrite.All

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Povinné parametry

--api

RequiredResourceAccess.resourceAppId – jedinečný identifikátor prostředku, ke kterému aplikace vyžaduje přístup. Mělo by to být stejné jako appId deklarované v cílové aplikaci prostředků.

--api-permissions

Seznam oddělený mezerami {id}={type}. {id} je resourceAccess.id – jedinečný identifikátor jedné z instancí oauth2PermissionScopes nebo appRole, které aplikace prostředků zveřejňuje. {type} je resourceAccess.type – Určuje, jestli vlastnost ID odkazuje na oauth2PermissionScopes nebo appRole. Možné hodnoty jsou: Obor (pro obory oprávnění OAuth 2.0) nebo Role (pro role aplikací).

--id

Identifikátor URI, ID aplikace nebo ID objektu.

Volitelné parametry

Následující parametry jsou volitelné, ale v závislosti na kontextu se může stát, že se jeden nebo více vyžaduje, aby se příkaz úspěšně spustil.

--acquire-policy-token

Získání tokenu Azure Policy automaticky pro tuto operaci prostředku

Vlastnost	Hodnota
Skupina parametrů:	Global Policy Arguments

--change-reference

Související referenční ID odkazu na změnu pro tuto operaci prostředku.

Vlastnost	Hodnota
Skupina parametrů:	Global Policy Arguments

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

Vlastnost	Hodnota
Default value:	False

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazit pouze chyby, potlačit upozornění.

Vlastnost	Hodnota
Default value:	False

--output -o

Výstupní formát

Vlastnost	Hodnota
Default value:	json
Přípustné hodnoty:	json, jsonc, none, table, tsv, yaml, yamlc

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

Vlastnost	Hodnota
Default value:	False

az ad app permission admin-consent

Udělte aplikaci & delegovaná oprávnění prostřednictvím souhlasu správce.

Musíte se přihlásit jako globální správce.

az ad app permission admin-consent --id
                                   [--acquire-policy-token]
                                   [--change-reference]

Příklady

Udělte aplikaci & delegovaná oprávnění prostřednictvím souhlasu správce. (autogenerated)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000

Povinné parametry

--id

Identifikátor URI, ID aplikace nebo ID objektu.

Volitelné parametry

Následující parametry jsou volitelné, ale v závislosti na kontextu se může stát, že se jeden nebo více vyžaduje, aby se příkaz úspěšně spustil.

--acquire-policy-token

Získání tokenu Azure Policy automaticky pro tuto operaci prostředku

Vlastnost	Hodnota
Skupina parametrů:	Global Policy Arguments

--change-reference

Související referenční ID odkazu na změnu pro tuto operaci prostředku.

Vlastnost	Hodnota
Skupina parametrů:	Global Policy Arguments

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

Vlastnost	Hodnota
Default value:	False

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazit pouze chyby, potlačit upozornění.

Vlastnost	Hodnota
Default value:	False

--output -o

Výstupní formát

Vlastnost	Hodnota
Default value:	json
Přípustné hodnoty:	json, jsonc, none, table, tsv, yaml, yamlc

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

Vlastnost	Hodnota
Default value:	False

az ad app permission delete

Odeberte oprávnění rozhraní API.

az ad app permission delete --api
                            --id
                            [--acquire-policy-token]
                            [--api-permissions]
                            [--change-reference]

Příklady

Odeberte oprávnění Microsoft Graph.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Odebrání Microsoft Graph delegovaného oprávnění User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Povinné parametry

--api

RequiredResourceAccess.resourceAppId – jedinečný identifikátor prostředku, ke kterému aplikace vyžaduje přístup. Mělo by to být stejné jako appId deklarované v cílové aplikaci prostředků.

--id

Identifikátor URI, ID aplikace nebo ID objektu.

Volitelné parametry

Následující parametry jsou volitelné, ale v závislosti na kontextu se může stát, že se jeden nebo více vyžaduje, aby se příkaz úspěšně spustil.

--acquire-policy-token

Získání tokenu Azure Policy automaticky pro tuto operaci prostředku

Vlastnost	Hodnota
Skupina parametrů:	Global Policy Arguments

--api-permissions

Zadejte ResourceAccess.id – jedinečný identifikátor jedné z instancí OAuth2Permission nebo AppRole, které aplikace prostředků zveřejňuje. Seznam <resource-access-id>oddělených mezerami .

--change-reference

Související referenční ID odkazu na změnu pro tuto operaci prostředku.

Vlastnost	Hodnota
Skupina parametrů:	Global Policy Arguments

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

Vlastnost	Hodnota
Default value:	False

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazit pouze chyby, potlačit upozornění.

Vlastnost	Hodnota
Default value:	False

--output -o

Výstupní formát

Vlastnost	Hodnota
Default value:	json
Přípustné hodnoty:	json, jsonc, none, table, tsv, yaml, yamlc

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

Vlastnost	Hodnota
Default value:	False

az ad app permission grant

Udělte aplikaci delegovaná oprávnění rozhraní API.

Při spuštění tohoto příkazu musí pro aplikaci existovat instanční objekt. K vytvoření odpovídajícího instančního objektu použijte az ad sp create --id {appId}. Pro oprávnění aplikace použijte příkaz "ad app permission admin-consent".

az ad app permission grant --api, --resource-id
                           --id, --client-id
                           --scope
                           [--acquire-policy-token]
                           [--change-reference]
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Příklady

Udělení nativní aplikace s oprávněními pro přístup k existujícímu rozhraní API s TTL 2 roky

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Povinné parametry

--api, --resource-id

ID instančního objektu prostředku, ke kterému je autorizovaný přístup. Identifikuje rozhraní API, které má klient oprávnění k pokusu o volání jménem přihlášeného uživatele.

--id, --client-id

ID instančního objektu klienta pro aplikaci, která má oprávnění jednat jménem přihlášeného uživatele při přístupu k rozhraní API.

--scope

Seznam hodnot deklarací identity pro delegovaná oprávnění, která by měla být zahrnuta do přístupových tokenů pro aplikaci prostředků (rozhraní API). Například openid User.Read GroupMember.Read.All. Každá hodnota deklarace identity by měla odpovídat poli hodnoty jednoho z delegovaných oprávnění definovaných rozhraním API uvedeným ve vlastnosti oauth2PermissionScopes instančního objektu prostředku.

Volitelné parametry

Následující parametry jsou volitelné, ale v závislosti na kontextu se může stát, že se jeden nebo více vyžaduje, aby se příkaz úspěšně spustil.

--acquire-policy-token

Získání tokenu Azure Policy automaticky pro tuto operaci prostředku

Vlastnost	Hodnota
Skupina parametrů:	Global Policy Arguments

--change-reference

Související referenční ID odkazu na změnu pro tuto operaci prostředku.

Vlastnost	Hodnota
Skupina parametrů:	Global Policy Arguments

--consent-type

Určuje, jestli je pro klientskou aplikaci udělena autorizace k zosobnění všech uživatelů nebo pouze konkrétního uživatele. AllPrincipals označuje autorizaci pro zosobnění všech uživatelů. Instanční objekt označuje autorizaci k zosobnění konkrétního uživatele. Souhlas jménem všech uživatelů může udělit správce. Uživatelé, kteří nejsou správci, můžou mít v některých případech oprávnění k vyjádření souhlasu jménem sebe sama u některých delegovaných oprávnění.

Vlastnost	Hodnota
Default value:	AllPrincipals
Přípustné hodnoty:	AllPrincipals, Principal

--principal-id

ID uživatele jménem, jehož klient má oprávnění pro přístup k prostředku, pokud je consentType "Principal". Pokud je consentType AllPrincipals, má tato hodnota hodnotu null. Vyžaduje se, když je typ consentType instanční objekt.

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

Vlastnost	Hodnota
Default value:	False

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazit pouze chyby, potlačit upozornění.

Vlastnost	Hodnota
Default value:	False

--output -o

Výstupní formát

Vlastnost	Hodnota
Default value:	json
Přípustné hodnoty:	json, jsonc, none, table, tsv, yaml, yamlc

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

Vlastnost	Hodnota
Default value:	False

az ad app permission list

Výpis oprávnění rozhraní API, která aplikace požadovala.

az ad app permission list --id

Příklady

Vypíše oprávnění OAuth2 pro aplikaci.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Povinné parametry

--id

Identifikátor URI, ID aplikace nebo ID objektu přidružené aplikace.

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

Vlastnost	Hodnota
Default value:	False

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazit pouze chyby, potlačit upozornění.

Vlastnost	Hodnota
Default value:	False

--output -o

Výstupní formát

Vlastnost	Hodnota
Default value:	json
Přípustné hodnoty:	json, jsonc, none, table, tsv, yaml, yamlc

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

Vlastnost	Hodnota
Default value:	False

az ad app permission list-grants

Výpis udělení oprávnění Oauth2

az ad app permission list-grants [--acquire-policy-token]
                                 [--change-reference]
                                 [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Příklady

výpis oprávnění oauth2 udělená instančnímu objektu

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Volitelné parametry

Následující parametry jsou volitelné, ale v závislosti na kontextu se může stát, že se jeden nebo více vyžaduje, aby se příkaz úspěšně spustil.

--acquire-policy-token

Získání tokenu Azure Policy automaticky pro tuto operaci prostředku

Vlastnost	Hodnota
Skupina parametrů:	Global Policy Arguments

--change-reference

Související referenční ID odkazu na změnu pro tuto operaci prostředku.

Vlastnost	Hodnota
Skupina parametrů:	Global Policy Arguments

--filter

Filtr OData, například --filter "displayname eq 'test' and servicePrincipalType eq 'Application'.

--id

Identifikátor URI, ID aplikace nebo ID objektu.

--show-resource-name -r

Zobrazit zobrazovaný název zdroje

Vlastnost	Hodnota
Přípustné hodnoty:	false, true

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

Vlastnost	Hodnota
Default value:	False

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazit pouze chyby, potlačit upozornění.

Vlastnost	Hodnota
Default value:	False

--output -o

Výstupní formát

Vlastnost	Hodnota
Default value:	json
Přípustné hodnoty:	json, jsonc, none, table, tsv, yaml, yamlc

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

Vlastnost	Hodnota
Default value:	False