az ad app

Verwalten sie Microsoft Entra-Anwendungen.

Befehle

Name	Beschreibung	Typ	Status
az ad app create	Erstellen einer Anwendung.	Core	Allgemein verfügbar
az ad app credential	Verwalten sie das Kennwort oder die Zertifikatanmeldeinformationen einer Anwendung.	Core	Allgemein verfügbar
az ad app credential delete	Löschen Sie das Kennwort oder die Zertifikatanmeldeinformationen einer Anwendung.	Core	Allgemein verfügbar
az ad app credential list	Listen Sie das Kennwort oder die Zertifikatanmeldeinformationen einer Anwendung auf. (Der Inhalt der Kennwort- oder Zertifikatanmeldeinformationen kann nicht abgerufen werden.)	Core	Allgemein verfügbar
az ad app credential reset	Setzen Sie das Kennwort oder die Zertifikatanmeldeinformationen einer Anwendung zurück.	Core	Allgemein verfügbar
az ad app delete	Löschen einer Anwendung.	Core	Allgemein verfügbar
az ad app federated-credential	Verwalten von Anwendungsverbundidentitätsanmeldeinformationen.	Core	Allgemein verfügbar
az ad app federated-credential create	Erstellen sie Anmeldeinformationen für anwendungsverbundierte Identitäten.	Core	Allgemein verfügbar
az ad app federated-credential delete	Anwendungsverbundidentitäts-Anmeldeinformationen löschen.	Core	Allgemein verfügbar
az ad app federated-credential list	Anwendungsverbundidentitäts-Anmeldeinformationen auflisten.	Core	Allgemein verfügbar
az ad app federated-credential show	Anwendungsverbundidentitäts-Anmeldeinformationen anzeigen.	Core	Allgemein verfügbar
az ad app federated-credential update	Aktualisieren der Anmeldeinformationen für Die Anwendungsverbundidentität.	Core	Allgemein verfügbar
az ad app list	Anwendungen auflisten.	Core	Allgemein verfügbar
az ad app owner	Verwalten von Anwendungsbesitzern.	Core	Allgemein verfügbar
az ad app owner add	Fügen Sie einen Anwendungsbesitzer hinzu.	Core	Allgemein verfügbar
az ad app owner list	Anwendungsbesitzer auflisten.	Core	Allgemein verfügbar
az ad app owner remove	Entfernen Sie einen Anwendungsbesitzer.	Core	Allgemein verfügbar
az ad app permission	Verwalten sie die OAuth2-Berechtigungen einer Anwendung.	Core	Allgemein verfügbar
az ad app permission add	Fügen Sie eine API-Berechtigung hinzu.	Core	Allgemein verfügbar
az ad app permission admin-consent	Erteilen von Anwendungs- und delegierten Berechtigungen durch Administratorzustimmung.	Core	Allgemein verfügbar
az ad app permission delete	Entfernen Sie eine API-Berechtigung.	Core	Allgemein verfügbar
az ad app permission grant	Erteilen Sie der App eine API delegierte Berechtigungen.	Core	Allgemein verfügbar
az ad app permission list	Api-Berechtigungen auflisten, die die Anwendung angefordert hat.	Core	Allgemein verfügbar
az ad app permission list-grants	Oauth2-Berechtigungserteilungen auflisten.	Core	Allgemein verfügbar
az ad app show	Rufen Sie die Details einer Anwendung ab.	Core	Allgemein verfügbar
az ad app update	Aktualisieren einer Anwendung.	Core	Allgemein verfügbar

az ad app create

Erstellen einer Anwendung.

Ausführlichere Dokumentation finden Sie unter https://docs.microsoft.com/graph/api/resources/application.

az ad app create --display-name
                 [--app-roles]
                 [--enable-access-token-issuance {false, true}]
                 [--enable-id-token-issuance {false, true}]
                 [--end-date]
                 [--identifier-uris]
                 [--is-fallback-public-client {false, true}]
                 [--key-display-name]
                 [--key-type {AsymmetricX509Cert, Password, Symmetric}]
                 [--key-usage {Sign, Verify}]
                 [--key-value]
                 [--optional-claims]
                 [--public-client-redirect-uris]
                 [--required-resource-accesses]
                 [--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
                 [--start-date]
                 [--web-home-page-url]
                 [--web-redirect-uris]

Beispiele

Erstellen einer Anwendung.

az ad app create --display-name mytestapp

Erstellen einer Anwendung, die auf den öffentlichen Client mit delegierter Microsoft Graph-Berechtigung "User.Read" zurückgreifen kann

az ad app create --display-name my-public --is-fallback-public-client --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
        {
            "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
            "type": "Scope"
        }
   ]
}]

Erstellen einer Anwendung mit einer Rolle

az ad app create --display-name mytestapp --identifier-uris https://mytestapp.websites.net --app-roles @manifest.json
("manifest.json" contains the following content)
[{
    "allowedMemberTypes": [
      "User"
    ],
    "description": "Approvers can mark documents as approved",
    "displayName": "Approver",
    "isEnabled": "true",
    "value": "approver"
}]

Erstellen einer Anwendung mit optionalen Ansprüchen

az ad app create --display-name mytestapp --optional-claims @manifest.json
("manifest.json" contains the following content)
{
    "idToken": [
        {
            "name": "auth_time",
            "essential": false
        }
    ],
    "accessToken": [
        {
            "name": "ipaddr",
            "essential": false
        }
    ],
    "saml2Token": [
        {
            "name": "upn",
            "essential": false
        },
        {
            "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
            "source": "user",
            "essential": false
        }
    ]
}

Erforderliche Parameter

--display-name

Der Anzeigename der Anwendung.

Optionale Parameter

--app-roles

Die Sammlung der Rollen, die der Anwendung zugewiesen sind. Mit App-Rollenzuweisungen können diese Rollen Benutzern, Gruppen oder Dienstprinzipalen zugewiesen werden, die anderen Anwendungen zugeordnet sind. Sollte JSON-Dateipfad oder inline-JSON-Zeichenfolge sein. Weitere Informationen finden Sie in den Beispielen.

--enable-access-token-issuance

Gibt an, ob diese Webanwendung mithilfe des impliziten OAuth 2.0-Flusses ein Zugriffstoken anfordern kann.

Zulässige Werte: false, true

--enable-id-token-issuance

Gibt an, ob diese Webanwendung mithilfe des impliziten OAuth 2.0-Flusses ein ID-Token anfordern kann.

Zulässige Werte: false, true

--end-date

Datum oder Datum, zu dem Anmeldeinformationen ablaufen (z. B. "2017-12-31T11:59:59+00:00" oder "2017-12-31"). Der Standardwert ist ein Jahr nach der aktuellen Uhrzeit.

--identifier-uris

Durch Leerzeichen getrennte Werte. Dieser Wert wird auch als App-ID-URI bezeichnet, wenn eine Anwendung als Ressourcen-App verwendet wird. Die IdentifierUris fungieren als Präfix für die Bereiche, auf die Sie im Code Der API verweisen, und sie muss global eindeutig sein. Sie können den angegebenen Standardwert verwenden, der sich im Formular api:// befindet, oder einen besser lesbaren URI angeben, z. B. https://contoso.com/api.

--is-fallback-public-client

Gibt den Fallbackanwendungstyp als öffentlicher Client an, z. B. eine installierte Anwendung, die auf einem mobilen Gerät ausgeführt wird. Der Standardwert ist "false", was bedeutet, dass der Fallbackanwendungstyp vertraulicher Client ist, z. B. eine Web-App.

Zulässige Werte: false, true

--key-display-name

Anzeigename für den Schlüssel.

--key-type

Der Typ der Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind.

Zulässige Werte: AsymmetricX509Cert, Password, Symmetric

Standardwert: AsymmetricX509Cert

--key-usage

Die Verwendung der Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind.

Zulässige Werte: Sign, Verify

Standardwert: Verify

--key-value

Der Wert für die Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind.

--optional-claims

Anwendungsentwickler können optionale Ansprüche in ihren Microsoft Entra-Anwendungen konfigurieren, um die Ansprüche anzugeben, die vom Microsoft-Sicherheitstokendienst an ihre Anwendung gesendet werden. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/active-directory/develop/active-directory-optional-claims. Sollte JSON-Dateipfad oder inline-JSON-Zeichenfolge sein. Weitere Informationen finden Sie in den Beispielen.

--public-client-redirect-uris

Durch Leerzeichen getrennte Werte. Gibt die URLs an, in denen Benutzertoken für die Anmeldung gesendet werden, oder die Umleitungs-URIs, bei denen OAuth 2.0-Autorisierungscodes und Zugriffstoken gesendet werden.

--required-resource-accesses

Gibt die Ressourcen an, auf die die Anwendung zugreifen muss. Diese Eigenschaft gibt auch den Satz delegierter Berechtigungen und Anwendungsrollen an, die sie für jede dieser Ressourcen benötigt. Diese Konfiguration des Zugriffs auf die erforderlichen Ressourcen steuert die Zustimmungserfahrung. Sollte JSON-Dateipfad oder inline-JSON-Zeichenfolge sein. Weitere Informationen finden Sie in den Beispielen.

--sign-in-audience

Gibt die Microsoft-Konten an, die für die aktuelle Anwendung unterstützt werden.

Zulässige Werte: AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount

--start-date

Datum oder Datum, zu dem Anmeldeinformationen gültig werden (z. B. "2017-01-01T01:00:00+00:00" oder "2017-01-01"). Der Standardwert ist die aktuelle Uhrzeit.

--web-home-page-url

Startseite oder Startseite der Anwendung.

--web-redirect-uris

Durch Leerzeichen getrennte Werte. Gibt die URLs an, in denen Benutzertoken für die Anmeldung gesendet werden, oder die Umleitungs-URIs, bei denen OAuth 2.0-Autorisierungscodes und Zugriffstoken gesendet werden.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az ad app delete

Löschen einer Anwendung.

az ad app delete --id

Beispiele

Löschen einer Anwendung. (automatisch generiert)

az ad app delete --id 00000000-0000-0000-0000-000000000000

Erforderliche Parameter

--id

Id-URI, Anwendungs-ID oder Objekt-ID.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az ad app list

Anwendungen auflisten.

Bei geringer Latenz wird standardmäßig nur die erste 100 zurückgegeben, es sei denn, Sie geben Filterargumente an oder verwenden "--all".

az ad app list [--all]
               [--app-id]
               [--display-name]
               [--filter]
               [--identifier-uri]
               [--show-mine]

Optionale Parameter

--all

Alle Entitäten auflisten, lange Verzögerung erwarten, wenn unter einer großen Organisation.

--app-id

Anwendungs-ID.

--display-name

Der Anzeigename der Anwendung.

--filter

OData-Filter, z. B. --filter "displayname eq 'test' and servicePrincipalType eq 'Application'".

--identifier-uri

Der Graph-Anwendungsbezeichner muss im URI-Format vorliegen.

--show-mine

Auflisten von Entitäten, die dem aktuellen Benutzer gehören.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az ad app show

Rufen Sie die Details einer Anwendung ab.

az ad app show --id

Beispiele

Rufen Sie die Details einer Anwendung mit appId ab.

az ad app show --id 00000000-0000-0000-0000-000000000000

Rufen Sie die Details einer Anwendung mit ID ab.

az ad app show --id 00000000-0000-0000-0000-000000000000

Rufen Sie die Details einer Anwendung mit Bezeichner-URI ab.

az ad app show --id api://myapp

Erforderliche Parameter

--id

Id-URI, Anwendungs-ID oder Objekt-ID.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az ad app update

Aktualisieren einer Anwendung.

az ad app update --id
                 [--add]
                 [--app-roles]
                 [--display-name]
                 [--enable-access-token-issuance {false, true}]
                 [--enable-id-token-issuance {false, true}]
                 [--end-date]
                 [--force-string]
                 [--identifier-uris]
                 [--is-fallback-public-client {false, true}]
                 [--key-display-name]
                 [--key-type {AsymmetricX509Cert, Password, Symmetric}]
                 [--key-usage {Sign, Verify}]
                 [--key-value]
                 [--optional-claims]
                 [--public-client-redirect-uris]
                 [--remove]
                 [--required-resource-accesses]
                 [--set]
                 [--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
                 [--start-date]
                 [--web-home-page-url]
                 [--web-redirect-uris]

Beispiele

Aktualisieren einer Anwendung mit delegierter Microsoft Graph-Berechtigung User.Read

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
        {
            "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
            "type": "Scope"
        }
   ]
}]

Deklarieren einer Anwendungsrolle

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --app-roles @manifest.json
("manifest.json" contains the following content)
[{
    "allowedMemberTypes": [
      "User"
    ],
    "description": "Approvers can mark documents as approved",
    "displayName": "Approver",
    "isEnabled": "true",
    "value": "approver"
}]

Optionale Ansprüche aktualisieren

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --optional-claims @manifest.json
("manifest.json" contains the following content)
{
    "idToken": [
        {
            "name": "auth_time",
            "essential": false
        }
    ],
    "accessToken": [
        {
            "name": "ipaddr",
            "essential": false
        }
    ],
    "saml2Token": [
        {
            "name": "upn",
            "essential": false
        },
        {
            "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
            "source": "user",
            "essential": false
        }
    ]
}

Aktualisieren der Gruppenmitgliedschaftsansprüche einer Anwendung auf "Alle"

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --set groupMembershipClaims=All

Erforderliche Parameter

--id

Id-URI, Anwendungs-ID oder Objekt-ID.

Optionale Parameter

--add

Fügen Sie einer Liste von Objekten ein Objekt hinzu, indem Sie ein Pfad- und Schlüsselwertpaar angeben. Beispiel: --add property.listProperty <key=value, string or JSON string>.

Standardwert: []

--app-roles

Die Sammlung der Rollen, die der Anwendung zugewiesen sind. Mit App-Rollenzuweisungen können diese Rollen Benutzern, Gruppen oder Dienstprinzipalen zugewiesen werden, die anderen Anwendungen zugeordnet sind. Sollte JSON-Dateipfad oder inline-JSON-Zeichenfolge sein. Weitere Informationen finden Sie in den Beispielen.

--display-name

Der Anzeigename der Anwendung.

--enable-access-token-issuance

Gibt an, ob diese Webanwendung mithilfe des impliziten OAuth 2.0-Flusses ein Zugriffstoken anfordern kann.

Zulässige Werte: false, true

--enable-id-token-issuance

Gibt an, ob diese Webanwendung mithilfe des impliziten OAuth 2.0-Flusses ein ID-Token anfordern kann.

Zulässige Werte: false, true

--end-date

Datum oder Datum, zu dem Anmeldeinformationen ablaufen (z. B. "2017-12-31T11:59:59+00:00" oder "2017-12-31"). Der Standardwert ist ein Jahr nach der aktuellen Uhrzeit.

--force-string

Wenn Sie "set" oder "add" verwenden, behalten Sie Zeichenfolgenliterale bei, anstatt zu versuchen, in JSON zu konvertieren.

Standardwert: False

--identifier-uris

Durch Leerzeichen getrennte Werte. Dieser Wert wird auch als App-ID-URI bezeichnet, wenn eine Anwendung als Ressourcen-App verwendet wird. Die IdentifierUris fungieren als Präfix für die Bereiche, auf die Sie im Code Der API verweisen, und sie muss global eindeutig sein. Sie können den angegebenen Standardwert verwenden, der sich im Formular api:// befindet, oder einen besser lesbaren URI angeben, z. B. https://contoso.com/api.

--is-fallback-public-client

Gibt den Fallbackanwendungstyp als öffentlicher Client an, z. B. eine installierte Anwendung, die auf einem mobilen Gerät ausgeführt wird. Der Standardwert ist "false", was bedeutet, dass der Fallbackanwendungstyp vertraulicher Client ist, z. B. eine Web-App.

Zulässige Werte: false, true

--key-display-name

Anzeigename für den Schlüssel.

--key-type

Der Typ der Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind.

Zulässige Werte: AsymmetricX509Cert, Password, Symmetric

Standardwert: AsymmetricX509Cert

--key-usage

Die Verwendung der Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind.

Zulässige Werte: Sign, Verify

Standardwert: Verify

--key-value

Der Wert für die Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind.

--optional-claims

Anwendungsentwickler können optionale Ansprüche in ihren Microsoft Entra-Anwendungen konfigurieren, um die Ansprüche anzugeben, die vom Microsoft-Sicherheitstokendienst an ihre Anwendung gesendet werden. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/active-directory/develop/active-directory-optional-claims. Sollte JSON-Dateipfad oder inline-JSON-Zeichenfolge sein. Weitere Informationen finden Sie in den Beispielen.

--public-client-redirect-uris

Durch Leerzeichen getrennte Werte. Gibt die URLs an, in denen Benutzertoken für die Anmeldung gesendet werden, oder die Umleitungs-URIs, bei denen OAuth 2.0-Autorisierungscodes und Zugriffstoken gesendet werden.

--remove

Entfernen sie eine Eigenschaft oder ein Element aus einer Liste. Beispiel: --remove property.list <indexToRemove> ODER --remove propertyToRemove.

Standardwert: []

--required-resource-accesses

Gibt die Ressourcen an, auf die die Anwendung zugreifen muss. Diese Eigenschaft gibt auch den Satz delegierter Berechtigungen und Anwendungsrollen an, die sie für jede dieser Ressourcen benötigt. Diese Konfiguration des Zugriffs auf die erforderlichen Ressourcen steuert die Zustimmungserfahrung. Sollte JSON-Dateipfad oder inline-JSON-Zeichenfolge sein. Weitere Informationen finden Sie in den Beispielen.

--set

Aktualisieren Sie ein Objekt, indem Sie einen festzulegenden Eigenschaftspfad und -wert angeben. Beispiel: --set property1.property2=<value>.

Standardwert: []

--sign-in-audience

Gibt die Microsoft-Konten an, die für die aktuelle Anwendung unterstützt werden.

Zulässige Werte: AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount

--start-date

Datum oder Datum, zu dem Anmeldeinformationen gültig werden (z. B. "2017-01-01T01:00:00+00:00" oder "2017-01-01"). Der Standardwert ist die aktuelle Uhrzeit.

--web-home-page-url

Startseite oder Startseite der Anwendung.

--web-redirect-uris

Durch Leerzeichen getrennte Werte. Gibt die URLs an, in denen Benutzertoken für die Anmeldung gesendet werden, oder die Umleitungs-URIs, bei denen OAuth 2.0-Autorisierungscodes und Zugriffstoken gesendet werden.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.