az ad app permission

Verwalten sie die OAuth2-Berechtigungen einer Anwendung.

Befehle

Name	Beschreibung	Typ	Status
az ad app permission add	Fügen Sie eine API-Berechtigung hinzu.	Core	Allgemein verfügbar
az ad app permission admin-consent	Erteilen von Anwendungs- und delegierten Berechtigungen durch Administratorzustimmung.	Core	Allgemein verfügbar
az ad app permission delete	Entfernen Sie eine API-Berechtigung.	Core	Allgemein verfügbar
az ad app permission grant	Erteilen Sie der App eine API delegierte Berechtigungen.	Core	Allgemein verfügbar
az ad app permission list	Api-Berechtigungen auflisten, die die Anwendung angefordert hat.	Core	Allgemein verfügbar
az ad app permission list-grants	Oauth2-Berechtigungserteilungen auflisten.	Core	Allgemein verfügbar

az ad app permission add

Fügen Sie eine API-Berechtigung hinzu.

Das Aufrufen von "az ad app permission grant" ist erforderlich, um sie zu aktivieren.

Führen Sie zum Abrufen der verfügbaren Berechtigungen der Ressourcen-App aus az ad sp show --id <resource-appId>. Um z. B. verfügbare Berechtigungen für die Microsoft Graph-API zu erhalten, führen Sie die Ausführung aus az ad sp show --id 00000003-0000-0000-c000-000000000000. Anwendungsberechtigungen unter der appRoles Eigenschaft entsprechen Role in --api-permissions. Delegierte Berechtigungen unter der oauth2Permissions Eigenschaft entsprechen Scope in --api-permissions.

Ausführliche Informationen zu Microsoft Graph-Berechtigungen finden Sie unter https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id

Beispiele

Hinzufügen delegierter Microsoft Graph-Berechtigung User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Hinzufügen der Anwendungsberechtigung "Application.ReadWrite.All" von Microsoft Graph

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Erforderliche Parameter

--api

RequiredResourceAccess.resourceAppId – Der eindeutige Bezeichner für die Ressource, auf die die Anwendung Zugriff benötigt. Dies sollte der appId entsprechen, die in der Zielressourcenanwendung deklariert ist.

--api-permissions

Durch Leerzeichen getrennte Liste von {id}={type}. {id} ist resourceAccess.id – Der eindeutige Bezeichner für eine der oauth2PermissionScopes- oder appRole-Instanzen, die die Ressourcenanwendung verfügbar macht. {type} ist "resourceAccess.type". Gibt an, ob die ID-Eigenschaft auf ein oauth2PermissionScopes- oder appRole-Objekt verweist. Mögliche Werte sind: Bereich (für OAuth 2.0-Berechtigungsbereiche) oder Rolle (für App-Rollen).

--id

Id-URI, Anwendungs-ID oder Objekt-ID.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az ad app permission admin-consent

Erteilen von Anwendungs- und delegierten Berechtigungen durch Administratorzustimmung.

Sie müssen sich als globaler Administrator anmelden.

az ad app permission admin-consent --id

Beispiele

Erteilen von Anwendungs- und delegierten Berechtigungen durch Administratorzustimmung. (automatisch generiert)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000

Erforderliche Parameter

--id

Id-URI, Anwendungs-ID oder Objekt-ID.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az ad app permission delete

Entfernen Sie eine API-Berechtigung.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Beispiele

Entfernen Sie Microsoft Graph-Berechtigungen.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Entfernen delegierter Microsoft Graph-Berechtigung User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Erforderliche Parameter

--api

RequiredResourceAccess.resourceAppId – Der eindeutige Bezeichner für die Ressource, auf die die Anwendung Zugriff benötigt. Dies sollte der appId entsprechen, die in der Zielressourcenanwendung deklariert ist.

--id

Id-URI, Anwendungs-ID oder Objekt-ID.

Optionale Parameter

--api-permissions

Specify ResourceAccess.id : The unique identifier for one of the OAuth2Permission or AppRole instances that the resource application exposes. Durch Leerzeichen getrennte Liste von <resource-access-id>.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az ad app permission grant

Erteilen Sie der App eine API delegierte Berechtigungen.

Ein Dienstprinzipal muss für die App vorhanden sein, wenn dieser Befehl ausgeführt wird. Um einen entsprechenden Dienstprinzipal zu erstellen, verwenden Sie az ad sp create --id {appId}. Verwenden Sie für Anwendungsberechtigungen "Anzeigen-App-Berechtigungsadministratorzustimmung".

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Beispiele

Gewähren einer nativen Anwendung mit Berechtigungen für den Zugriff auf eine vorhandene API mit TTL von 2 Jahren

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Erforderliche Parameter

--api, --resource-id

Die ID des Ressourcendienstprinzipals, auf den der Zugriff autorisiert ist. Dadurch wird die API identifiziert, die der Client autorisiert ist, um im Namen eines angemeldeten Benutzers aufzurufen.

--id, --client-id

Die ID des Clientdienstprinzipals für die Anwendung, die berechtigt ist, im Namen eines angemeldeten Benutzers zu handeln, wenn auf eine API zugegriffen wird.

--scope

Eine durch Leerzeichen getrennte Liste der Anspruchswerte für delegierte Berechtigungen, die in Zugriffstoken für die Ressourcenanwendung (die API) enthalten sein sollten. Beispiel: openid User.Read GroupMember.Read.All. Jeder Anspruchswert sollte mit dem Wertfeld einer der delegierten Berechtigungen übereinstimmen, die von der API definiert sind, die in der oauth2PermissionScopes-Eigenschaft des Ressourcendienstprinzipals aufgeführt sind.

Optionale Parameter

--consent-type

Gibt an, ob die Autorisierung für die Clientanwendung zum Identitätswechsel aller Benutzer oder nur eines bestimmten Benutzers erteilt wird. "AllPrincipals" gibt die Autorisierung zum Identitätswechsel aller Benutzer an. "Prinzipal" gibt die Autorisierung zum Identitätswechsel eines bestimmten Benutzers an. Die Zustimmung im Namen aller Benutzer kann von einem Administrator erteilt werden. Nicht-Administratorbenutzer können berechtigt sein, im Auftrag von sich selbst für einige delegierte Berechtigungen zuzustimmen.

Zulässige Werte: AllPrincipals, Principal

Standardwert: AllPrincipals

--principal-id

Die ID des Benutzers im Auftrag, von dem der Client für den Zugriff auf die Ressource autorisiert ist, wenn consentType "Principal" ist. Wenn consentType "AllPrincipals" lautet, ist dieser Wert null. Erforderlich, wenn consentType "Principal" ist.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az ad app permission list

Api-Berechtigungen auflisten, die die Anwendung angefordert hat.

az ad app permission list --id

Beispiele

Auflisten der OAuth2-Berechtigungen für eine Anwendung.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Erforderliche Parameter

--id

Bezeichner-URI, Anwendungs-ID oder Objekt-ID der zugeordneten Anwendung.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az ad app permission list-grants

Oauth2-Berechtigungserteilungen auflisten.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Beispiele

oauth2-Berechtigungen auflisten, die dem Dienstprinzipal gewährt wurden

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Optionale Parameter

--filter

OData-Filter, z. B. --filter "displayname eq 'test' and servicePrincipalType eq 'Application'".

--id

Id-URI, Anwendungs-ID oder Objekt-ID.

--show-resource-name -r

Anzeigename der Ressource anzeigen.

Zulässige Werte: false, true

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.