az ad app

  • Referenz

Verwalten von Anwendungen mit AAD Graph.

Befehle

az ad app create

Erstellen Sie eine Webanwendung, web-API oder native Anwendung.
az ad app credential

Verwalten sie das Kennwort oder die Zertifikatanmeldeinformationen einer Anwendung.
az ad app credential delete

Löschen Sie das Kennwort oder die Zertifikatanmeldeinformationen einer Anwendung.
az ad app credential list

Listen Sie die Kennwort- oder Zertifikatinformationsmetadaten einer Anwendung auf. (Der Inhalt der Kennwort- oder Zertifikatanmeldeinformationen kann nicht abgerufen werden.)
az ad app credential reset

Setzen Sie das Kennwort oder die Zertifikatanmeldeinformationen einer Anwendung zurück.
az ad app delete

Löschen einer Anwendung.
az ad app federated-credential

Verwalten von Anmeldeinformationen für Anwendungsverbundidentitäten.
az ad app federated-credential create

Erstellen sie Anmeldeinformationen für Anwendungsverbundidentitäten.
az ad app federated-credential delete

Löschen von Anmeldeinformationen für Anwendungsverbundidentitäten.
az ad app federated-credential list

Anmeldeinformationen für Anwendungsverbundidentitäten auflisten.
az ad app federated-credential show

Anwendungsverbundidentitätsanmeldeinformationen anzeigen.
az ad app federated-credential update

Aktualisieren der Anmeldeinformationen für Anwendungsverbundidentitäten.
az ad app list

Anwendungen auflisten.
az ad app owner

Verwalten von Anwendungsbesitzern.
az ad app owner add

Fügen Sie einen Anwendungsbesitzer hinzu.
az ad app owner list

Anwendungsbesitzer auflisten.
az ad app owner remove

Entfernen sie einen Anwendungsbesitzer.
az ad app permission

Verwalten der OAuth2-Berechtigungen einer Anwendung.
az ad app permission add

Fügen Sie eine API-Berechtigung hinzu.
az ad app permission admin-consent

& Erteilen von delegierten Anwendungsberechtigungen über die Administratorzustimmung.
az ad app permission delete

Entfernen sie eine API-Berechtigung.
az ad app permission grant

Erteilen Sie der App eine delegierte API-Berechtigungen.
az ad app permission list

Listen-API-Berechtigungen, die die Anwendung angefordert hat.
az ad app permission list-grants

Oauth2-Berechtigungserteilungen auflisten.
az ad app show

Rufen Sie die Details einer Anwendung ab.
az ad app update

Aktualisieren einer Anwendung.

az ad app create

Bearbeiten

Erstellen Sie eine Webanwendung, web-API oder native Anwendung.

Ausführlichere Dokumentation finden Sie unter https://docs.microsoft.com/graph/api/resources/application.

az ad app create --display-name
                 [--app-roles]
                 [--enable-access-token-issuance {false, true}]
                 [--enable-id-token-issuance {false, true}]
                 [--end-date]
                 [--identifier-uris]
                 [--is-fallback-public-client {false, true}]
                 [--key-display-name]
                 [--key-type {AsymmetricX509Cert, Password, Symmetric}]
                 [--key-usage {Sign, Verify}]
                 [--key-value]
                 [--optional-claims]
                 [--public-client-redirect-uris]
                 [--required-resource-accesses]
                 [--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
                 [--start-date]
                 [--web-home-page-url]
                 [--web-redirect-uris]

Beispiele

Erstellen einer Anwendung.

az ad app create --display-name mytestapp

Erstellen einer Anwendung, die auf den öffentlichen Client zurückfallen kann, mit delegierter Berechtigung "Application.Read.All" von Microsoft Graph

az ad app create --display-name my-public --is-fallback-public-client --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
        {
            "id": "c79f8feb-a9db-4090-85f9-90d820caa0eb",
            "type": "Scope"
        }
   ]
}]

Erstellen einer Anwendung mit einer Rolle

az ad app create --display-name mytestapp --identifier-uris https://mytestapp.websites.net --app-roles @manifest.json
("manifest.json" contains the following content)
[{
    "allowedMemberTypes": [
      "User"
    ],
    "description": "Approvers can mark documents as approved",
    "displayName": "Approver",
    "isEnabled": "true",
    "value": "approver"
}]

Erstellen einer Anwendung mit optionalen Ansprüchen

az ad app create --display-name mytestapp --optional-claims @manifest.json
("manifest.json" contains the following content)
{
    "idToken": [
        {
            "name": "auth_time",
            "essential": false
        }
    ],
    "accessToken": [
        {
            "name": "ipaddr",
            "essential": false
        }
    ],
    "saml2Token": [
        {
            "name": "upn",
            "essential": false
        },
        {
            "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
            "source": "user",
            "essential": false
        }
    ]
}

Erforderliche Parameter

--display-name

Der Anzeigename der Anwendung.

Optionale Parameter

--app-roles

Die Auflistung der Rollen, die der Anwendung zugewiesen sind. Mit App-Rollenzuweisungen können diese Rollen Benutzern, Gruppen oder Dienstprinzipalen zugewiesen werden, die anderen Anwendungen zugeordnet sind. Sollte JSON-Dateipfad oder in-line JSON-Zeichenfolge sein. Weitere Informationen finden Sie in den Beispielen.

--enable-access-token-issuance

Gibt an, ob diese Webanwendung ein Zugriffstoken mithilfe des impliziten OAuth 2.0-Flusses anfordern kann.

Zulässige Werte: false, true
--enable-id-token-issuance

Gibt an, ob diese Webanwendung ein ID-Token mithilfe des impliziten OAuth 2.0-Flusses anfordern kann.

Zulässige Werte: false, true
--end-date

Datum oder Datum, nach dem Anmeldeinformationen ablaufen (z. B. "2017-12-31T11:59:59+00:00" oder "2017-12-31"). Der Standardwert ist ein Jahr nach der aktuellen Uhrzeit.

--identifier-uris

Leerzeichentrennte Werte. Dieser Wert wird auch als App-ID-URI bezeichnet, wenn eine Anwendung als Ressourcen-App verwendet wird. Die Bezeichneruris fungieren als Präfix für die Bereiche, auf die Sie im Code der API verweisen, und es muss global eindeutig sein. Sie können den bereitgestellten Standardwert verwenden, der sich im Formular api:// befindet, oder einen lesbareren URI wie z. B. https://contoso.com/api.

--is-fallback-public-client

Gibt den Fallbackanwendungstyp als öffentlicher Client an, z. B. eine installierte Anwendung, die auf einem mobilen Gerät ausgeführt wird. Der Standardwert ist "false", was bedeutet, dass der Fallbackanwendungstyp vertraulicher Client ist, z. B. eine Web-App.

Zulässige Werte: false, true
--key-display-name

Anzeigename für den Schlüssel.

--key-type

Der Typ der Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind.

Zulässige Werte: AsymmetricX509Cert, Password, Symmetric
Standardwert: AsymmetricX509Cert
--key-usage

Die Verwendung der Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind.

Zulässige Werte: Sign, Verify
Standardwert: Verify
--key-value

Der Wert für die Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind.

--optional-claims

Anwendungsentwickler können optionale Ansprüche in ihren Azure AD-Anwendungen konfigurieren, um die Ansprüche anzugeben, die vom Microsoft-Sicherheitstokendienst an ihre Anwendung gesendet werden. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/active-directory/develop/active-directory-optional-claims. Sollte JSON-Dateipfad oder in-line JSON-Zeichenfolge sein. Weitere Informationen finden Sie in den Beispielen.

--public-client-redirect-uris

Leerzeichentrennte Werte. Gibt die URLs an, bei denen Benutzertoken für die Anmeldung gesendet werden, oder die Umleitungs-URIs, bei denen OAuth 2.0-Autorisierungscodes und Zugriffstoken gesendet werden.

--required-resource-accesses

Gibt die Ressourcen an, auf die die Anwendung zugreifen muss. Diese Eigenschaft gibt auch den Satz delegierter Berechtigungen und Anwendungsrollen an, die sie für jede dieser Ressourcen benötigt. Diese Konfiguration des Zugriffs auf die erforderlichen Ressourcen steuert die Zustimmungserfahrung. Sollte JSON-Dateipfad oder in-line JSON-Zeichenfolge sein. Weitere Informationen finden Sie in den Beispielen.

--sign-in-audience

Gibt die Microsoft-Konten an, die für die aktuelle Anwendung unterstützt werden.

Zulässige Werte: AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount
--start-date

Datum oder Datum, zu dem Anmeldeinformationen gültig werden (z. B. "2017-01-01T01:00:00+00:00" oder "2017-01-01"). Der Standardwert ist die aktuelle Uhrzeit.

--web-home-page-url

Startseite oder Startseite der Anwendung.

--web-redirect-uris

Leerzeichentrennte Werte. Gibt die URLs an, bei denen Benutzertoken für die Anmeldung gesendet werden, oder die Umleitungs-URIs, bei denen OAuth 2.0-Autorisierungscodes und Zugriffstoken gesendet werden.

az ad app delete

Bearbeiten

Löschen einer Anwendung.

az ad app delete --id

Beispiele

Löschen einer Anwendung. (automatisch generiert)

az ad app delete --id 00000000-0000-0000-0000-000000000000

Erforderliche Parameter

--id

Bezeichner-URI, Anwendungs-ID oder Objekt-ID.

az ad app list

Bearbeiten

Listenanwendungen.

Bei niedriger Latenz wird standardmäßig nur die erste 100 zurückgegeben, es sei denn, Sie geben Filterargumente an oder verwenden "--all".

az ad app list [--all]
               [--app-id]
               [--display-name]
               [--filter]
               [--identifier-uri]
               [--show-mine]

Optionale Parameter

--all

Alle Entitäten auflisten, erwarten sie lange Verzögerung, wenn sie unter einer großen Organisation vorhanden sind.

--app-id

Anwendungs-ID.

--display-name

Der Anzeigename der Anwendung.

--filter

OData-Filter, z. B. --filter "displayname eq 'test' and servicePrincipalType eq 'Application'".

--identifier-uri

Graph-Anwendungsbezeichner muss im URI-Format enthalten sein.

--show-mine

Listet Entitäten auf, die dem aktuellen Benutzer gehören.

az ad app show

Bearbeiten

Rufen Sie die Details einer Anwendung ab.

az ad app show --id

Beispiele

Rufen Sie die Details einer Anwendung mit appId ab.

az ad app show --id 00000000-0000-0000-0000-000000000000

Rufen Sie die Details einer Anwendung mit id ab.

az ad app show --id 00000000-0000-0000-0000-000000000000

Rufen Sie die Details einer Anwendung mit Bezeichner-URI ab.

az ad app show --id api://myapp

Erforderliche Parameter

--id

Id, Anwendungs-ID oder Objekt-ID.

az ad app update

Bearbeiten

Aktualisieren einer Anwendung.

az ad app update --id
                 [--add]
                 [--app-roles]
                 [--display-name]
                 [--enable-access-token-issuance {false, true}]
                 [--enable-id-token-issuance {false, true}]
                 [--end-date]
                 [--force-string]
                 [--identifier-uris]
                 [--is-fallback-public-client {false, true}]
                 [--key-display-name]
                 [--key-type {AsymmetricX509Cert, Password, Symmetric}]
                 [--key-usage {Sign, Verify}]
                 [--key-value]
                 [--optional-claims]
                 [--public-client-redirect-uris]
                 [--remove]
                 [--required-resource-accesses]
                 [--set]
                 [--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
                 [--start-date]
                 [--web-home-page-url]
                 [--web-redirect-uris]

Beispiele

Aktualisieren einer nativen Anwendung mit delegierter Berechtigung "Zugriff auf das AAD-Verzeichnis als angemeldeter Benutzer"

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
    "resourceAppId": "00000002-0000-0000-c000-000000000000",
    "resourceAccess": [
        {
            "id": "a42657d6-7f20-40e3-b6f0-cee03008a62a",
            "type": "Scope"
        }
   ]
}]

Deklarieren einer Anwendungsrolle

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --app-roles @manifest.json
("manifest.json" contains the following content)
[{
    "allowedMemberTypes": [
      "User"
    ],
    "description": "Approvers can mark documents as approved",
    "displayName": "Approver",
    "isEnabled": "true",
    "value": "approver"
}]

Optionale Ansprüche aktualisieren

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --optional-claims @manifest.json
("manifest.json" contains the following content)
{
    "idToken": [
        {
            "name": "auth_time",
            "essential": false
        }
    ],
    "accessToken": [
        {
            "name": "ipaddr",
            "essential": false
        }
    ],
    "saml2Token": [
        {
            "name": "upn",
            "essential": false
        },
        {
            "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
            "source": "user",
            "essential": false
        }
    ]
}

Aktualisieren der Gruppenmitgliedschaftsansprüche einer Anwendung auf "Alle"

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --set groupMembershipClaims=All

Erforderliche Parameter

--id

Id, Anwendungs-ID oder Objekt-ID.

Optionale Parameter

--add

Fügen Sie einem Objekt eine Liste von Objekten hinzu, indem Sie ein Pfad- und Schlüsselwertpaar angeben. Beispiel: --add property.listProperty <key=value, string or JSON string>.

Standardwert: []
--app-roles

Die Auflistung der Rollen, die der Anwendung zugewiesen sind. Mit App-Rollenzuweisungen können diese Rollen Benutzern, Gruppen oder Dienstprinzipalen zugewiesen werden, die anderen Anwendungen zugeordnet sind. Sollte JSON-Dateipfad oder JSON-Zeichenfolge in Zeile sein. Weitere Informationen finden Sie in den Beispielen.

--display-name

Der Anzeigename der Anwendung.

--enable-access-token-issuance

Gibt an, ob diese Webanwendung ein Zugriffstoken mithilfe des impliziten OAuth 2.0-Flusses anfordern kann.

Zulässige Werte: false, true
--enable-id-token-issuance

Gibt an, ob diese Webanwendung mithilfe des impliziten OAuth 2.0-Flusses ein ID-Token anfordern kann.

Zulässige Werte: false, true
--end-date

Datum oder Datumszeit nach Ablauf der Anmeldeinformationen (z. B. "2017-12-31T11:59:59+00:00" oder "2017-12-31"). Standardwert ist ein Jahr nach dem aktuellen Zeitpunkt.

--force-string

Wenn Sie "set" oder "add" verwenden, behalten Sie Zeichenfolgen literale beibehalten, anstatt zu versuchen, in JSON zu konvertieren.

Standardwert: False
--identifier-uris

Leerzeichen getrennte Werte. Dieser Wert wird auch als App-ID-URI bezeichnet, wenn eine Anwendung als Ressourcen-App verwendet wird. Der Bezeichner fungiert als Präfix für die Bereiche, auf die Sie im Code ihrer API verweisen, und es muss global eindeutig sein. Sie können den angegebenen Standardwert verwenden, der sich im Formular api:// befindet oder einen lesbareren URI wie z. B. https://contoso.com/api.

--is-fallback-public-client

Gibt den Fallbackanwendungstyp als öffentlicher Client an, z. B. eine installierte Anwendung, die auf einem mobilen Gerät ausgeführt wird. Der Standardwert ist false, was bedeutet, dass der Fallbackanwendungstyp vertraulicher Client ist, z. B. eine Web-App.

Zulässige Werte: false, true
--key-display-name

Anzeigename für den Schlüssel.

--key-type

Der Typ der Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind.

Zulässige Werte: AsymmetricX509Cert, Password, Symmetric
Standardwert: AsymmetricX509Cert
--key-usage

Die Verwendung der Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind.

Zulässige Werte: Sign, Verify
Standardwert: Verify
--key-value

Der Wert für die Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind.

--optional-claims

Anwendungsentwickler können optionale Ansprüche in ihren Azure AD-Anwendungen konfigurieren, um die Ansprüche anzugeben, die an ihre Anwendung vom Microsoft-Sicherheitstokendienst gesendet werden. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/active-directory/develop/active-directory-optional-claims. Sollte JSON-Dateipfad oder JSON-Zeichenfolge in Zeile sein. Weitere Informationen finden Sie in den Beispielen.

--public-client-redirect-uris

Leerzeichen getrennte Werte. Gibt die URLs an, in denen Benutzertoken für die Anmeldung gesendet werden, oder die Umleitungs-URIs, in denen OAuth 2.0-Autorisierungscodes und Zugriffstoken gesendet werden.

--remove

Entfernen Sie eine Eigenschaft oder ein Element aus einer Liste. Beispiel: --remove property.list OR --remove propertyToRemove.

Standardwert: []
--required-resource-accesses

Gibt die Ressourcen an, auf die die Anwendung zugreifen muss. Diese Eigenschaft gibt auch den Satz delegierter Berechtigungen und Anwendungsrollen an, die für jede dieser Ressourcen benötigt werden. Diese Konfiguration des Zugriffs auf die erforderlichen Ressourcen steuert die Zustimmungserfahrung. Sollte JSON-Dateipfad oder JSON-Zeichenfolge in Zeile sein. Weitere Informationen finden Sie in den Beispielen.

--set

Aktualisieren Sie ein Objekt, indem Sie einen Eigenschaftenpfad und einen wert angeben, der festgelegt werden soll. Beispiel: --set-property1.property2=.

Standardwert: []
--sign-in-audience

Gibt die Microsoft-Konten an, die für die aktuelle Anwendung unterstützt werden.

Zulässige Werte: AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount
--start-date

Datum oder Datum, zu dem Anmeldeinformationen gültig werden (z. B. "2017-01-01:001:00:00+00:00" oder "2017-01-01"). Standardwert ist die aktuelle Uhrzeit.

--web-home-page-url

Startseite oder Zielseite der Anwendung.

--web-redirect-uris

Leerzeichen getrennte Werte. Gibt die URLs an, in denen Benutzertoken für die Anmeldung gesendet werden, oder die Umleitungs-URIs, in denen OAuth 2.0-Autorisierungscodes und Zugriffstoken gesendet werden.