az ad app permission
Gérer les autorisations OAuth2 d’une application.
Commandes
| Nom | Description | Type | État |
|---|---|---|---|
| az ad app permission add |
Ajoutez une autorisation d’API. |
Core | GA |
| az ad app permission admin-consent |
Accordez des autorisations d’application et déléguées par le biais du consentement de l’administrateur. |
Core | GA |
| az ad app permission delete |
Supprimez une autorisation d’API. |
Core | GA |
| az ad app permission grant |
Accordez à l’application des autorisations déléguées d’API. |
Core | GA |
| az ad app permission list |
Répertorier les autorisations d’API demandées par l’application. |
Core | GA |
| az ad app permission list-grants |
Répertorier les octrois d’autorisations Oauth2. |
Core | GA |
az ad app permission add
Ajoutez une autorisation d’API.
L’appel de « az ad app permission grant » est nécessaire pour l’activer.
Pour obtenir les autorisations disponibles de l’application de ressource, exécutez az ad sp show --id <resource-appId>. Par exemple, pour obtenir des autorisations disponibles pour l’API Microsoft Graph, exécutez az ad sp show --id 00000003-0000-0000-c000-000000000000. Les autorisations d’application sous la appRoles propriété correspondent à Role --api-permissions. Les autorisations déléguées sous la oauth2Permissions propriété correspondent à Scope --api-permissions.
Pour plus d’informations sur les autorisations Microsoft Graph, consultez https://learn.microsoft.com/graph/permissions-reference.
az ad app permission add --api
--api-permissions
--idExemples
Ajouter l’autorisation déléguée Microsoft Graph User.Read
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=ScopeAjouter l’autorisation d’application Microsoft Graph Application.ReadWrite.All
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=RoleParamètres obligatoires
RequiredResourceAccess.resourceAppId : identificateur unique de la ressource à laquelle l’application a besoin d’accès. Cette valeur doit être égale à l’appID déclaré sur l’application de ressources cible.
Liste séparée par l’espace de {id}={type}. {id} est resourceAccess.id : identificateur unique pour l’une des instances oauth2PermissionScopes ou appRole exposées par l’application de ressource. {type} est resourceAccess.type : spécifie si la propriété id fait référence à un objet oauth2PermissionScopes ou à un appRole. Les valeurs possibles sont les suivantes : Étendue (pour les étendues d’autorisation OAuth 2.0) ou Rôle (pour les rôles d’application).
URI d’identificateur, ID d’application ou ID d’objet.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az ad app permission admin-consent
Accordez des autorisations d’application et déléguées par le biais du consentement de l’administrateur.
Vous devez vous connecter en tant qu’administrateur général.
az ad app permission admin-consent --idExemples
Accordez des autorisations d’application et déléguées par le biais du consentement de l’administrateur. (généré automatiquement)
az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000Paramètres obligatoires
URI d’identificateur, ID d’application ou ID d’objet.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az ad app permission delete
Supprimez une autorisation d’API.
az ad app permission delete --api
--id
[--api-permissions]Exemples
Supprimez les autorisations Microsoft Graph.
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000Supprimer l’autorisation déléguée Microsoft Graph User.Read
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683dParamètres obligatoires
RequiredResourceAccess.resourceAppId : identificateur unique de la ressource à laquelle l’application a besoin d’accès. Cette valeur doit être égale à l’appID déclaré sur l’application de ressources cible.
URI d’identificateur, ID d’application ou ID d’objet.
Paramètres facultatifs
Spécifiez ResourceAccess.id : identificateur unique pour l’une des instances OAuth2Permission ou AppRole exposées par l’application de ressource. Liste séparée par l’espace de <resource-access-id>.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az ad app permission grant
Accordez à l’application des autorisations déléguées d’API.
Un principal de service doit exister pour l’application lors de l’exécution de cette commande. Pour créer un principal de service correspondant, utilisez az ad sp create --id {appId}.
Pour les autorisations d’application, utilisez « ad app permission admin-consent ».
az ad app permission grant --api,
--id,
--scope
[--consent-type {AllPrincipals, Principal}]
[--principal-id]Exemples
Accorder à une application native des autorisations d’accès à une API existante avec la durée de vie de 2 ans
az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.AllParamètres obligatoires
ID du principal du service de ressources auquel l’accès est autorisé. Cela identifie l’API que le client est autorisé à tenter d’appeler pour le compte d’un utilisateur connecté.
ID du principal du service client pour l’application autorisée à agir pour le compte d’un utilisateur connecté lors de l’accès à une API.
Liste séparée par un espace des valeurs de revendication pour les autorisations déléguées qui doivent être incluses dans les jetons d’accès pour l’application de ressource (l’API). Par exemple, openid User.Read GroupMember.Read.All. Chaque valeur de revendication doit correspondre au champ valeur de l’une des autorisations déléguées définies par l’API, répertoriée dans la propriété oauth2PermissionScopes du principal du service de ressources.
Paramètres facultatifs
Indique si l’autorisation est accordée à l’application cliente pour emprunter l’identité de tous les utilisateurs ou uniquement d’un utilisateur spécifique. « AllPrincipals » indique l’autorisation d’emprunter l’identité de tous les utilisateurs. 'Principal' indique l’autorisation d’emprunter l’identité d’un utilisateur spécifique. Le consentement pour le compte de tous les utilisateurs peut être accordé par un administrateur. Les utilisateurs non administrateurs peuvent être autorisés à donner leur consentement pour le compte d’eux-mêmes dans certains cas, pour certaines autorisations déléguées.
ID de l’utilisateur au nom duquel le client est autorisé à accéder à la ressource, lorsque consentType est « Principal ». Si consentType est « AllPrincipals », cette valeur est null. Obligatoire lorsque consentType est « Principal ».
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az ad app permission list
Répertorier les autorisations d’API demandées par l’application.
az ad app permission list --idExemples
Répertoriez les autorisations OAuth2 pour une application.
az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234Paramètres obligatoires
URI d’identificateur, ID d’application ou ID d’objet de l’application associée.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az ad app permission list-grants
Répertorier les octrois d’autorisations Oauth2.
az ad app permission list-grants [--filter]
[--id]
[--show-resource-name {false, true}]Exemples
répertorier les autorisations oauth2 accordées au principal de service
az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456Paramètres facultatifs
Filtre OData, par exemple --filter « displayname eq 'test' et servicePrincipalType eq 'Application' ».
URI d’identificateur, ID d’application ou ID d’objet.
Afficher le nom d’affichage de la ressource.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
