az ad app permission

Gestire le autorizzazioni OAuth2 di un'applicazione.

Comandi

Nome	Descrizione	Tipo	Status
az ad app permission add	Aggiungere un'autorizzazione API.	Memoria centrale	Disponibilità generale
az ad app permission admin-consent	Concedere le autorizzazioni dell'applicazione e delegate tramite il consenso amministratore.	Memoria centrale	Disponibilità generale
az ad app permission delete	Rimuovere un'autorizzazione API.	Memoria centrale	Disponibilità generale
az ad app permission grant	Concedere all'app autorizzazioni delegate per le API.	Memoria centrale	Disponibilità generale
az ad app permission list	Elencare le autorizzazioni API richieste dall'applicazione.	Memoria centrale	Disponibilità generale
az ad app permission list-grants	Elencare le concessioni di autorizzazione Oauth2.	Memoria centrale	Disponibilità generale

az ad app permission add

Aggiungere un'autorizzazione API.

Per attivarlo, è necessario richiamare "az ad app permission grant".

Per ottenere le autorizzazioni disponibili dell'app per le risorse, eseguire az ad sp show --id <resource-appId>. Ad esempio, per ottenere le autorizzazioni disponibili per l'API Microsoft Graph, eseguire az ad sp show --id 00000003-0000-0000-c000-000000000000. Le autorizzazioni dell'applicazione nella appRoles proprietà corrispondono a Role in --api-permissions. Le autorizzazioni delegate nella oauth2Permissions proprietà corrispondono a Scope in --api-permissions.

Per informazioni dettagliate sulle autorizzazioni di Microsoft Graph, vedere https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id

Esempio

Aggiungere l'autorizzazione delegata di Microsoft Graph User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Aggiungere l'autorizzazione dell'applicazione Microsoft Graph Application.ReadWrite.All

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Parametri necessari

--api

RequiredResourceAccess.resourceAppId: identificatore univoco per la risorsa a cui l'applicazione richiede l'accesso. Deve essere uguale all'appId dichiarato nell'applicazione di risorse di destinazione.

--api-permissions

Elenco delimitato da spazi di {id}={type}. {id} è resourceAccess.id: identificatore univoco per una delle istanze oauth2PermissionScopes o appRole esposte dall'applicazione di risorse. {type} è resourceAccess.type: specifica se la proprietà id fa riferimento a un oggetto oauth2PermissionScopes o a un appRole. I valori possibili sono: Ambito (per gli ambiti di autorizzazione OAuth 2.0) o Ruolo (per i ruoli dell'app).

--id

URI identificatore, ID applicazione o ID oggetto.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

Valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az ad app permission admin-consent

Concedere le autorizzazioni dell'applicazione e delegate tramite il consenso amministratore.

È necessario eseguire l'accesso come amministratore globale.

az ad app permission admin-consent --id

Esempio

Concedere le autorizzazioni dell'applicazione e delegate tramite il consenso amministratore. (generato automaticamente)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000

Parametri necessari

--id

URI identificatore, ID applicazione o ID oggetto.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

Valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az ad app permission delete

Rimuovere un'autorizzazione API.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Esempio

Rimuovere le autorizzazioni di Microsoft Graph.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Rimuovere l'autorizzazione delegata di Microsoft Graph User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Parametri necessari

--api

RequiredResourceAccess.resourceAppId: identificatore univoco per la risorsa a cui l'applicazione richiede l'accesso. Deve essere uguale all'appId dichiarato nell'applicazione di risorse di destinazione.

--id

URI identificatore, ID applicazione o ID oggetto.

Parametri facoltativi

--api-permissions

Specifica ResourceAccess.id : identificatore univoco per una delle istanze OAuth2Permission o AppRole esposte dall'applicazione di risorse. Elenco delimitato da spazi di <resource-access-id>.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

Valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az ad app permission grant

Concedere all'app autorizzazioni delegate per le API.

Quando si esegue questo comando, è necessario che esista un'entità servizio per l'app. Per creare un'entità servizio corrispondente, usare az ad sp create --id {appId}. Per Le autorizzazioni dell'applicazione, usare "autorizzazione per l'app pubblicitaria admin-consent".

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Esempio

Concedere a un'applicazione nativa le autorizzazioni per accedere a un'API esistente con durata (TTL) di 2 anni

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Parametri necessari

--api, --resource-id

ID dell'entità servizio risorsa a cui è autorizzato l'accesso. Identifica l'API autorizzata dal client a tentare di chiamare per conto di un utente connesso.

--id, --client-id

ID dell'entità servizio client per l'applicazione autorizzata ad agire per conto di un utente connesso durante l'accesso a un'API.

--scope

Elenco separato da spazi dei valori dell'attestazione per le autorizzazioni delegate che devono essere incluse nei token di accesso per l'applicazione di risorse (l'API). Ad esempio, openid User.Read GroupMember.Read.All. Ogni valore di attestazione deve corrispondere al campo valore di una delle autorizzazioni delegate definite dall'API, elencate nella proprietà oauth2PermissionScopes dell'entità servizio risorse.

Parametri facoltativi

--consent-type

Indica se l'autorizzazione viene concessa all'applicazione client per rappresentare tutti gli utenti o solo un utente specifico. 'AllPrincipals' indica l'autorizzazione per rappresentare tutti gli utenti. 'Principal' indica l'autorizzazione per rappresentare un utente specifico. Il consenso per conto di tutti gli utenti può essere concesso da un amministratore. Gli utenti non amministratori possono essere autorizzati a fornire il consenso per conto di se stessi in alcuni casi, per alcune autorizzazioni delegate.

Valori accettati: AllPrincipals, Principal

Valore predefinito: AllPrincipals

--principal-id

ID dell'utente per conto del quale il client è autorizzato ad accedere alla risorsa, quando consentType è "Principal". Se consentType è 'AllPrincipals' questo valore è null. Obbligatorio quando consentType è 'Principal'.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

Valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az ad app permission list

Elencare le autorizzazioni API richieste dall'applicazione.

az ad app permission list --id

Esempio

Elencare le autorizzazioni OAuth2 per un'applicazione.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Parametri necessari

--id

URI identificatore, ID applicazione o ID oggetto dell'applicazione associata.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

Valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az ad app permission list-grants

Elencare le concessioni di autorizzazione Oauth2.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Esempio

elencare le autorizzazioni oauth2 concesse all'entità servizio

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Parametri facoltativi

--filter

Filtro OData, ad esempio --filter "displayname eq 'test' e servicePrincipalType eq 'Application'".

--id

URI identificatore, ID applicazione o ID oggetto.

--show-resource-name -r

Mostra il nome visualizzato della risorsa.

Valori accettati: false, true

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

Valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.