다음을 통해 공유


az ad app permission

애플리케이션의 OAuth2 권한을 관리합니다.

명령

Name Description 형식 상태
az ad app permission add

API 권한을 추가합니다.

핵심 GA
az ad app permission admin-consent

관리자 동의를 통해 애플리케이션 및 위임된 권한을 부여합니다.

핵심 GA
az ad app permission delete

API 권한을 제거합니다.

핵심 GA
az ad app permission grant

앱에 API 위임 권한을 부여합니다.

핵심 GA
az ad app permission list

애플리케이션이 요청한 API 권한을 나열합니다.

핵심 GA
az ad app permission list-grants

Oauth2 권한 부여를 나열합니다.

핵심 GA

az ad app permission add

API 권한을 추가합니다.

활성화하려면 "az ad app permission grant"를 호출해야 합니다.

리소스 앱의 사용 가능한 권한을 얻으려면 다음을 실행 az ad sp show --id <resource-appId>합니다. 예를 들어 Microsoft Graph API에 사용 가능한 권한을 얻으려면 다음을 실행 az ad sp show --id 00000003-0000-0000-c000-000000000000합니다. 속성 아래의 appRoles 애플리케이션 사용 권한은 --api-permissions에 해당 Role 합니다. 속성 아래 oauth2Permissions 의 위임된 권한은 --api-permissions에 해당 Scope 합니다.

Microsoft Graph 권한에 대한 자세한 내용은 다음을 참조하세요 https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id

예제

Microsoft Graph 위임 권한 User.Read 추가

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Microsoft Graph 애플리케이션 권한 Application.ReadWrite.All 추가

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

필수 매개 변수

--api

RequiredResourceAccess.resourceAppId - 애플리케이션에 액세스해야 하는 리소스의 고유 식별자입니다. 이는 대상 리소스 애플리케이션에 선언된 appId와 같아야 합니다.

--api-permissions

{id}={type}의 공백으로 구분된 목록입니다. {id}는 resourceAccess.id - 리소스 애플리케이션이 노출하는 oauth2PermissionScopes 또는 appRole 인스턴스 중 하나에 대한 고유 식별자입니다. {type}은 resourceAccess.type - id 속성이 oauth2PermissionScopes 또는 appRole을 참조하는지 여부를 지정합니다. 가능한 값은 범위(OAuth 2.0 권한 범위의 경우) 또는 역할(앱 역할의 경우)입니다.

--id

식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.

전역 매개 변수
--debug

로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.

--help -h

이 도움말 메시지를 표시하고 종료합니다.

--only-show-errors

오류만 표시하고, 경고를 표시하지 않습니다.

--output -o

출력 형식입니다.

허용되는 값: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.

--subscription

구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID를 사용하여 기본 위치를 구성할 수 있습니다.

--verbose

로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.

관리자 동의를 통해 애플리케이션 및 위임된 권한을 부여합니다.

전역 관리자로 로그인해야 합니다.

az ad app permission admin-consent --id

관리자 동의를 통해 애플리케이션 및 위임된 권한을 부여합니다. (자동 생성됨)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
--id

식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.

전역 매개 변수
--debug

로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.

--help -h

이 도움말 메시지를 표시하고 종료합니다.

--only-show-errors

오류만 표시하고, 경고를 표시하지 않습니다.

--output -o

출력 형식입니다.

허용되는 값: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.

--subscription

구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID를 사용하여 기본 위치를 구성할 수 있습니다.

--verbose

로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.

az ad app permission delete

API 권한을 제거합니다.

az ad app permission delete --api
                            --id
                            [--api-permissions]

예제

Microsoft Graph 권한을 제거합니다.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Microsoft Graph 위임 권한 사용자 제거.읽기

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

필수 매개 변수

--api

RequiredResourceAccess.resourceAppId - 애플리케이션에 액세스해야 하는 리소스의 고유 식별자입니다. 이는 대상 리소스 애플리케이션에 선언된 appId와 같아야 합니다.

--id

식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.

선택적 매개 변수

--api-permissions

지정 ResourceAccess.id - 리소스 애플리케이션이 노출하는 OAuth2Permission 또는 AppRole 인스턴스 중 하나에 대한 고유 식별자입니다. 공백으로 구분된 .<resource-access-id>

전역 매개 변수
--debug

로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.

--help -h

이 도움말 메시지를 표시하고 종료합니다.

--only-show-errors

오류만 표시하고, 경고를 표시하지 않습니다.

--output -o

출력 형식입니다.

허용되는 값: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.

--subscription

구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID를 사용하여 기본 위치를 구성할 수 있습니다.

--verbose

로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.

az ad app permission grant

앱에 API 위임 권한을 부여합니다.

이 명령을 실행할 때 앱에 대한 서비스 주체가 있어야 합니다. 해당 서비스 주체를 만들려면 .를 사용합니다 az ad sp create --id {appId}. 애플리케이션 사용 권한의 경우 "광고 앱 권한 관리자 동의"를 사용하세요.

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

예제

TTL이 2년인 기존 API에 액세스할 수 있는 권한이 있는 네이티브 애플리케이션 부여

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

필수 매개 변수

--api, --resource-id

액세스 권한이 부여된 리소스 서비스 주체의 ID입니다. 그러면 로그인한 사용자를 대신하여 호출을 시도할 수 있는 권한이 클라이언트에 부여된 API가 식별됩니다.

--id, --client-id

API에 액세스할 때 로그인한 사용자를 대신하여 작업할 권한이 있는 애플리케이션에 대한 클라이언트 서비스 주체의 ID입니다.

--scope

리소스 애플리케이션(API)에 대한 액세스 토큰에 포함되어야 하는 위임된 권한에 대한 클레임 값의 공백으로 구분된 목록입니다. 예를 들어 openid User.Read GroupMember.Read.All입니다. 각 클레임 값은 리소스 서비스 주체의 oauth2PermissionScopes 속성에 나열된 API에서 정의한 위임된 권한 중 하나의 값 필드와 일치해야 합니다.

선택적 매개 변수

--consent-type

클라이언트 애플리케이션이 모든 사용자 또는 특정 사용자만 가장할 수 있도록 권한 부여를 부여할지 여부를 나타냅니다. 'AllPrincipals'는 모든 사용자를 가장하기 위한 권한 부여를 나타냅니다. '보안 주체'는 특정 사용자를 가장하기 위한 권한 부여를 나타냅니다. 관리자가 모든 사용자를 대신하여 동의를 부여할 수 있습니다. 관리자가 아닌 사용자는 일부 위임된 권한에 대해 자신을 대신하여 동의할 수 있는 권한을 부여받을 수 있습니다.

허용되는 값: AllPrincipals, Principal
Default value: AllPrincipals
--principal-id

consentType이 '보안 주체'인 경우 클라이언트가 리소스에 액세스할 수 있는 권한이 있는 사용자를 대신하여 사용자의 ID입니다. consentType이 'AllPrincipals'이면 이 값은 null입니다. consentType이 'Principal'인 경우 필요합니다.

전역 매개 변수
--debug

로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.

--help -h

이 도움말 메시지를 표시하고 종료합니다.

--only-show-errors

오류만 표시하고, 경고를 표시하지 않습니다.

--output -o

출력 형식입니다.

허용되는 값: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.

--subscription

구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID를 사용하여 기본 위치를 구성할 수 있습니다.

--verbose

로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.

az ad app permission list

애플리케이션이 요청한 API 권한을 나열합니다.

az ad app permission list --id

예제

애플리케이션에 대한 OAuth2 권한을 나열합니다.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

필수 매개 변수

--id

연결된 애플리케이션의 식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.

전역 매개 변수
--debug

로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.

--help -h

이 도움말 메시지를 표시하고 종료합니다.

--only-show-errors

오류만 표시하고, 경고를 표시하지 않습니다.

--output -o

출력 형식입니다.

허용되는 값: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.

--subscription

구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID를 사용하여 기본 위치를 구성할 수 있습니다.

--verbose

로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.

az ad app permission list-grants

Oauth2 권한 부여를 나열합니다.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

예제

서비스 주체에게 부여된 oauth2 권한 나열

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

선택적 매개 변수

--filter

OData 필터(예: --filter "displayname eq 'test' and servicePrincipalType eq 'Application'")

--id

식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.

--show-resource-name -r

리소스의 표시 이름을 표시합니다.

허용되는 값: false, true
전역 매개 변수
--debug

로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.

--help -h

이 도움말 메시지를 표시하고 종료합니다.

--only-show-errors

오류만 표시하고, 경고를 표시하지 않습니다.

--output -o

출력 형식입니다.

허용되는 값: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.

--subscription

구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID를 사용하여 기본 위치를 구성할 수 있습니다.

--verbose

로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.