az ad app permission

De OAuth2-machtigingen van een toepassing beheren.

Opdracht

Name	Description	Type	Status
az ad app permission add	Voeg een API-machtiging toe.	Basis	GA
az ad app permission admin-consent	Ververleent toepassing en gedelegeerde machtigingen via beheerderstoestemming.	Basis	GA
az ad app permission delete	Een API-machtiging verwijderen.	Basis	GA
az ad app permission grant	Verdeel de app een gedelegeerde API-machtigingen.	Basis	GA
az ad app permission list	Api-machtigingen vermelden die de toepassing heeft aangevraagd.	Basis	GA
az ad app permission list-grants	Lijst met Oauth2-machtigingen verlenen.	Basis	GA

az ad app permission add

Voeg een API-machtiging toe.

Het aanroepen van 'az ad app permission grant' is nodig om deze te activeren.

Als u de beschikbare machtigingen van de resource-app wilt ophalen, voert u het volgende uit az ad sp show --id <resource-appId>. Als u bijvoorbeeld beschikbare machtigingen voor Microsoft Graph API wilt ophalen, voert u de opdracht uit az ad sp show --id 00000003-0000-0000-c000-000000000000. Toepassingsmachtigingen onder de appRoles eigenschap komen overeen met Role in --api-machtigingen. Gedelegeerde machtigingen onder de oauth2Permissions eigenschap komen overeen met Scope in --api-machtigingen.

Zie voor meer informatie over Microsoft Graph-machtigingen https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id

Voorbeelden

Gedelegeerde Microsoft Graph-machtiging User.Read toevoegen

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Microsoft Graph-toepassingsmachtiging Application.ReadWrite.All toevoegen

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Vereiste parameters

--api

RequiredResourceAccess.resourceAppId: de unieke id voor de resource waartoe de toepassing toegang nodig heeft. Dit moet gelijk zijn aan de appId die is gedeclareerd voor de doelresourcetoepassing.

--api-permissions

Door spaties gescheiden lijst van {id}={type}. {id} is resourceAccess.id : de unieke id voor een van de oauth2PermissionScopes- of appRole-exemplaren die door de resourcetoepassing worden weergegeven. {type} is resourceAccess.type - Geeft aan of de id-eigenschap verwijst naar een oauth2PermissionScopes of een appRole. De mogelijke waarden zijn: Bereik (voor OAuth 2.0-machtigingsbereiken) of Rol (voor app-rollen).

--id

Id-URI, toepassings-id of object-id.

Globale parameters

--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc

standaardwaarde: json

--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az ad app permission admin-consent

Ververleent toepassing en gedelegeerde machtigingen via beheerderstoestemming.

U moet zich aanmelden als globale beheerder.

az ad app permission admin-consent --id

Voorbeelden

Ververleent toepassing en gedelegeerde machtigingen via beheerderstoestemming. (automatisch gegenereerd)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000

Vereiste parameters

--id

Id-URI, toepassings-id of object-id.

Globale parameters

--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc

standaardwaarde: json

--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az ad app permission delete

Een API-machtiging verwijderen.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Voorbeelden

Verwijder Microsoft Graph-machtigingen.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Gedelegeerde Microsoft Graph-machtiging User.Read verwijderen

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Vereiste parameters

--api

RequiredResourceAccess.resourceAppId: de unieke id voor de resource waartoe de toepassing toegang nodig heeft. Dit moet gelijk zijn aan de appId die is gedeclareerd voor de doelresourcetoepassing.

--id

Id-URI, toepassings-id of object-id.

Optionele parameters

--api-permissions

Geef ResourceAccess.id op: de unieke id voor een van de OAuth2Permission- of AppRole-exemplaren die door de resourcetoepassing worden weergegeven. Door spaties gescheiden lijst van <resource-access-id>.

Globale parameters

--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc

standaardwaarde: json

--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az ad app permission grant

Verdeel de app een gedelegeerde API-machtigingen.

Er moet een service-principal bestaan voor de app wanneer u deze opdracht uitvoert. Als u een bijbehorende service-principal wilt maken, gebruikt u az ad sp create --id {appId}. Voor toepassingsmachtigingen gebruikt u 'beheerderstoestemming voor ad-app-machtigingen'.

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Voorbeelden

Een systeemeigen toepassing met machtigingen toegang verlenen tot een bestaande API met TTL van 2 jaar

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Vereiste parameters

--api, --resource-id

De id van de resourceservice-principal waartoe toegang is gemachtigd. Hiermee wordt de API geïdentificeerd die door de client wordt geautoriseerd om namens een aangemelde gebruiker aan te roepen.

--id, --client-id

De id van de clientservice-principal voor de toepassing die is gemachtigd om namens een aangemelde gebruiker te handelen bij het openen van een API.

--scope

Een door spaties gescheiden lijst met claimwaarden voor gedelegeerde machtigingen die moeten worden opgenomen in toegangstokens voor de resourcetoepassing (de API). Bijvoorbeeld openid User.Read GroupMember.Read.All. Elke claimwaarde moet overeenkomen met het waardeveld van een van de gedelegeerde machtigingen die zijn gedefinieerd door de API, vermeld in de eigenschap oauth2PermissionScopes van de resourceservice-principal.

Optionele parameters

--consent-type

Hiermee wordt aangegeven of er autorisatie wordt verleend voor de clienttoepassing om alle gebruikers of alleen een specifieke gebruiker te imiteren. 'AllPrincipals' geeft autorisatie aan om alle gebruikers te imiteren. Principal geeft autorisatie aan om een specifieke gebruiker te imiteren. Toestemming namens alle gebruikers kan worden verleend door een beheerder. Gebruikers die geen beheerder zijn, kunnen in sommige gevallen namens zichzelf toestemming geven voor bepaalde gedelegeerde machtigingen.

geaccepteerde waarden: AllPrincipals, Principal

standaardwaarde: AllPrincipals

--principal-id

De id van de gebruiker namens wie de client gemachtigd is voor toegang tot de resource, wanneer consentType principal is. Als consentType 'AllPrincipals' is, is deze waarde null. Vereist wanneer consentType principal is.

Globale parameters

--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc

standaardwaarde: json

--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az ad app permission list

Api-machtigingen vermelden die de toepassing heeft aangevraagd.

az ad app permission list --id

Voorbeelden

Geef de OAuth2-machtigingen voor een toepassing weer.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Vereiste parameters

--id

Id-URI, toepassings-id of object-id van de bijbehorende toepassing.

Globale parameters

--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc

standaardwaarde: json

--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az ad app permission list-grants

Lijst met Oauth2-machtigingen verlenen.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Voorbeelden

oauth2-machtigingen weergeven die zijn verleend aan de service-principal

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Optionele parameters

--filter

OData-filter, bijvoorbeeld --filter 'displayname eq 'test' en servicePrincipalType eq 'Application'.

--id

Id-URI, toepassings-id of object-id.

--show-resource-name -r

De weergavenaam van de resource weergeven.

geaccepteerde waarden: false, true

Globale parameters

--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc

standaardwaarde: json

--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.