az ad app permission

Zarządzanie uprawnieniami OAuth2 aplikacji.

Polecenia

Nazwa	Opis	Typ	Stan
az ad app permission add	Dodaj uprawnienie interfejsu API.	Podstawowe funkcje	Ogólna dostępność
az ad app permission admin-consent	Udziel uprawnień aplikacji i delegowanych za pośrednictwem zgody administratora.	Podstawowe funkcje	Ogólna dostępność
az ad app permission delete	Usuń uprawnienie interfejsu API.	Podstawowe funkcje	Ogólna dostępność
az ad app permission grant	Przyznaj aplikacji uprawnienia delegowane interfejsu API.	Podstawowe funkcje	Ogólna dostępność
az ad app permission list	Wyświetlanie listy uprawnień interfejsu API żądanych przez aplikację.	Podstawowe funkcje	Ogólna dostępność
az ad app permission list-grants	Wyświetlanie listy uprawnień Oauth2.	Podstawowe funkcje	Ogólna dostępność

az ad app permission add

Dodaj uprawnienie interfejsu API.

Aby ją aktywować, konieczne jest wywołanie polecenia "az ad app permission grant".

Aby uzyskać dostępne uprawnienia aplikacji zasobów, uruchom polecenie az ad sp show --id <resource-appId>. Aby na przykład uzyskać dostępne uprawnienia dla interfejsu API programu Microsoft Graph, uruchom polecenie az ad sp show --id 00000003-0000-0000-c000-000000000000. Uprawnienia aplikacji w appRoles ramach właściwości odpowiadają Role właściwości w obszarze --api-permissions. Uprawnienia delegowane w oauth2Permissions ramach właściwości odpowiadają Scope właściwości --api-permissions.

Aby uzyskać szczegółowe informacje na temat uprawnień programu Microsoft Graph, zobacz https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id

Przykłady

Dodawanie uprawnienia delegowanego programu Microsoft Graph User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Dodaj uprawnienie aplikacji microsoft Graph Application.ReadWrite.All

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Parametry wymagane

--api

RequiredResourceAccess.resourceAppId — unikatowy identyfikator zasobu, do którego aplikacja wymaga dostępu. Ta wartość powinna być równa identyfikatorowi appId zadeklarowanej w aplikacji zasobów docelowych.

--api-permissions

Rozdzielona spacjami lista {id}={type}. {id} jest resourceAccess.id — unikatowy identyfikator jednego z wystąpień oauth2PermissionScopes lub appRole udostępnianych przez aplikację zasobów. {type} to resourceAccess.type — określa, czy właściwość id odwołuje się do elementu oauth2PermissionScopes, czy appRole. Możliwe wartości to: Zakres (dla zakresów uprawnień OAuth 2.0) lub Rola (dla ról aplikacji).

--id

Identyfikator URI, identyfikator aplikacji lub identyfikator obiektu.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

akceptowane wartości: json, jsonc, none, table, tsv, yaml, yamlc

wartość domyślna: json

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.

az ad app permission admin-consent

Udziel uprawnień aplikacji i delegowanych za pośrednictwem zgody administratora.

Musisz zalogować się jako administrator globalny.

az ad app permission admin-consent --id

Przykłady

Udziel uprawnień aplikacji i delegowanych za pośrednictwem zgody administratora. (automatycznie wygenerowane)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000

Parametry wymagane

--id

Identyfikator URI, identyfikator aplikacji lub identyfikator obiektu.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

akceptowane wartości: json, jsonc, none, table, tsv, yaml, yamlc

wartość domyślna: json

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.

az ad app permission delete

Usuń uprawnienie interfejsu API.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Przykłady

Usuń uprawnienia programu Microsoft Graph.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Usuwanie uprawnienia delegowanego programu Microsoft Graph User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Parametry wymagane

--api

RequiredResourceAccess.resourceAppId — unikatowy identyfikator zasobu, do którego aplikacja wymaga dostępu. Ta wartość powinna być równa identyfikatorowi appId zadeklarowanej w aplikacji zasobów docelowych.

--id

Identyfikator URI, identyfikator aplikacji lub identyfikator obiektu.

Parametry opcjonalne

--api-permissions

Określ ResourceAccess.id — unikatowy identyfikator jednego z wystąpień OAuth2Permission lub AppRole udostępnianych przez aplikację zasobów. Rozdzielona spacjami lista .<resource-access-id>

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

akceptowane wartości: json, jsonc, none, table, tsv, yaml, yamlc

wartość domyślna: json

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.

az ad app permission grant

Przyznaj aplikacji uprawnienia delegowane interfejsu API.

Jednostka usługi musi istnieć dla aplikacji podczas uruchamiania tego polecenia. Aby utworzyć odpowiednią jednostkę usługi, użyj polecenia az ad sp create --id {appId}. W przypadku uprawnień aplikacji użyj opcji "Zgoda administratora uprawnień aplikacji reklamowej".

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Przykłady

Udzielanie aplikacji natywnej z uprawnieniami dostępu do istniejącego interfejsu API przy użyciu czasu wygaśnięcia 2 lat

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Parametry wymagane

--api, --resource-id

Identyfikator jednostki usługi zasobów, do której jest autoryzowany dostęp. Określa interfejs API, który klient ma autoryzację do próby wywołania w imieniu zalogowanego użytkownika.

--id, --client-id

Identyfikator jednostki usługi klienta dla aplikacji, która jest autoryzowana do działania w imieniu zalogowanego użytkownika podczas uzyskiwania dostępu do interfejsu API.

--scope

Rozdzielona spacjami lista wartości oświadczeń dla delegowanych uprawnień, które powinny być uwzględnione w tokenach dostępu dla aplikacji zasobów (interfejs API). Na przykład openid User.Read GroupMember.Read.All. Każda wartość oświadczenia powinna być zgodna z polem wartości jednego z delegowanych uprawnień zdefiniowanych przez interfejs API wymienionych we właściwości oauth2PermissionScopes jednostki usługi zasobów.

Parametry opcjonalne

--consent-type

Wskazuje, czy dla aplikacji klienckiej udzielono autoryzacji personifikacji wszystkich użytkowników, czy tylko określonego użytkownika. Element "AllPrincipals" wskazuje autoryzację personifikacji wszystkich użytkowników. "Podmiot zabezpieczeń" wskazuje autoryzację personifikacji określonego użytkownika. Zgoda w imieniu wszystkich użytkowników może zostać udzielona przez administratora. W niektórych przypadkach użytkownicy niebędący administratorami mogą mieć uprawnienia do wyrażania zgody w imieniu siebie w przypadku niektórych delegowanych uprawnień.

akceptowane wartości: AllPrincipals, Principal

wartość domyślna: AllPrincipals

--principal-id

Identyfikator użytkownika w imieniu którego klient ma uprawnienia dostępu do zasobu, gdy wartość consentType to "Principal". Jeśli parametr consentType ma wartość "AllPrincipals", ta wartość ma wartość null. Wymagane, gdy parametr consentType ma wartość "Principal".

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

akceptowane wartości: json, jsonc, none, table, tsv, yaml, yamlc

wartość domyślna: json

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.

az ad app permission list

Wyświetlanie listy uprawnień interfejsu API żądanych przez aplikację.

az ad app permission list --id

Przykłady

Wyświetl listę uprawnień protokołu OAuth2 dla aplikacji.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Parametry wymagane

--id

Identyfikator URI, identyfikator aplikacji lub identyfikator obiektu skojarzonej aplikacji.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

akceptowane wartości: json, jsonc, none, table, tsv, yaml, yamlc

wartość domyślna: json

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.

az ad app permission list-grants

Wyświetlanie listy uprawnień Oauth2.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Przykłady

wyświetlanie listy uprawnień oauth2 przyznanych jednostce usługi

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Parametry opcjonalne

--filter

Filtr OData, np. --filter "displayname eq 'test' and servicePrincipalType eq 'Application'".

--id

Identyfikator URI, identyfikator aplikacji lub identyfikator obiektu.

--show-resource-name -r

Pokaż nazwę wyświetlaną zasobu.

akceptowane wartości: false, true

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

akceptowane wartości: json, jsonc, none, table, tsv, yaml, yamlc

wartość domyślna: json

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.