Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dokumentacja poleceń interfejsu wiersza polecenia
Udostępnia opcje wykonywania zapytań dotyczących Microsoft Entra ID informacji o agencie, w tym zakresów, uprawnień i stanu zgody. Możesz sprawdzić konfigurację i stan zgody dla strategii agenta i wystąpień agenta.
Wymagana minimalna rola: Czytelnik katalogów
Syntax
a365 query-entra [command] [options]
Opcje
| Option | Description |
|---|---|
-?, , -h--help |
Pokaż informacje pomocy i użycia |
query-entra blueprint-scopes
Wypisz uprawnienia delegowane i aplikacyjne zadeklarowane przez aplikację Agent Blueprint.
a365 query-entra blueprint-scopes [options]
To polecenie pobiera i wyświetla delegowane zakresy oraz przypisania ról aplikacji przydzielone na principale usługi blueprint w Microsoft Entra ID. Ten wynik odpowiada temu, co widzisz w blade uprawnień API w centrum administracyjnym Entra dla aplikacji blueprint.
blueprint-scopes Opcje
| Option | Description |
|---|---|
-n, --agent-name <name> |
Nazwa bazy agenta. Gdy udostępniasz tę opcję, nie potrzebujesz pliku konfiguracyjnego. |
--tenant-id <tenantId> |
Identyfikator dzierżawcy usługi Azure AD. Overrides autodetection. Użyj z --agent-name. |
-?, , -h--help |
Pokaż informacje o pomocy i użyciu. |
query-entra inheritance
Sprawdź, czy dziedziczne uprawnienia blueprintu są poprawnie skonfigurowane i czy tożsamości agentów faktycznie je dziedziczą.
a365 query-entra inheritance [options]
To polecenie sprawdza dwie rzeczy dla każdego zasobu skonfigurowanego na blueprint:
- Wpis
inheritablePermissionsw planie wykorzystujekind=allAllowedzarówno zakresy, jak i role (wymaganą konfigurację). - Principal usługi blueprint faktycznie przyznaje uprawnienia do tego zasobu (bez grantów nie ma nic do dziedziczenia, nawet jeśli konfiguracja jest poprawna).
Dla każdego zasobu komenda raportuje:
-
Scopes: OK— jest ustawiane ikind=allAlloweddelegowane uprawnienia są przyznawane na blueprint SP. -
Scopes: WARN— kind=allAllowed' jest ustawione, ale nie są przyznawane żadne delegowane uprawnienia lub wpis korzysta z dziedziczonej formy wyliczanej. -
Roles: OK—kind=allAllowedjest ustawione, a przypisania ról aplikacji są przyznawane na blueprint SP. -
Roles: WARN—te same warunki co Scopes WARN, dla ról w aplikacji. -
Effective inheritance: OK—obie strony są iallAllowedistnieje przynajmniej jeden grant. Tożsamości agentów utworzone na podstawie tego blueprintu odziedziczą uprawnienia dla tego zasobu. -
Effective inheritance: NONE—konfiguracja jest poprawna, ale na blueprint SP nie ma żadnych grantów. Uruchamiaja365 setup permissionsjako Globalny Administrator, aby dodawać granty. -
Effective inheritance: BROKEN—wpis nie jest używanyallAllowedpo jednej ani obu stronach. Biegnij,a365 setup permissionsżeby się pogodzić.
Polecenie kończy się kodem 1 , jeśli jakiś zasób ma status inny niż Effective inheritance: OK. Użyj tego polecenia, aby potwierdzić, że plan jest gotowy przed utworzeniem tożsamości agentów lub zdiagnozować, dlaczego tożsamości agentów nie otrzymują oczekiwanych uprawnień.
inheritance Opcje
| Option | Description |
|---|---|
-n, --agent-name <name> |
Nazwa bazy agenta. Gdy udostępniasz tę opcję, nie potrzebujesz pliku konfiguracyjnego. |
--tenant-id <tenantId> |
Identyfikator dzierżawcy usługi Azure AD. Overrides autodetection. Użyj z --agent-name. |
-?, , -h--help |
Pokaż informacje o pomocy i użyciu. |
Tip
Jeśli Effective inheritance: NONE pojawia się w jednym lub kilku zasobach, najczęstszą przyczyną jest brak wids opcjonalnego zgłoszenia w aplikacji klienta. Biegnij, a365 setup requirements żeby wykryć i naprawić to automatycznie.
query-entra instance-scopes
Wyświetl listę skonfigurowanych zakresów i stan zgody dla wystąpienia agenta.
a365 query-entra instance-scopes [options]
To polecenie pobiera i wyświetla skonfigurowane zakresy oraz ich stan zgody dla aplikacji wystąpienia agenta w Microsoft Entra ID.
instance-scopes Opcje
| Option | Description |
|---|---|
-n, --agent-name <name> |
Nazwa bazy agenta. Gdy udostępniasz tę opcję, nie potrzebujesz pliku konfiguracyjnego. |
--tenant-id <tenantId> |
Identyfikator dzierżawcy usługi Azure AD. Overrides autodetection. Użyj z --agent-name. |
-v, --verbose |
Włącz pełne rejestrowanie. |
-?, , -h--help |
Pokaż informacje o pomocy i użyciu. |
Note
Odczyt przyznawania uprawnień OAuth2 dla całego dzierżawcy wymaga zakresu wyłącznie administracyjnego DelegatedPermissionGrant.Read.All . Jeśli zalogujesz się bez tego zakresu, polecenie kieruje cię do centrum administracyjne Microsoft Entra, aby zweryfikować status zgody, zamiast zgłaszać "zgoda administratora nie została przyznana".