az ad app permission
Gerenciar as permissões OAuth2 de um aplicativo.
Comandos
Nome | Description | Tipo | Status |
---|---|---|---|
az ad app permission add |
Adicione uma permissão de API. |
Núcleo | GA |
az ad app permission admin-consent |
Conceda permissões de Aplicativo & Delegadas por meio de consentimento do administrador. |
Núcleo | GA |
az ad app permission delete |
Remova uma permissão de API. |
Núcleo | GA |
az ad app permission grant |
Conceda ao aplicativo permissões de API Delegada. |
Núcleo | GA |
az ad app permission list |
Listar permissões de API solicitadas pelo aplicativo. |
Núcleo | GA |
az ad app permission list-grants |
Listar concessões de permissão Oauth2. |
Núcleo | GA |
az ad app permission add
Adicione uma permissão de API.
Invocar "az ad app permission grant" é necessário para ativá-lo.
Para obter permissões disponíveis do aplicativo de recurso, execute az ad sp show --id <resource-appId>
. Por exemplo, para obter permissões disponíveis para a API do Microsoft Graph, execute az ad sp show --id 00000003-0000-0000-c000-000000000000
. As permissões de appRoles
aplicativo na propriedade correspondem a Role
--api-permissions. As permissões delegadas na oauth2Permissions
propriedade correspondem a Scope
--api-permissions.
Para obter detalhes sobre as permissões do Microsoft Graph, consulte https://learn.microsoft.com/graph/permissions-reference.
az ad app permission add --api
--api-permissions
--id
Exemplos
Adicionar permissão delegada do Microsoft Graph User.Read
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope
Adicionar permissão de aplicativo do Microsoft Graph Application.ReadWrite.All
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role
Parâmetros Exigidos
RequiredResourceAccess.resourceAppId - O identificador exclusivo do recurso ao qual o aplicativo requer acesso. Isso deve ser igual ao appId declarado no aplicativo de recurso de destino.
Lista separada por espaço de {id}={type}. {id} é resourceAccess.id - O identificador exclusivo de uma das instâncias oauth2PermissionScopes ou appRole que o aplicativo de recurso expõe. {type} is resourceAccess.type - Especifica se a propriedade id faz referência a um oauth2PermissionScopes ou a um appRole. Os valores possíveis são: Escopo (para escopos de permissão do OAuth 2.0) ou Função (para funções de aplicativo).
Uri do identificador, id do aplicativo ou id do objeto.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az ad app permission admin-consent
Conceda permissões de Aplicativo & Delegadas por meio de consentimento do administrador.
Você deve fazer login como administrador global.
az ad app permission admin-consent --id
Exemplos
Conceda permissões de Aplicativo & Delegadas por meio de consentimento do administrador. (gerado automaticamente)
az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
Parâmetros Exigidos
Uri do identificador, id do aplicativo ou id do objeto.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az ad app permission delete
Remova uma permissão de API.
az ad app permission delete --api
--id
[--api-permissions]
Exemplos
Remova as permissões do Microsoft Graph.
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000
Remover permissão delegada do Microsoft Graph User.Read
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d
Parâmetros Exigidos
RequiredResourceAccess.resourceAppId - O identificador exclusivo do recurso ao qual o aplicativo requer acesso. Isso deve ser igual ao appId declarado no aplicativo de recurso de destino.
Uri do identificador, id do aplicativo ou id do objeto.
Parâmetros Opcionais
Especificar ResourceAccess.id
- O identificador exclusivo de uma das instâncias OAuth2Permission ou AppRole que o aplicativo de recurso expõe. Lista separada por espaço de <resource-access-id>
.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az ad app permission grant
Conceda ao aplicativo permissões de API Delegada.
Uma entidade de serviço deve existir para o aplicativo ao executar esse comando. Para criar uma entidade de serviço correspondente, use az ad sp create --id {appId}
.
Para permissões do aplicativo, use "ad app permission admin-consent".
az ad app permission grant --api,
--id,
--scope
[--consent-type {AllPrincipals, Principal}]
[--principal-id]
Exemplos
Conceda um aplicativo nativo com permissões para acessar uma API existente com TTL de 2 anos
az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All
Parâmetros Exigidos
A id da entidade de serviço de recurso à qual o acesso é autorizado. Isso identifica a API que o cliente está autorizado a tentar chamar em nome de um usuário conectado.
A id da entidade de serviço do cliente para o aplicativo que está autorizado a agir em nome de um usuário conectado ao acessar uma API.
Uma lista separada por espaço dos valores de declaração para permissões delegadas que devem ser incluídas em tokens de acesso para o aplicativo de recurso (a API). Por exemplo, openid User.Read GroupMember.Read.All. Cada valor de declaração deve corresponder ao campo de valor de uma das permissões delegadas definidas pela API, listadas na propriedade oauth2PermissionScopes da entidade de serviço de recurso.
Parâmetros Opcionais
Indica se a autorização é concedida para o aplicativo cliente representar todos os usuários ou apenas um usuário específico. 'AllPrincipals' indica autorização para se passar por todos os usuários. 'Principal' indica autorização para se passar por um usuário específico. O consentimento em nome de todos os usuários pode ser concedido por um administrador. Usuários não administradores podem ser autorizados a consentir em nome de si mesmos em alguns casos, para algumas permissões delegadas.
O id do usuário em nome do qual o cliente está autorizado a acessar o recurso, quando consentType é 'Principal'. Se consentType for 'AllPrincipals', esse valor será null. Obrigatório quando consentType é 'Principal'.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az ad app permission list
Listar permissões de API solicitadas pelo aplicativo.
az ad app permission list --id
Exemplos
Liste as permissões OAuth2 para um aplicativo.
az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234
Parâmetros Exigidos
Uri do identificador, id do aplicativo ou id do objeto do aplicativo associado.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az ad app permission list-grants
Listar concessões de permissão Oauth2.
az ad app permission list-grants [--filter]
[--id]
[--show-resource-name {false, true}]
Exemplos
Listar permissões OAuth2 concedidas à entidade de serviço
az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456
Parâmetros Opcionais
Filtro OData, por exemplo, --filter "displayname eq 'test' e servicePrincipalType eq 'Application'".
Uri do identificador, id do aplicativo ou id do objeto.
Mostrar o nome de exibição do recurso.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.