Compartilhar via


az ad app permission

Gerenciar as permissões OAuth2 de um aplicativo.

Comandos

Nome Description Tipo Status
az ad app permission add

Adicione uma permissão de API.

Núcleo GA
az ad app permission admin-consent

Conceda permissões de Aplicativo & Delegadas por meio de consentimento do administrador.

Núcleo GA
az ad app permission delete

Remova uma permissão de API.

Núcleo GA
az ad app permission grant

Conceda ao aplicativo permissões de API Delegada.

Núcleo GA
az ad app permission list

Listar permissões de API solicitadas pelo aplicativo.

Núcleo GA
az ad app permission list-grants

Listar concessões de permissão Oauth2.

Núcleo GA

az ad app permission add

Adicione uma permissão de API.

Invocar "az ad app permission grant" é necessário para ativá-lo.

Para obter permissões disponíveis do aplicativo de recurso, execute az ad sp show --id <resource-appId>. Por exemplo, para obter permissões disponíveis para a API do Microsoft Graph, execute az ad sp show --id 00000003-0000-0000-c000-000000000000. As permissões de appRoles aplicativo na propriedade correspondem a Role --api-permissions. As permissões delegadas na oauth2Permissions propriedade correspondem a Scope --api-permissions.

Para obter detalhes sobre as permissões do Microsoft Graph, consulte https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id

Exemplos

Adicionar permissão delegada do Microsoft Graph User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Adicionar permissão de aplicativo do Microsoft Graph Application.ReadWrite.All

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Parâmetros Exigidos

--api

RequiredResourceAccess.resourceAppId - O identificador exclusivo do recurso ao qual o aplicativo requer acesso. Isso deve ser igual ao appId declarado no aplicativo de recurso de destino.

--api-permissions

Lista separada por espaço de {id}={type}. {id} é resourceAccess.id - O identificador exclusivo de uma das instâncias oauth2PermissionScopes ou appRole que o aplicativo de recurso expõe. {type} is resourceAccess.type - Especifica se a propriedade id faz referência a um oauth2PermissionScopes ou a um appRole. Os valores possíveis são: Escopo (para escopos de permissão do OAuth 2.0) ou Função (para funções de aplicativo).

--id

Uri do identificador, id do aplicativo ou id do objeto.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

Conceda permissões de Aplicativo & Delegadas por meio de consentimento do administrador.

Você deve fazer login como administrador global.

az ad app permission admin-consent --id

Conceda permissões de Aplicativo & Delegadas por meio de consentimento do administrador. (gerado automaticamente)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
--id

Uri do identificador, id do aplicativo ou id do objeto.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az ad app permission delete

Remova uma permissão de API.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Exemplos

Remova as permissões do Microsoft Graph.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Remover permissão delegada do Microsoft Graph User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Parâmetros Exigidos

--api

RequiredResourceAccess.resourceAppId - O identificador exclusivo do recurso ao qual o aplicativo requer acesso. Isso deve ser igual ao appId declarado no aplicativo de recurso de destino.

--id

Uri do identificador, id do aplicativo ou id do objeto.

Parâmetros Opcionais

--api-permissions

Especificar ResourceAccess.id - O identificador exclusivo de uma das instâncias OAuth2Permission ou AppRole que o aplicativo de recurso expõe. Lista separada por espaço de <resource-access-id>.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az ad app permission grant

Conceda ao aplicativo permissões de API Delegada.

Uma entidade de serviço deve existir para o aplicativo ao executar esse comando. Para criar uma entidade de serviço correspondente, use az ad sp create --id {appId}. Para permissões do aplicativo, use "ad app permission admin-consent".

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Exemplos

Conceda um aplicativo nativo com permissões para acessar uma API existente com TTL de 2 anos

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Parâmetros Exigidos

--api, --resource-id

A id da entidade de serviço de recurso à qual o acesso é autorizado. Isso identifica a API que o cliente está autorizado a tentar chamar em nome de um usuário conectado.

--id, --client-id

A id da entidade de serviço do cliente para o aplicativo que está autorizado a agir em nome de um usuário conectado ao acessar uma API.

--scope

Uma lista separada por espaço dos valores de declaração para permissões delegadas que devem ser incluídas em tokens de acesso para o aplicativo de recurso (a API). Por exemplo, openid User.Read GroupMember.Read.All. Cada valor de declaração deve corresponder ao campo de valor de uma das permissões delegadas definidas pela API, listadas na propriedade oauth2PermissionScopes da entidade de serviço de recurso.

Parâmetros Opcionais

--consent-type

Indica se a autorização é concedida para o aplicativo cliente representar todos os usuários ou apenas um usuário específico. 'AllPrincipals' indica autorização para se passar por todos os usuários. 'Principal' indica autorização para se passar por um usuário específico. O consentimento em nome de todos os usuários pode ser concedido por um administrador. Usuários não administradores podem ser autorizados a consentir em nome de si mesmos em alguns casos, para algumas permissões delegadas.

Valores aceitos: AllPrincipals, Principal
Valor padrão: AllPrincipals
--principal-id

O id do usuário em nome do qual o cliente está autorizado a acessar o recurso, quando consentType é 'Principal'. Se consentType for 'AllPrincipals', esse valor será null. Obrigatório quando consentType é 'Principal'.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az ad app permission list

Listar permissões de API solicitadas pelo aplicativo.

az ad app permission list --id

Exemplos

Liste as permissões OAuth2 para um aplicativo.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Parâmetros Exigidos

--id

Uri do identificador, id do aplicativo ou id do objeto do aplicativo associado.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az ad app permission list-grants

Listar concessões de permissão Oauth2.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Exemplos

Listar permissões OAuth2 concedidas à entidade de serviço

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Parâmetros Opcionais

--filter

Filtro OData, por exemplo, --filter "displayname eq 'test' e servicePrincipalType eq 'Application'".

--id

Uri do identificador, id do aplicativo ou id do objeto.

--show-resource-name -r

Mostrar o nome de exibição do recurso.

Valores aceitos: false, true
Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.