az ad app permission
Gerencie as permissões OAuth2 de um aplicativo.
Comandos
| Name | Description | Tipo | Status |
|---|---|---|---|
| az ad app permission add |
Adicione uma permissão de API. |
Principal | GA |
| az ad app permission admin-consent |
Conceder permissões delegadas ao Aplicativo & por meio do consentimento do administrador. |
Principal | GA |
| az ad app permission delete |
Remova uma permissão de API. |
Principal | GA |
| az ad app permission grant |
Conceda ao aplicativo permissões delegadas de API. |
Principal | GA |
| az ad app permission list |
Listar permissões de API que o aplicativo solicitou. |
Principal | GA |
| az ad app permission list-grants |
Listar concessões de permissão Oauth2. |
Principal | GA |
az ad app permission add
Adicione uma permissão de API.
Invocar "az ad app permission grant" é necessário para ativá-lo.
Para obter permissões disponíveis do aplicativo de recurso, execute az ad sp show --id <resource-appId>. Por exemplo, para obter permissões disponíveis para a API do Microsoft Graph, execute az ad sp show --id 00000003-0000-0000-c000-000000000000. As permissões de aplicativo sob a appRoles propriedade correspondem a Role in --api-permissions. As permissões delegadas sob a oauth2Permissions propriedade correspondem a Scope in --api-permissions.
Para obter detalhes sobre as permissões do Microsoft Graph, consulte https://learn.microsoft.com/graph/permissions-reference.
az ad app permission add --api
--api-permissions
--idExemplos
Adicionar permissão delegada do Microsoft Graph User.Read
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=ScopeAdicionar permissão de aplicativo do Microsoft Graph Application.ReadWrite.All
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=RoleParâmetros Obrigatórios
RequiredResourceAccess.resourceAppId - O identificador exclusivo do recurso ao qual o aplicativo requer acesso. Isso deve ser igual ao appId declarado no aplicativo de recurso de destino.
Lista separada por espaço de {id}={type}. {id} é resourceAccess.id - O identificador exclusivo de uma das instâncias oauth2PermissionScopes ou appRole que o aplicativo de recurso expõe. {type} is resourceAccess.type - Especifica se a propriedade id faz referência a um oauth2PermissionScopes ou a um appRole. Os valores possíveis são: Escopo (para escopos de permissão do OAuth 2.0) ou Função (para funções de aplicativo).
Uri do identificador, ID do aplicativo ou ID do objeto.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
az ad app permission admin-consent
Conceder permissões delegadas ao Aplicativo & por meio do consentimento do administrador.
Tem de iniciar sessão como administrador global.
az ad app permission admin-consent --idExemplos
Conceder permissões delegadas ao Aplicativo & por meio do consentimento do administrador. (gerado automaticamente)
az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000Parâmetros Obrigatórios
Uri do identificador, ID do aplicativo ou ID do objeto.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
az ad app permission delete
Remova uma permissão de API.
az ad app permission delete --api
--id
[--api-permissions]Exemplos
Remova as permissões do Microsoft Graph.
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000Remover permissão delegada do Microsoft Graph User.Read
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683dParâmetros Obrigatórios
RequiredResourceAccess.resourceAppId - O identificador exclusivo do recurso ao qual o aplicativo requer acesso. Isso deve ser igual ao appId declarado no aplicativo de recurso de destino.
Uri do identificador, ID do aplicativo ou ID do objeto.
Parâmetros Opcionais
Specify ResourceAccess.id - O identificador exclusivo para uma das instâncias OAuth2Permission ou AppRole que o aplicativo de recurso expõe. Lista separada por espaços de <resource-access-id>.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
az ad app permission grant
Conceda ao aplicativo permissões delegadas de API.
Uma entidade de serviço deve existir para o aplicativo ao executar esse comando. Para criar uma entidade de serviço correspondente, use az ad sp create --id {appId}.
Para permissões de aplicativos, use "ad app permission admin-consent".
az ad app permission grant --api,
--id,
--scope
[--consent-type {AllPrincipals, Principal}]
[--principal-id]Exemplos
Conceda a um aplicativo nativo com permissões para acessar uma API existente com TTL de 2 anos
az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.AllParâmetros Obrigatórios
A id da entidade de serviço de recurso à qual o acesso é autorizado. Isso identifica a API que o cliente está autorizado a tentar chamar em nome de um usuário conectado.
A id da entidade de serviço do cliente para o aplicativo que está autorizado a agir em nome de um usuário conectado ao acessar uma API.
Uma lista separada por espaços dos valores de declaração para permissões delegadas que devem ser incluídas em tokens de acesso para o aplicativo de recurso (a API). Por exemplo, openid User.Read GroupMember.Read.All. Cada valor de declaração deve corresponder ao campo de valor de uma das permissões delegadas definidas pela API, listadas na propriedade oauth2PermissionScopes da entidade de serviço de recurso.
Parâmetros Opcionais
Indica se a autorização é concedida para que o aplicativo cliente represente todos os usuários ou apenas um usuário específico. 'AllPrincipals' indica autorização para se passar por todos os utilizadores. 'Principal' indica autorização para se fazer passar por um utilizador específico. O consentimento em nome de todos os usuários pode ser concedido por um administrador. Usuários não administradores podem ser autorizados a consentir em nome de si mesmos em alguns casos, para algumas permissões delegadas.
O id do usuário em nome do qual o cliente está autorizado a acessar o recurso, quando consentType é 'Principal'. Se consentType for 'AllPrincipals', esse valor será null. Obrigatório quando consentType é 'Principal'.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
az ad app permission list
Listar permissões de API que o aplicativo solicitou.
az ad app permission list --idExemplos
Liste as permissões OAuth2 para um aplicativo.
az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234Parâmetros Obrigatórios
Uri do identificador, id do aplicativo ou id do objeto do aplicativo associado.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
az ad app permission list-grants
Listar concessões de permissão Oauth2.
az ad app permission list-grants [--filter]
[--id]
[--show-resource-name {false, true}]Exemplos
Listar permissões OAuth2 concedidas à entidade de serviço
az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456Parâmetros Opcionais
Filtro OData, por exemplo, --filter "displayname eq 'test' e servicePrincipalType eq 'Application'".
Uri do identificador, ID do aplicativo ou ID do objeto.
Mostrar nome de exibição do recurso.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
