az ad app permission

Управление разрешениями OAuth2 приложения.

Команды

Имя	Описание	Тип	Состояние
az ad app permission add	Добавление разрешения API.	Основные сведения	Общедоступная версия
az ad app permission admin-consent	Предоставьте приложениям и делегированным разрешениям через согласие администратора.	Основные сведения	Общедоступная версия
az ad app permission delete	Удалите разрешение API.	Основные сведения	Общедоступная версия
az ad app permission grant	Предоставьте приложению делегированные разрешения API.	Основные сведения	Общедоступная версия
az ad app permission list	Вывод списка разрешений API, запрошенных приложением.	Основные сведения	Общедоступная версия
az ad app permission list-grants	Вывод списка разрешений Oauth2.	Основные сведения	Общедоступная версия

az ad app permission add

Добавление разрешения API.

Для его активации требуется вызов "az ad app permission grant".

Чтобы получить доступные разрешения для приложения ресурсов, выполните команду az ad sp show --id <resource-appId>. Например, чтобы получить доступные разрешения для API Microsoft Graph, выполните команду az ad sp show --id 00000003-0000-0000-c000-000000000000. Разрешения приложения в свойстве appRoles соответствуют Role разрешениям в --api-permissions. Делегированные разрешения в свойстве oauth2Permissions соответствуют Scope разрешениям в --api-permissions.

Дополнительные сведения о разрешениях Microsoft Graph см. в статье https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id

Примеры

Добавление делегированного разрешения Microsoft Graph User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Добавление разрешения приложения Microsoft Graph Application.ReadWrite.All

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Обязательные параметры

--api

RequiredResourceAccess.resourceAppId — уникальный идентификатор ресурса, к которому требуется доступ приложения. Это должно быть равно идентификатору appId, объявленному в целевом приложении ресурсов.

--api-permissions

Разделенный пробелами список {id}={type}. {id} — это resourceAccess.id — уникальный идентификатор для одного из экземпляров oauth2PermissionScopes или appRole, предоставляемых приложением ресурсов. {type} — resourceAccess.type— указывает, ссылается ли свойство идентификатора на oauth2PermissionScopes или appRole. Возможные значения: область (для разрешений OAuth 2.0 область) или Role (для ролей приложения).

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app permission admin-consent

Предоставьте приложениям и делегированным разрешениям через согласие администратора.

Необходимо войти в систему в качестве глобального администратора.

az ad app permission admin-consent --id

Примеры

Предоставьте приложениям и делегированным разрешениям через согласие администратора. (автоматическое создание)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000

Обязательные параметры

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app permission delete

Удалите разрешение API.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Примеры

Удалите разрешения Microsoft Graph.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Удаление делегированного разрешения Microsoft Graph User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Обязательные параметры

--api

RequiredResourceAccess.resourceAppId — уникальный идентификатор ресурса, к которому требуется доступ приложения. Это должно быть равно идентификатору appId, объявленному в целевом приложении ресурсов.

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

Необязательные параметры

--api-permissions

Укажите ResourceAccess.id — уникальный идентификатор для одного из экземпляров OAuth2Permission или AppRole, предоставляемых приложением ресурсов. Разделенный пробелами список <resource-access-id>.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app permission grant

Предоставьте приложению делегированные разрешения API.

Субъект-служба должен существовать для приложения при выполнении этой команды. Чтобы создать соответствующий субъект-службу, используйте az ad sp create --id {appId}. Для разрешений приложения используйте "ad app permission admin-consent".

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Примеры

Предоставление собственного приложения с разрешениями на доступ к существующему API с TTL 2 года

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Обязательные параметры

--api, --resource-id

Идентификатор субъекта-службы ресурсов, к которому разрешен доступ. Это определяет API, который клиент может попытаться вызвать от имени пользователя, вошедшего в систему.

--id, --client-id

Идентификатор субъекта-службы клиента для приложения, которому разрешено действовать от имени вошедшего пользователя при доступе к API.

--scope

Разделенный пробелом список значений утверждений для делегированных разрешений, которые должны быть включены в маркеры доступа для приложения ресурсов (API). Например, openid User.Read GroupMember.Read.All. Каждое значение утверждения должно соответствовать полю значения одного из делегированных разрешений, определенных API, перечисленных в свойстве oauth2PermissionScopes субъекта-службы ресурсов.

Необязательные параметры

--consent-type

Указывает, предоставляется ли авторизация клиентскому приложению олицетворения всех пользователей или только определенного пользователя. AllPrincipals означает авторизацию для олицетворения всех пользователей. "Субъект" указывает, что авторизация для олицетворения конкретного пользователя. Согласие от имени всех пользователей может быть предоставлено администратором. Пользователи, не являющиеся администраторами, могут быть авторизованы на согласие от имени себя в некоторых случаях для некоторых делегированных разрешений.

допустимые значения: AllPrincipals, Principal

значение по умолчанию: AllPrincipals

--principal-id

Идентификатор пользователя, от имени которого клиент может получить доступ к ресурсу, когда тип согласия является субъектом. Если параметр consentType имеет значение AllPrincipals, это значение равно NULL. Требуется, если тип согласия — "Субъект".

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app permission list

Вывод списка разрешений API, запрошенных приложением.

az ad app permission list --id

Примеры

Вывод списка разрешений OAuth2 для приложения.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Обязательные параметры

--id

URI идентификатора, идентификатор приложения или идентификатор объекта связанного приложения.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app permission list-grants

Вывод списка разрешений Oauth2.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Примеры

список разрешений oauth2, предоставленных субъекту-службе

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Необязательные параметры

--filter

Фильтр OData, например --filter "displayname eq 'test" и servicePrincipalType eq 'Application'.

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

--show-resource-name -r

Отображение отображаемого имени ресурса.

допустимые значения: false, true

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.