az ad app permission

Bir uygulamanın OAuth2 izinlerini yönetin.

Komutlar

Name	Description	Tür	Durum
az ad app permission add	API izni ekleyin.	Temel	GA
az ad app permission admin-consent	Yönetici onayı aracılığıyla Uygulama ve Temsilci izinleri verin.	Temel	GA
az ad app permission delete	API iznini kaldırma.	Temel	GA
az ad app permission grant	Uygulamaya API Temsilcisi izinleri verin.	Temel	GA
az ad app permission list	Uygulamanın istediği API izinlerini listeleyin.	Temel	GA
az ad app permission list-grants	Oauth2 izin vermelerini listeleyin.	Temel	GA

az ad app permission add

API izni ekleyin.

Etkinleştirmek için "az ad app permission grant" çağırmak gerekir.

Kaynak uygulamasının kullanılabilir izinlerini almak için komutunu çalıştırın az ad sp show --id <resource-appId>. Örneğin, Microsoft Graph API'sine yönelik kullanılabilir izinleri almak için komutunu çalıştırın az ad sp show --id 00000003-0000-0000-c000-000000000000. özelliği altındaki appRoles uygulama izinleri --api-permissions içinde öğesine karşılık gelir Role . özelliği altındaki oauth2Permissions temsilci izinleri --api-permissions içinde öğesine karşılık gelir Scope .

Microsoft Graph izinleriyle ilgili ayrıntılar için bkz https://learn.microsoft.com/graph/permissions-reference. .

az ad app permission add --api
                         --api-permissions
                         --id

Örnekler

Microsoft Graph temsilci izni ekleme User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Microsoft Graph uygulama izni ekleme Application.ReadWrite.All

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Gerekli Parametreler

--api

RequiredResourceAccess.resourceAppId - Uygulamanın erişim gerektirdiği kaynağın benzersiz tanımlayıcısı. Bu, hedef kaynak uygulamasında bildirilen appId değerine eşit olmalıdır.

--api-permissions

Boşlukla ayrılmış {id}={type} listesi. {id} resourceAccess.id : Kaynak uygulamasının kullanıma açık olduğu oauth2PermissionScopes veya appRole örneklerinden birinin benzersiz tanımlayıcısı. {type} is resourceAccess.type - Id özelliğinin bir oauth2PermissionScopes'a mı yoksa appRole'a mı başvurdığını belirtir. Olası değerler şunlardır: Kapsam (OAuth 2.0 izin kapsamları için) veya Rol (uygulama rolleri için).

--id

Tanımlayıcı uri'si, uygulama kimliği veya nesne kimliği.

Global Parametreler

--debug

Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.

--help -h

Bu yardım iletisini göster ve çık.

--only-show-errors

Yalnızca hataları gösterir ve uyarıları gizler.

--output -o

Çıkış biçimi.

kabul edilen değerler: json, jsonc, none, table, tsv, yaml, yamlc

varsayılan değer: json

--query

JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz http://jmespath.org/ .

--subscription

Aboneliğin adı veya kimliği. kullanarak az account set -s NAME_OR_IDvarsayılan aboneliği yapılandırabilirsiniz.

--verbose

Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.

az ad app permission admin-consent

Yönetici onayı aracılığıyla Uygulama ve Temsilci izinleri verin.

Genel yönetici olarak oturum açmalısınız.

az ad app permission admin-consent --id

Örnekler

Yönetici onayı aracılığıyla Uygulama ve Temsilci izinleri verin. (otomatik olarak oluşturulmuş)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000

Gerekli Parametreler

--id

Tanımlayıcı uri'si, uygulama kimliği veya nesne kimliği.

Global Parametreler

--debug

Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.

--help -h

Bu yardım iletisini göster ve çık.

--only-show-errors

Yalnızca hataları gösterir ve uyarıları gizler.

--output -o

Çıkış biçimi.

kabul edilen değerler: json, jsonc, none, table, tsv, yaml, yamlc

varsayılan değer: json

--query

JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz http://jmespath.org/ .

--subscription

Aboneliğin adı veya kimliği. kullanarak az account set -s NAME_OR_IDvarsayılan aboneliği yapılandırabilirsiniz.

--verbose

Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.

az ad app permission delete

API iznini kaldırma.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Örnekler

Microsoft Graph izinlerini kaldırın.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Microsoft Graph temsilci iznini kaldırma User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Gerekli Parametreler

--api

RequiredResourceAccess.resourceAppId - Uygulamanın erişim gerektirdiği kaynağın benzersiz tanımlayıcısı. Bu, hedef kaynak uygulamasında bildirilen appId değerine eşit olmalıdır.

--id

Tanımlayıcı uri'si, uygulama kimliği veya nesne kimliği.

İsteğe Bağlı Parametreler

--api-permissions

Belirtin ResourceAccess.id - Kaynak uygulamasının kullanıma sunması OAuth2Permission veya AppRole örneklerinden birinin benzersiz tanımlayıcısı. Boşlukla ayrılmış listesi <resource-access-id>.

Global Parametreler

--debug

Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.

--help -h

Bu yardım iletisini göster ve çık.

--only-show-errors

Yalnızca hataları gösterir ve uyarıları gizler.

--output -o

Çıkış biçimi.

kabul edilen değerler: json, jsonc, none, table, tsv, yaml, yamlc

varsayılan değer: json

--query

JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz http://jmespath.org/ .

--subscription

Aboneliğin adı veya kimliği. kullanarak az account set -s NAME_OR_IDvarsayılan aboneliği yapılandırabilirsiniz.

--verbose

Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.

az ad app permission grant

Uygulamaya API Temsilcisi izinleri verin.

Bu komutu çalıştırırken uygulama için bir hizmet sorumlusu bulunmalıdır. Karşılık gelen bir hizmet sorumlusu oluşturmak için kullanın az ad sp create --id {appId}. Uygulama izinleri için lütfen "ad uygulama izni admin-consent" kullanın.

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Örnekler

2 yıllık TTL ile var olan bir API'ye erişim izinleri olan yerel bir uygulamaya verme

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Gerekli Parametreler

--api, --resource-id

Erişimin yetkilendirildiği kaynak hizmet sorumlusunun kimliği. Bu, istemcinin oturum açmış bir kullanıcı adına arama yapma yetkisine sahip olduğu API'yi tanımlar.

--id, --client-id

Api'ye erişirken oturum açmış bir kullanıcı adına işlem yapma yetkisine sahip uygulamanın istemci hizmet sorumlusunun kimliği.

--scope

Kaynak uygulamasının (API) erişim belirteçlerine dahil edilmesi gereken temsilci izinleri için talep değerlerinin boşlukla ayrılmış listesi. Örneğin, openid User.Read GroupMember.Read.All. Her talep değeri, kaynak hizmet sorumlusunun oauth2PermissionScopes özelliğinde listelenen API tarafından tanımlanan temsilci izinlerinden birinin değer alanıyla eşleşmelidir.

İsteğe Bağlı Parametreler

--consent-type

İstemci uygulamasının tüm kullanıcıların veya yalnızca belirli bir kullanıcının kimliğine bürünmek için yetkilendirme verilip verilmediğini gösterir. 'AllPrincipals' tüm kullanıcıların kimliğine bürünmek için yetkilendirmeyi gösterir. 'Principal' belirli bir kullanıcının kimliğine bürünmek için yetkilendirmeyi gösterir. Tüm kullanıcılar adına onay bir yönetici tarafından verilebilir. Yönetici olmayan kullanıcılar bazı durumlarda, bazı temsilci izinleri için kendileri adına onay verme yetkisine sahip olabilir.

kabul edilen değerler: AllPrincipals, Principal

varsayılan değer: AllPrincipals

--principal-id

consentType 'Principal' olduğunda, istemcinin kaynağa erişme yetkisine sahip olduğu kullanıcının kimliği. consentType 'AllPrincipals' ise bu değer null olur. consentType 'Principal' olduğunda gereklidir.

Global Parametreler

--debug

Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.

--help -h

Bu yardım iletisini göster ve çık.

--only-show-errors

Yalnızca hataları gösterir ve uyarıları gizler.

--output -o

Çıkış biçimi.

kabul edilen değerler: json, jsonc, none, table, tsv, yaml, yamlc

varsayılan değer: json

--query

JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz http://jmespath.org/ .

--subscription

Aboneliğin adı veya kimliği. kullanarak az account set -s NAME_OR_IDvarsayılan aboneliği yapılandırabilirsiniz.

--verbose

Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.

az ad app permission list

Uygulamanın istediği API izinlerini listeleyin.

az ad app permission list --id

Örnekler

Bir uygulamanın OAuth2 izinlerini listeleme.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Gerekli Parametreler

--id

İlişkili uygulamanın tanımlayıcı uri'si, uygulama kimliği veya nesne kimliği.

Global Parametreler

--debug

Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.

--help -h

Bu yardım iletisini göster ve çık.

--only-show-errors

Yalnızca hataları gösterir ve uyarıları gizler.

--output -o

Çıkış biçimi.

kabul edilen değerler: json, jsonc, none, table, tsv, yaml, yamlc

varsayılan değer: json

--query

JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz http://jmespath.org/ .

--subscription

Aboneliğin adı veya kimliği. kullanarak az account set -s NAME_OR_IDvarsayılan aboneliği yapılandırabilirsiniz.

--verbose

Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.

az ad app permission list-grants

Oauth2 izin vermelerini listeleyin.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Örnekler

hizmet sorumlusuna verilen oauth2 izinlerini listeleme

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

İsteğe Bağlı Parametreler

--filter

OData filtresi, örneğin --filter "displayname eq 'test' ve servicePrincipalType eq 'Application'".

--id

Tanımlayıcı uri'si, uygulama kimliği veya nesne kimliği.

--show-resource-name -r

Kaynağın görünen adını gösterin.

kabul edilen değerler: false, true

Global Parametreler

--debug

Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.

--help -h

Bu yardım iletisini göster ve çık.

--only-show-errors

Yalnızca hataları gösterir ve uyarıları gizler.

--output -o

Çıkış biçimi.

kabul edilen değerler: json, jsonc, none, table, tsv, yaml, yamlc

varsayılan değer: json

--query

JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz http://jmespath.org/ .

--subscription

Aboneliğin adı veya kimliği. kullanarak az account set -s NAME_OR_IDvarsayılan aboneliği yapılandırabilirsiniz.

--verbose

Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.