az ad app permission
管理应用程序的 OAuth2 权限。
命令
| 名称 | 说明 | 类型 | Status |
|---|---|---|---|
| az ad app permission add |
添加 API 权限。 |
Core | GA |
| az ad app permission admin-consent |
通过管理员许可授予应用程序 & 委派权限。 |
Core | GA |
| az ad app permission delete |
删除 API 权限。 |
Core | GA |
| az ad app permission grant |
向应用授予 API 委派权限。 |
Core | GA |
| az ad app permission list |
列出应用程序请求的 API 权限。 |
Core | GA |
| az ad app permission list-grants |
列出 Oauth2 权限授予。 |
Core | GA |
az ad app permission add
添加 API 权限。
需要调用“az ad app permission grant”才能激活它。
若要获取资源应用的可用权限,请运行 az ad sp show --id <resource-appId>。 例如,若要获取Microsoft图形 API 的可用权限,请运行 az ad sp show --id 00000003-0000-0000-c000-000000000000。
appRoles 属性下的应用程序权限对应于 --api-permissions 中的 Role。
oauth2Permissions 属性下的委托权限对应于 --api-permissions 中的 Scope。
有关 Microsoft Graph 权限的详细信息,请参阅 https://learn.microsoft.com/graph/permissions-reference。
az ad app permission add --api
--api-permissions
--id示例
添加 Microsoft Graph 委派权限 User.Read
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope添加 Microsoft Graph 应用程序权限 Application.ReadWrite.All
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role必需参数
RequiredResourceAccess.resourceAppId - 应用程序需要访问的资源的唯一标识符。 这应等于在目标资源应用程序上声明的 appId。
{id}={type} 的空间分隔列表。 {id} resourceAccess.id - 资源应用程序公开的 oauth2PermissionScopes 或 appRole 实例之一的唯一标识符。 {type} 是 resourceAccess.type - 指定 ID 属性引用 oauth2PermissionScopes 还是 appRole。 可能的值包括:范围(适用于 OAuth 2.0 权限范围)或角色(适用于应用角色)。
标识符 URI、应用程序 ID 或对象 ID。
全局参数
提高日志记录详细程度以显示所有调试日志。
| 属性 | 值 |
|---|---|
| 默认值: | False |
显示此帮助消息并退出。
仅显示错误,禁止显示警告。
| 属性 | 值 |
|---|---|
| 默认值: | False |
Output format.
| 属性 | 值 |
|---|---|
| 默认值: | json |
| 接受的值: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
增加日志记录详细程度。 使用 --debug 获取完整的调试日志。
| 属性 | 值 |
|---|---|
| 默认值: | False |
az ad app permission admin-consent
通过管理员许可授予应用程序 & 委派权限。
必须以全局管理员身份登录。
az ad app permission admin-consent --id示例
通过管理员许可授予应用程序 & 委派权限。 (autogenerated)
az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000必需参数
标识符 URI、应用程序 ID 或对象 ID。
全局参数
提高日志记录详细程度以显示所有调试日志。
| 属性 | 值 |
|---|---|
| 默认值: | False |
显示此帮助消息并退出。
仅显示错误,禁止显示警告。
| 属性 | 值 |
|---|---|
| 默认值: | False |
Output format.
| 属性 | 值 |
|---|---|
| 默认值: | json |
| 接受的值: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
增加日志记录详细程度。 使用 --debug 获取完整的调试日志。
| 属性 | 值 |
|---|---|
| 默认值: | False |
az ad app permission delete
删除 API 权限。
az ad app permission delete --api
--id
[--api-permissions]示例
删除Microsoft Graph 权限。
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000删除 Microsoft Graph 委派权限 User.Read
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d必需参数
RequiredResourceAccess.resourceAppId - 应用程序需要访问的资源的唯一标识符。 这应等于在目标资源应用程序上声明的 appId。
标识符 URI、应用程序 ID 或对象 ID。
可选参数
The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.
指定 ResourceAccess.id - 资源应用程序公开的 OAuth2Permission 或 AppRole 实例之一的唯一标识符。 以空格分隔的 <resource-access-id>列表。
全局参数
提高日志记录详细程度以显示所有调试日志。
| 属性 | 值 |
|---|---|
| 默认值: | False |
显示此帮助消息并退出。
仅显示错误,禁止显示警告。
| 属性 | 值 |
|---|---|
| 默认值: | False |
Output format.
| 属性 | 值 |
|---|---|
| 默认值: | json |
| 接受的值: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
增加日志记录详细程度。 使用 --debug 获取完整的调试日志。
| 属性 | 值 |
|---|---|
| 默认值: | False |
az ad app permission grant
向应用授予 API 委派权限。
运行此命令时,应用必须存在服务主体。 若要创建相应的服务主体,请使用 az ad sp create --id {appId}。
对于应用程序权限,请使用“广告应用权限管理员许可”。
az ad app permission grant --api, --resource-id
--id, --client-id
--scope
[--consent-type {AllPrincipals, Principal}]
[--principal-id]示例
向本机应用程序授予访问 TTL 为 2 年的现有 API 的权限
az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All必需参数
有权访问的资源服务主体的 ID。 这标识客户端有权尝试代表已登录用户调用的 API。
有权在访问 API 时代表已登录用户执行作的应用程序的客户端服务主体的 ID。
委托权限的声明值的空格分隔列表,这些声明值应包含在资源应用程序(API)的访问令牌中。 例如,openid User.Read GroupMember.Read.All。 每个声明值都应与 API 定义的委托权限之一的值字段匹配,这些权限列在资源服务主体的 oauth2PermissionScopes 属性中。
可选参数
The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.
指示是否授予客户端应用程序模拟所有用户或仅特定用户的授权。 “AllPrincipals”表示授权模拟所有用户。 “Principal”表示模拟特定用户的授权。 管理员可以代表所有用户授予同意。 在某些情况下,对于某些委派的权限,非管理员用户可能有权代表自己同意。
| 属性 | 值 |
|---|---|
| 默认值: | AllPrincipals |
| 接受的值: | AllPrincipals, Principal |
当 consentType 为“Principal”时,客户端有权访问资源的用户的 ID。 如果 consentType 为“AllPrincipals”,则此值为 null。 consentType 为“Principal”时是必需的。
全局参数
提高日志记录详细程度以显示所有调试日志。
| 属性 | 值 |
|---|---|
| 默认值: | False |
显示此帮助消息并退出。
仅显示错误,禁止显示警告。
| 属性 | 值 |
|---|---|
| 默认值: | False |
Output format.
| 属性 | 值 |
|---|---|
| 默认值: | json |
| 接受的值: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
增加日志记录详细程度。 使用 --debug 获取完整的调试日志。
| 属性 | 值 |
|---|---|
| 默认值: | False |
az ad app permission list
列出应用程序请求的 API 权限。
az ad app permission list --id示例
列出应用程序的 OAuth2 权限。
az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234必需参数
关联的应用程序的标识符 URI、应用程序 ID 或对象 ID。
全局参数
提高日志记录详细程度以显示所有调试日志。
| 属性 | 值 |
|---|---|
| 默认值: | False |
显示此帮助消息并退出。
仅显示错误,禁止显示警告。
| 属性 | 值 |
|---|---|
| 默认值: | False |
Output format.
| 属性 | 值 |
|---|---|
| 默认值: | json |
| 接受的值: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
增加日志记录详细程度。 使用 --debug 获取完整的调试日志。
| 属性 | 值 |
|---|---|
| 默认值: | False |
az ad app permission list-grants
列出 Oauth2 权限授予。
az ad app permission list-grants [--filter]
[--id]
[--show-resource-name {false, true}]示例
列出向服务主体授予的 oauth2 权限
az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456可选参数
The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.
OData 筛选器,例如 --filter “displayname eq 'test' and servicePrincipalType eq 'Application'”。
标识符 URI、应用程序 ID 或对象 ID。
显示资源的显示名称。
| 属性 | 值 |
|---|---|
| 接受的值: | false, true |
全局参数
提高日志记录详细程度以显示所有调试日志。
| 属性 | 值 |
|---|---|
| 默认值: | False |
显示此帮助消息并退出。
仅显示错误,禁止显示警告。
| 属性 | 值 |
|---|---|
| 默认值: | False |
Output format.
| 属性 | 值 |
|---|---|
| 默认值: | json |
| 接受的值: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
增加日志记录详细程度。 使用 --debug 获取完整的调试日志。
| 属性 | 值 |
|---|---|
| 默认值: | False |
