共用方式為


az ad app

管理 Microsoft Entra 應用程式。

命令

名稱 Description 類型 狀態
az ad app create

建立應用程式。

核心 GA
az ad app credential

管理應用程式的密碼或憑證認證。

核心 GA
az ad app credential delete

刪除應用程式的密碼或憑證認證。

核心 GA
az ad app credential list

列出應用程式的密碼或憑證認證元數據。 (無法擷取密碼或憑證認證的內容。

核心 GA
az ad app credential reset

重設應用程式的密碼或憑證認證。

核心 GA
az ad app delete

刪除應用程式。

核心 GA
az ad app federated-credential

管理應用程式同盟身分識別認證。

核心 GA
az ad app federated-credential create

建立應用程式同盟身分識別認證。

核心 GA
az ad app federated-credential delete

刪除應用程式同盟身分識別認證。

核心 GA
az ad app federated-credential list

列出應用程式同盟身分識別認證。

核心 GA
az ad app federated-credential show

顯示應用程式同盟身分識別認證。

核心 GA
az ad app federated-credential update

更新應用程式同盟身分識別認證。

核心 GA
az ad app list

列出應用程式。

核心 GA
az ad app owner

管理應用程式擁有者。

核心 GA
az ad app owner add

新增應用程式擁有者。

核心 GA
az ad app owner list

列出應用程式擁有者。

核心 GA
az ad app owner remove

拿掉應用程式擁有者。

核心 GA
az ad app permission

管理應用程式的 OAuth2 許可權。

核心 GA
az ad app permission add

新增 API 許可權。

核心 GA
az ad app permission admin-consent

透過系統管理員同意授與應用程式與委派的許可權。

核心 GA
az ad app permission delete

拿掉 API 許可權。

核心 GA
az ad app permission grant

將 API 委派的許可權授與應用程式。

核心 GA
az ad app permission list

列出應用程式所要求的 API 許可權。

核心 GA
az ad app permission list-grants

列出 Oauth2 許可權授與。

核心 GA
az ad app show

取得應用程式的詳細數據。

核心 GA
az ad app update

更新應用程式。

核心 GA

az ad app create

建立應用程式。

如需更詳細的檔案,請參閱 https://docs.microsoft.com/graph/api/resources/application

az ad app create --display-name
                 [--app-roles]
                 [--enable-access-token-issuance {false, true}]
                 [--enable-id-token-issuance {false, true}]
                 [--end-date]
                 [--identifier-uris]
                 [--is-fallback-public-client {false, true}]
                 [--key-display-name]
                 [--key-type {AsymmetricX509Cert, Password, Symmetric}]
                 [--key-usage {Sign, Verify}]
                 [--key-value]
                 [--optional-claims]
                 [--public-client-redirect-uris]
                 [--required-resource-accesses]
                 [--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
                 [--start-date]
                 [--web-home-page-url]
                 [--web-redirect-uris]

範例

建立應用程式。

az ad app create --display-name mytestapp

使用 Microsoft Graph 委派許可權 User.Read 建立可回復至公用客戶端的應用程式

az ad app create --display-name my-public --is-fallback-public-client --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
        {
            "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
            "type": "Scope"
        }
   ]
}]

建立具有角色的應用程式

az ad app create --display-name mytestapp --identifier-uris https://mytestapp.websites.net --app-roles @manifest.json
("manifest.json" contains the following content)
[{
    "allowedMemberTypes": [
      "User"
    ],
    "description": "Approvers can mark documents as approved",
    "displayName": "Approver",
    "isEnabled": "true",
    "value": "approver"
}]

使用選擇性宣告建立應用程式

az ad app create --display-name mytestapp --optional-claims @manifest.json
("manifest.json" contains the following content)
{
    "idToken": [
        {
            "name": "auth_time",
            "essential": false
        }
    ],
    "accessToken": [
        {
            "name": "ipaddr",
            "essential": false
        }
    ],
    "saml2Token": [
        {
            "name": "upn",
            "essential": false
        },
        {
            "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
            "source": "user",
            "essential": false
        }
    ]
}

必要參數

--display-name

應用程式的顯示名稱。

選擇性參數

--app-roles

指派給應用程式的角色集合。 透過應用程式角色指派,這些角色可以指派給與其他應用程式相關聯的使用者、群組或服務主體。 應該是 JSON 檔案路徑或內嵌 JSON 字串。 如需詳細資訊,請參閱範例。

--enable-access-token-issuance

指定此 Web 應用程式是否可以使用 OAuth 2.0 隱含流程來要求存取令牌。

接受的值: false, true
--enable-id-token-issuance

指定此 Web 應用程式是否可以使用 OAuth 2.0 隱含流程來要求標識元令牌。

接受的值: false, true
--end-date

認證到期的日期或日期時間(例如 '2017-12-31T11:59:59+00:00' 或 '2017-12-31')。 預設值是目前時間之後的一年。

--identifier-uris

以空格分隔的值。 也稱為應用程式識別碼 URI,當應用程式當做資源應用程式使用時,就會設定此值。 identifierUris 會作為您將在 API 程式代碼中參考的範圍前置詞,而且它必須是全域唯一的。 您可以使用提供的預設值,其格式為 api://,或指定更易讀的 URI,例如 https://contoso.com/api.

--is-fallback-public-client

指定後援應用程式類型做為公用用戶端,例如在行動裝置上執行的已安裝應用程式。 默認值為 false,表示後援應用程式類型是機密用戶端,例如 Web 應用程式。

接受的值: false, true
--key-display-name

索引鍵的易記名稱。

--key-type

與應用程式相關聯的金鑰認證類型。

接受的值: AsymmetricX509Cert, Password, Symmetric
預設值: AsymmetricX509Cert
--key-usage

與應用程式相關聯的金鑰認證使用方式。

接受的值: Sign, Verify
預設值: Verify
--key-value

與應用程式相關聯的金鑰認證值。

--optional-claims

應用程式開發人員可以在其 Microsoft Entra 應用程式中設定選擇性宣告,以指定由 Microsoft 安全性令牌服務傳送至其應用程式的宣告。 如需詳細資訊,請參閱https://docs.microsoft.com/azure/active-directory/develop/active-directory-optional-claims。 應該是 JSON 檔案路徑或內嵌 JSON 字串。 如需詳細資訊,請參閱範例。

--public-client-redirect-uris

以空格分隔的值。 指定傳送使用者令牌以進行登入的 URL,或傳送 OAuth 2.0 授權碼和存取令牌的重新導向 URI。

--required-resource-accesses

指定應用程式需要存取的資源。 這個屬性也會指定每個資源所需的委派許可權和應用程式角色集。 此必要資源的存取設定會驅動同意體驗。 應該是 JSON 檔案路徑或內嵌 JSON 字串。 如需詳細資訊,請參閱範例。

--sign-in-audience

指定目前應用程式支援的 Microsoft 帳戶。

接受的值: AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount
--start-date

認證生效的日期或日期時間(例如 '2017-01-01T01:00:00+00:00' 或 '2017-01-01')。 預設值為目前時間。

--web-home-page-url

應用程式的首頁或登陸頁面。

--web-redirect-uris

以空格分隔的值。 指定傳送使用者令牌以進行登入的 URL,或傳送 OAuth 2.0 授權碼和存取令牌的重新導向 URI。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az ad app delete

刪除應用程式。

az ad app delete --id

範例

刪除應用程式。 ( 自動產生 )

az ad app delete --id 00000000-0000-0000-0000-000000000000

必要參數

--id

標識碼 URI、應用程式識別碼或物件識別碼。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az ad app list

列出應用程式。

針對低延遲,預設只會傳回前 100 個,除非您提供篩選自變數或使用 “--all”。

az ad app list [--all]
               [--app-id]
               [--display-name]
               [--filter]
               [--identifier-uri]
               [--show-mine]

選擇性參數

--all

列出所有實體,如果大型組織下,預期會有長時間延遲。

--app-id

應用程式識別碼。

--display-name

應用程式的顯示名稱。

--filter

OData 篩選,例如 --filter “displayname eq 'test' and servicePrincipalType eq 'Application'”。

--identifier-uri

圖形應用程式識別碼必須是URI格式。

--show-mine

列出目前用戶所擁有的實體。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az ad app show

取得應用程式的詳細數據。

az ad app show --id

範例

使用 appId 取得應用程式的詳細資料。

az ad app show --id 00000000-0000-0000-0000-000000000000

取得標識碼為的應用程式詳細數據。

az ad app show --id 00000000-0000-0000-0000-000000000000

取得識別碼 URI 的應用程式詳細數據。

az ad app show --id api://myapp

必要參數

--id

標識碼 URI、應用程式識別碼或物件識別碼。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az ad app update

更新應用程式。

az ad app update --id
                 [--add]
                 [--app-roles]
                 [--display-name]
                 [--enable-access-token-issuance {false, true}]
                 [--enable-id-token-issuance {false, true}]
                 [--end-date]
                 [--force-string]
                 [--identifier-uris]
                 [--is-fallback-public-client {false, true}]
                 [--key-display-name]
                 [--key-type {AsymmetricX509Cert, Password, Symmetric}]
                 [--key-usage {Sign, Verify}]
                 [--key-value]
                 [--optional-claims]
                 [--public-client-redirect-uris]
                 [--remove]
                 [--required-resource-accesses]
                 [--set]
                 [--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
                 [--start-date]
                 [--web-home-page-url]
                 [--web-redirect-uris]

範例

使用 Microsoft Graph 委派的許可權 User.Read 更新應用程式

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
        {
            "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
            "type": "Scope"
        }
   ]
}]

宣告應用程式角色

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --app-roles @manifest.json
("manifest.json" contains the following content)
[{
    "allowedMemberTypes": [
      "User"
    ],
    "description": "Approvers can mark documents as approved",
    "displayName": "Approver",
    "isEnabled": "true",
    "value": "approver"
}]

更新選擇性宣告

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --optional-claims @manifest.json
("manifest.json" contains the following content)
{
    "idToken": [
        {
            "name": "auth_time",
            "essential": false
        }
    ],
    "accessToken": [
        {
            "name": "ipaddr",
            "essential": false
        }
    ],
    "saml2Token": [
        {
            "name": "upn",
            "essential": false
        },
        {
            "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
            "source": "user",
            "essential": false
        }
    ]
}

將應用程式的群組成員資格宣告更新為 “All”

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --set groupMembershipClaims=All

必要參數

--id

標識碼 URI、應用程式識別碼或物件識別碼。

選擇性參數

--add

藉由指定路徑和索引鍵值組,將物件加入物件清單。 範例:--add property.listProperty <key=value, string or JSON string>

預設值: []
--app-roles

指派給應用程式的角色集合。 透過應用程式角色指派,這些角色可以指派給與其他應用程式相關聯的使用者、群組或服務主體。 應該是 JSON 檔案路徑或內嵌 JSON 字串。 如需詳細資訊,請參閱範例。

--display-name

應用程式的顯示名稱。

--enable-access-token-issuance

指定此 Web 應用程式是否可以使用 OAuth 2.0 隱含流程來要求存取令牌。

接受的值: false, true
--enable-id-token-issuance

指定此 Web 應用程式是否可以使用 OAuth 2.0 隱含流程來要求標識元令牌。

接受的值: false, true
--end-date

認證到期的日期或日期時間(例如 '2017-12-31T11:59:59+00:00' 或 '2017-12-31')。 預設值是目前時間之後的一年。

--force-string

使用 'set' 或 'add' 時,請保留字串常值,而不是嘗試轉換成 JSON。

預設值: False
--identifier-uris

以空格分隔的值。 也稱為應用程式識別碼 URI,當應用程式當做資源應用程式使用時,就會設定此值。 identifierUris 會作為您將在 API 程式代碼中參考的範圍前置詞,而且它必須是全域唯一的。 您可以使用提供的預設值,其格式為 api://,或指定更易讀的 URI,例如 https://contoso.com/api.

--is-fallback-public-client

指定後援應用程式類型做為公用用戶端,例如在行動裝置上執行的已安裝應用程式。 默認值為 false,表示後援應用程式類型是機密用戶端,例如 Web 應用程式。

接受的值: false, true
--key-display-name

索引鍵的易記名稱。

--key-type

與應用程式相關聯的金鑰認證類型。

接受的值: AsymmetricX509Cert, Password, Symmetric
預設值: AsymmetricX509Cert
--key-usage

與應用程式相關聯的金鑰認證使用方式。

接受的值: Sign, Verify
預設值: Verify
--key-value

與應用程式相關聯的金鑰認證值。

--optional-claims

應用程式開發人員可以在其 Microsoft Entra 應用程式中設定選擇性宣告,以指定由 Microsoft 安全性令牌服務傳送至其應用程式的宣告。 如需詳細資訊,請參閱https://docs.microsoft.com/azure/active-directory/develop/active-directory-optional-claims。 應該是 JSON 檔案路徑或內嵌 JSON 字串。 如需詳細資訊,請參閱範例。

--public-client-redirect-uris

以空格分隔的值。 指定傳送使用者令牌以進行登入的 URL,或傳送 OAuth 2.0 授權碼和存取令牌的重新導向 URI。

--remove

從清單中移除屬性或專案。 範例: --remove property.list <indexToRemove>--remove propertyToRemove

預設值: []
--required-resource-accesses

指定應用程式需要存取的資源。 這個屬性也會指定每個資源所需的委派許可權和應用程式角色集。 此必要資源的存取設定會驅動同意體驗。 應該是 JSON 檔案路徑或內嵌 JSON 字串。 如需詳細資訊,請參閱範例。

--set

指定要設定的屬性路徑和值,以更新物件。 範例:--set property1.property2=<value>

預設值: []
--sign-in-audience

指定目前應用程式支援的 Microsoft 帳戶。

接受的值: AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount
--start-date

認證生效的日期或日期時間(例如 '2017-01-01T01:00:00+00:00' 或 '2017-01-01')。 預設值為目前時間。

--web-home-page-url

應用程式的首頁或登陸頁面。

--web-redirect-uris

以空格分隔的值。 指定傳送使用者令牌以進行登入的 URL,或傳送 OAuth 2.0 授權碼和存取令牌的重新導向 URI。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。