Agent 365 CLI `query-entra` 指令參考

提供查詢 Microsoft Entra ID 代理資訊的選項，包括範圍、權限及同意狀態。你可以查看代理藍圖和代理實例的設定與同意狀態。

最低需求角色：目錄閱讀器

Syntax

a365 query-entra [command] [options]

選項

Option	Description
`-?`、`-h`、`--help`	顯示說明與使用資訊

`query-entra blueprint-scopes`

列出代理藍圖應用程式宣告的委派權限與應用程式權限。

a365 query-entra blueprint-scopes [options]

此指令會檢索並顯示在 Microsoft Entra ID 中藍圖服務主體上授權的範圍與應用程式角色指派。這個結果和你在 Entra 管理中心藍圖應用程式的 API 權限 刀片上看到的結果相符。

`blueprint-scopes` 選項

Option	Description
`-n`、`--agent-name <name>`	特工基地名稱。當你提供這個選項時，就不需要設定檔了。
`--tenant-id <tenantId>`	Azure AD 租用戶識別碼。 Overrides autodetection. 與 `--agent-name` 搭配使用。
`-?`、`-h`、`--help`	顯示說明和使用資訊。

`query-entra inheritance`

確認藍圖的可繼承權限設定正確，且代理身份是否真的會繼承這些權限。

a365 query-entra inheritance [options]

此指令會檢查藍圖上配置的每種資源兩項：

藍圖 inheritablePermissions 條目同時用於 kind=allAllowed 範圍與角色（所需配置）。
Blueprint 服務主體對該資源有實際的權限授權（沒有授權，即使設定正確，也沒有可繼承的權限）。

對於每個資源，指令會回報：

Scopes: OK—kind=allAllowed 是設定，且在藍圖 SP 上授予授權。
Scopes: WARN— kind=allAllowed' 被設定，但未授予委派權限，或條目使用傳統列舉表單。
Roles: OK—kind=allAllowed 已設定，且應用程式角色指派會在藍圖 SP 上授予。
Roles: WARN——與 Scopes WARN 對應用程式角色的條件相同。
Effective inheritance: OK——雙方都有 allAllowed ，且至少存在一項補助。從此藍圖建立的代理身份會繼承該資源的權限。
Effective inheritance: NONE—配置正確，但藍圖SP上沒有任何補助金。用全域管理員身份來 a365 setup permissions 新增補助金。
Effective inheritance: BROKEN——條目不會在一側或兩側使用 allAllowed 。快跑 a365 setup permissions 去和解。

如果任何資源的狀態不是 Effective inheritance: OK，指令會以程式碼1結束。使用此指令確認藍圖是否已準備好，或診斷代理身份未收到預期權限的原因。

`inheritance` 選項

Option	Description
`-n`、`--agent-name <name>`	特工基地名稱。當你提供這個選項時，就不需要設定檔了。
`--tenant-id <tenantId>`	Azure AD 租用戶識別碼。 Overrides autodetection. 與 `--agent-name` 搭配使用。
`-?`、`-h`、`--help`	顯示說明和使用資訊。

Tip

如果 Effective inheritance: NONE 一個或多個資源出現，最常見的原因是客戶端應用程式缺少 wids 可選的申訴。跑去 a365 setup requirements 自動偵測並修復。

`query-entra instance-scopes`

列出代理實例的配置範圍與同意狀態。

a365 query-entra instance-scopes [options]

此指令可檢索並顯示 Microsoft Entra ID 中代理實例應用程式的設定範圍及其同意狀態。

`instance-scopes` 選項

Option	Description
`-n`、`--agent-name <name>`	特工基地名稱。當你提供這個選項時，就不需要設定檔了。
`--tenant-id <tenantId>`	Azure AD 租用戶識別碼。 Overrides autodetection. 與 `--agent-name` 搭配使用。
`-v`、`--verbose`	啟用冗長記錄。
`-?`、`-h`、`--help`	顯示說明和使用資訊。

Note

要讀取租戶範圍的 OAuth2 授權，需要管理員權限 DelegatedPermissionGrant.Read.All 。如果你沒有該範圍登入，該指令會引導你到 Microsoft Entra 系統管理中心來確認同意狀態，而不是回報「admin 同意未被授予」。

意見反應

此頁面對您有幫助嗎？

Last updated on 2026-05-20

Agent 365 CLI query-entra 指令參考

Syntax

選項

query-entra blueprint-scopes

blueprint-scopes 選項

query-entra inheritance

inheritance 選項

query-entra instance-scopes

instance-scopes 選項