az ad app permission
Управление разрешениями OAuth2 приложения.
Команды
| Имя | Описание | Тип | Состояние |
|---|---|---|---|
| az ad app permission add |
Добавление разрешения API. |
Core | GA |
| az ad app permission admin-consent |
Предоставьте приложениям & делегированные разрешения с помощью согласия администратора. |
Core | GA |
| az ad app permission delete |
Удалите разрешение API. |
Core | GA |
| az ad app permission grant |
Предоставьте приложению делегированные разрешения API. |
Core | GA |
| az ad app permission list |
Вывод списка разрешений API, запрошенных приложением. |
Core | GA |
| az ad app permission list-grants |
Вывод списка разрешений Oauth2. |
Core | GA |
az ad app permission add
Добавление разрешения API.
Для его активации требуется вызов "az ad app permission grant".
Чтобы получить доступные разрешения для приложения ресурсов, выполните az ad sp show --id <resource-appId>. Например, чтобы получить доступные разрешения для Microsoft API Graph, запустите az ad sp show --id 00000003-0000-0000-c000-000000000000. Разрешения приложения в свойстве appRoles соответствуют Role в --api-permissions. Делегированные разрешения в свойстве oauth2Permissions соответствуют Scope в --api-разрешениях.
Дополнительные сведения о разрешениях Microsoft Graph см. в разделе https://learn.microsoft.com/graph/permissions-reference.
az ad app permission add --api
--api-permissions
--id
[--acquire-policy-token]
[--change-reference]
Примеры
Добавление Microsoft Graph делегированного разрешения User.Read
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope
Добавление разрешения приложения Microsoft Graph Application.ReadWrite.All
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role
Обязательные параметры
RequiredResourceAccess.resourceAppId — уникальный идентификатор ресурса, к которому требуется доступ приложения. Это должно быть равно идентификатору appId, объявленному в целевом приложении ресурсов.
Разделенный пробелами список {id}={type}. {id} — это resourceAccess.id — уникальный идентификатор для одного из экземпляров oauth2PermissionScopes или appRole, предоставляемых приложением ресурсов. {type} — resourceAccess.type— указывает, ссылается ли свойство идентификатора на oauth2PermissionScopes или appRole. Возможные значения: область (для областей разрешений OAuth 2.0) или Role (для ролей приложения).
URI идентификатора, идентификатор приложения или идентификатор объекта.
Необязательные параметры
Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.
Автоматическое получение маркера Политика Azure для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Связанный идентификатор ссылки на изменение для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
az ad app permission admin-consent
Предоставьте приложениям & делегированные разрешения с помощью согласия администратора.
Необходимо войти в систему в качестве глобального администратора.
az ad app permission admin-consent --id
[--acquire-policy-token]
[--change-reference]
Примеры
Предоставьте приложениям & делегированные разрешения с помощью согласия администратора. (autogenerated)
az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
Обязательные параметры
URI идентификатора, идентификатор приложения или идентификатор объекта.
Необязательные параметры
Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.
Автоматическое получение маркера Политика Azure для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Связанный идентификатор ссылки на изменение для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
az ad app permission delete
Удалите разрешение API.
az ad app permission delete --api
--id
[--acquire-policy-token]
[--api-permissions]
[--change-reference]
Примеры
Удалите разрешения Microsoft Graph.
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000
Удаление Microsoft Graph делегированного разрешения User.Read
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d
Обязательные параметры
RequiredResourceAccess.resourceAppId — уникальный идентификатор ресурса, к которому требуется доступ приложения. Это должно быть равно идентификатору appId, объявленному в целевом приложении ресурсов.
URI идентификатора, идентификатор приложения или идентификатор объекта.
Необязательные параметры
Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.
Автоматическое получение маркера Политика Azure для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Укажите ResourceAccess.id — уникальный идентификатор для одного из экземпляров OAuth2Permission или AppRole, предоставляемых приложением ресурсов. Разделенный пробелами список <resource-access-id>.
Связанный идентификатор ссылки на изменение для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
az ad app permission grant
Предоставьте приложению делегированные разрешения API.
Субъект-служба должен существовать для приложения при выполнении этой команды. Чтобы создать соответствующий субъект-службу, используйте az ad sp create --id {appId}.
Для разрешений приложения используйте "ad app permission admin-consent".
az ad app permission grant --api, --resource-id
--id, --client-id
--scope
[--acquire-policy-token]
[--change-reference]
[--consent-type {AllPrincipals, Principal}]
[--principal-id]
Примеры
Предоставление собственного приложения с разрешениями на доступ к существующему API с TTL 2 года
az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All
Обязательные параметры
Идентификатор субъекта-службы ресурсов, к которому разрешен доступ. Это определяет API, который клиент может попытаться вызвать от имени пользователя, вошедшего в систему.
Идентификатор субъекта-службы клиента для приложения, которому разрешено действовать от имени вошедшего пользователя при доступе к API.
Разделенный пробелом список значений утверждений для делегированных разрешений, которые должны быть включены в маркеры доступа для приложения ресурсов (API). Например, openid User.Read GroupMember.Read.All. Каждое значение утверждения должно соответствовать полю значения одного из делегированных разрешений, определенных API, перечисленных в свойстве oauth2PermissionScopes субъекта-службы ресурсов.
Необязательные параметры
Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.
Автоматическое получение маркера Политика Azure для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Связанный идентификатор ссылки на изменение для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Указывает, предоставляется ли авторизация клиентскому приложению олицетворения всех пользователей или только определенного пользователя. AllPrincipals означает авторизацию для олицетворения всех пользователей. "Субъект" указывает, что авторизация для олицетворения конкретного пользователя. Согласие от имени всех пользователей может быть предоставлено администратором. Пользователи, не являющиеся администраторами, могут быть авторизованы на согласие от имени себя в некоторых случаях для некоторых делегированных разрешений.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | AllPrincipals |
| Допустимые значения: | AllPrincipals, Principal |
Идентификатор пользователя, от имени которого клиент может получить доступ к ресурсу, когда тип согласия является субъектом. Если параметр consentType имеет значение AllPrincipals, это значение равно NULL. Требуется, если тип согласия — "Субъект".
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
az ad app permission list
Вывод списка разрешений API, запрошенных приложением.
az ad app permission list --id
Примеры
Вывод списка разрешений OAuth2 для приложения.
az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234
Обязательные параметры
URI идентификатора, идентификатор приложения или идентификатор объекта связанного приложения.
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
az ad app permission list-grants
Вывод списка разрешений Oauth2.
az ad app permission list-grants [--acquire-policy-token]
[--change-reference]
[--filter]
[--id]
[--show-resource-name {false, true}]
Примеры
список разрешений oauth2, предоставленных субъекту-службе
az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456
Необязательные параметры
Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.
Автоматическое получение маркера Политика Azure для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Связанный идентификатор ссылки на изменение для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Фильтр OData, например --filter "displayname eq 'test" и servicePrincipalType eq 'Application'.
URI идентификатора, идентификатор приложения или идентификатор объекта.
Отображение отображаемого имени ресурса.
| Свойство | Значение |
|---|---|
| Допустимые значения: | false, true |
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |