az ad app permission

Управление разрешениями OAuth2 приложения.

Команды

Имя Описание Тип Состояние
az ad app permission add

Добавление разрешения API.

Core GA
az ad app permission admin-consent

Предоставьте приложениям & делегированные разрешения с помощью согласия администратора.

Core GA
az ad app permission delete

Удалите разрешение API.

Core GA
az ad app permission grant

Предоставьте приложению делегированные разрешения API.

Core GA
az ad app permission list

Вывод списка разрешений API, запрошенных приложением.

Core GA
az ad app permission list-grants

Вывод списка разрешений Oauth2.

Core GA

az ad app permission add

Добавление разрешения API.

Для его активации требуется вызов "az ad app permission grant".

Чтобы получить доступные разрешения для приложения ресурсов, выполните az ad sp show --id <resource-appId>. Например, чтобы получить доступные разрешения для Microsoft API Graph, запустите az ad sp show --id 00000003-0000-0000-c000-000000000000. Разрешения приложения в свойстве appRoles соответствуют Role в --api-permissions. Делегированные разрешения в свойстве oauth2Permissions соответствуют Scope в --api-разрешениях.

Дополнительные сведения о разрешениях Microsoft Graph см. в разделе https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id
                         [--acquire-policy-token]
                         [--change-reference]

Примеры

Добавление Microsoft Graph делегированного разрешения User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Добавление разрешения приложения Microsoft Graph Application.ReadWrite.All

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Обязательные параметры

--api

RequiredResourceAccess.resourceAppId — уникальный идентификатор ресурса, к которому требуется доступ приложения. Это должно быть равно идентификатору appId, объявленному в целевом приложении ресурсов.

--api-permissions

Разделенный пробелами список {id}={type}. {id} — это resourceAccess.id — уникальный идентификатор для одного из экземпляров oauth2PermissionScopes или appRole, предоставляемых приложением ресурсов. {type} — resourceAccess.type— указывает, ссылается ли свойство идентификатора на oauth2PermissionScopes или appRole. Возможные значения: область (для областей разрешений OAuth 2.0) или Role (для ролей приложения).

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

Необязательные параметры

Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.

--acquire-policy-token

Автоматическое получение маркера Политика Azure для этой операции ресурса.

Свойство Значение
Группа параметров: Global Policy Arguments
--change-reference

Связанный идентификатор ссылки на изменение для этой операции ресурса.

Свойство Значение
Группа параметров: Global Policy Arguments
Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

Свойство Значение
Значение по умолчанию: False
--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

Свойство Значение
Значение по умолчанию: False
--output -o

Формат вывода.

Свойство Значение
Значение по умолчанию: json
Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Свойство Значение
Значение по умолчанию: False

Предоставьте приложениям & делегированные разрешения с помощью согласия администратора.

Необходимо войти в систему в качестве глобального администратора.

az ad app permission admin-consent --id
                                   [--acquire-policy-token]
                                   [--change-reference]

Предоставьте приложениям & делегированные разрешения с помощью согласия администратора. (autogenerated)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.

--acquire-policy-token

Автоматическое получение маркера Политика Azure для этой операции ресурса.

Свойство Значение
Группа параметров: Global Policy Arguments
--change-reference

Связанный идентификатор ссылки на изменение для этой операции ресурса.

Свойство Значение
Группа параметров: Global Policy Arguments
Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

Свойство Значение
Значение по умолчанию: False
--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

Свойство Значение
Значение по умолчанию: False
--output -o

Формат вывода.

Свойство Значение
Значение по умолчанию: json
Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Свойство Значение
Значение по умолчанию: False

az ad app permission delete

Удалите разрешение API.

az ad app permission delete --api
                            --id
                            [--acquire-policy-token]
                            [--api-permissions]
                            [--change-reference]

Примеры

Удалите разрешения Microsoft Graph.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Удаление Microsoft Graph делегированного разрешения User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Обязательные параметры

--api

RequiredResourceAccess.resourceAppId — уникальный идентификатор ресурса, к которому требуется доступ приложения. Это должно быть равно идентификатору appId, объявленному в целевом приложении ресурсов.

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

Необязательные параметры

Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.

--acquire-policy-token

Автоматическое получение маркера Политика Azure для этой операции ресурса.

Свойство Значение
Группа параметров: Global Policy Arguments
--api-permissions

Укажите ResourceAccess.id — уникальный идентификатор для одного из экземпляров OAuth2Permission или AppRole, предоставляемых приложением ресурсов. Разделенный пробелами список <resource-access-id>.

--change-reference

Связанный идентификатор ссылки на изменение для этой операции ресурса.

Свойство Значение
Группа параметров: Global Policy Arguments
Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

Свойство Значение
Значение по умолчанию: False
--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

Свойство Значение
Значение по умолчанию: False
--output -o

Формат вывода.

Свойство Значение
Значение по умолчанию: json
Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Свойство Значение
Значение по умолчанию: False

az ad app permission grant

Предоставьте приложению делегированные разрешения API.

Субъект-служба должен существовать для приложения при выполнении этой команды. Чтобы создать соответствующий субъект-службу, используйте az ad sp create --id {appId}. Для разрешений приложения используйте "ad app permission admin-consent".

az ad app permission grant --api, --resource-id
                           --id, --client-id
                           --scope
                           [--acquire-policy-token]
                           [--change-reference]
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Примеры

Предоставление собственного приложения с разрешениями на доступ к существующему API с TTL 2 года

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Обязательные параметры

--api, --resource-id

Идентификатор субъекта-службы ресурсов, к которому разрешен доступ. Это определяет API, который клиент может попытаться вызвать от имени пользователя, вошедшего в систему.

--id, --client-id

Идентификатор субъекта-службы клиента для приложения, которому разрешено действовать от имени вошедшего пользователя при доступе к API.

--scope

Разделенный пробелом список значений утверждений для делегированных разрешений, которые должны быть включены в маркеры доступа для приложения ресурсов (API). Например, openid User.Read GroupMember.Read.All. Каждое значение утверждения должно соответствовать полю значения одного из делегированных разрешений, определенных API, перечисленных в свойстве oauth2PermissionScopes субъекта-службы ресурсов.

Необязательные параметры

Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.

--acquire-policy-token

Автоматическое получение маркера Политика Azure для этой операции ресурса.

Свойство Значение
Группа параметров: Global Policy Arguments
--change-reference

Связанный идентификатор ссылки на изменение для этой операции ресурса.

Свойство Значение
Группа параметров: Global Policy Arguments
--consent-type

Указывает, предоставляется ли авторизация клиентскому приложению олицетворения всех пользователей или только определенного пользователя. AllPrincipals означает авторизацию для олицетворения всех пользователей. "Субъект" указывает, что авторизация для олицетворения конкретного пользователя. Согласие от имени всех пользователей может быть предоставлено администратором. Пользователи, не являющиеся администраторами, могут быть авторизованы на согласие от имени себя в некоторых случаях для некоторых делегированных разрешений.

Свойство Значение
Значение по умолчанию: AllPrincipals
Допустимые значения: AllPrincipals, Principal
--principal-id

Идентификатор пользователя, от имени которого клиент может получить доступ к ресурсу, когда тип согласия является субъектом. Если параметр consentType имеет значение AllPrincipals, это значение равно NULL. Требуется, если тип согласия — "Субъект".

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

Свойство Значение
Значение по умолчанию: False
--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

Свойство Значение
Значение по умолчанию: False
--output -o

Формат вывода.

Свойство Значение
Значение по умолчанию: json
Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Свойство Значение
Значение по умолчанию: False

az ad app permission list

Вывод списка разрешений API, запрошенных приложением.

az ad app permission list --id

Примеры

Вывод списка разрешений OAuth2 для приложения.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Обязательные параметры

--id

URI идентификатора, идентификатор приложения или идентификатор объекта связанного приложения.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

Свойство Значение
Значение по умолчанию: False
--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

Свойство Значение
Значение по умолчанию: False
--output -o

Формат вывода.

Свойство Значение
Значение по умолчанию: json
Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Свойство Значение
Значение по умолчанию: False

az ad app permission list-grants

Вывод списка разрешений Oauth2.

az ad app permission list-grants [--acquire-policy-token]
                                 [--change-reference]
                                 [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Примеры

список разрешений oauth2, предоставленных субъекту-службе

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Необязательные параметры

Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.

--acquire-policy-token

Автоматическое получение маркера Политика Azure для этой операции ресурса.

Свойство Значение
Группа параметров: Global Policy Arguments
--change-reference

Связанный идентификатор ссылки на изменение для этой операции ресурса.

Свойство Значение
Группа параметров: Global Policy Arguments
--filter

Фильтр OData, например --filter "displayname eq 'test" и servicePrincipalType eq 'Application'.

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

--show-resource-name -r

Отображение отображаемого имени ресурса.

Свойство Значение
Допустимые значения: false, true
Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

Свойство Значение
Значение по умолчанию: False
--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

Свойство Значение
Значение по умолчанию: False
--output -o

Формат вывода.

Свойство Значение
Значение по умолчанию: json
Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Свойство Значение
Значение по умолчанию: False