Поделиться через

az ad app permission

  • Ссылка

Управление разрешениями OAuth2 приложения.

Команды

Имя Описание Тип Состояние
az ad app permission add

Добавление разрешения API.

 Ядро ГА
az ad app permission admin-consent

Предоставьте приложениям & делегированные разрешения с помощью согласия администратора.

 Ядро ГА
az ad app permission delete

Удалите разрешение API.

 Ядро ГА
az ad app permission grant

Предоставьте приложению делегированные разрешения API.

 Ядро ГА
az ad app permission list

Вывод списка разрешений API, запрошенных приложением.

 Ядро ГА
az ad app permission list-grants

Вывод списка разрешений Oauth2.

 Ядро ГА

az ad app permission add

Изменить

Добавление разрешения API.

Для его активации требуется вызов "az ad app permission grant".

Чтобы получить доступные разрешения для приложения ресурсов, выполните az ad sp show --id <resource-appId>. Например, чтобы получить доступные разрешения для API Microsoft Graph, выполните az ad sp show --id 00000003-0000-0000-c000-000000000000. Разрешения приложения в свойстве appRoles соответствуют Role в --api-permissions. Делегированные разрешения в свойстве oauth2Permissions соответствуют Scope в --api-разрешениях.

Дополнительные сведения о разрешениях Microsoft Graph см. в https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id

Примеры

Добавление делегированного разрешения Microsoft Graph User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Добавление разрешения приложения Microsoft Graph Application.ReadWrite.All

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Обязательные параметры

--api

RequiredResourceAccess.resourceAppId — уникальный идентификатор ресурса, к которому требуется доступ приложения. Это должно быть равно идентификатору appId, объявленному в целевом приложении ресурсов.

--api-permissions

Разделенный пробелами список {id}={type}. {id} — это resourceAccess.id — уникальный идентификатор для одного из экземпляров oauth2PermissionScopes или appRole, предоставляемых приложением ресурсов. {type} — resourceAccess.type— указывает, ссылается ли свойство идентификатора на oauth2PermissionScopes или appRole. Возможные значения: область (для областей разрешений OAuth 2.0) или Role (для ролей приложения).

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Изменить

Предоставьте приложениям & делегированные разрешения с помощью согласия администратора.

Необходимо войти в систему в качестве глобального администратора.

az ad app permission admin-consent --id

Предоставьте приложениям & делегированные разрешения с помощью согласия администратора. (автоматическое создание)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app permission delete

Изменить

Удалите разрешение API.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Примеры

Удалите разрешения Microsoft Graph.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Удаление делегированного разрешения Microsoft Graph User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Обязательные параметры

--api

RequiredResourceAccess.resourceAppId — уникальный идентификатор ресурса, к которому требуется доступ приложения. Это должно быть равно идентификатору appId, объявленному в целевом приложении ресурсов.

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

Необязательные параметры

--api-permissions

Укажите ResourceAccess.id — уникальный идентификатор для одного из экземпляров OAuth2Permission или AppRole, предоставляемых приложением ресурсов. Разделенный пробелами список <resource-access-id>.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app permission grant

Изменить

Предоставьте приложению делегированные разрешения API.

Субъект-служба должен существовать для приложения при выполнении этой команды. Чтобы создать соответствующий субъект-службу, используйте az ad sp create --id {appId}. Для разрешений приложения используйте "ad app permission admin-consent".

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Примеры

Предоставление собственного приложения с разрешениями на доступ к существующему API с TTL 2 года

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Обязательные параметры

--api, --resource-id

Идентификатор субъекта-службы ресурсов, к которому разрешен доступ. Это определяет API, который клиент может попытаться вызвать от имени пользователя, вошедшего в систему.

--id, --client-id

Идентификатор субъекта-службы клиента для приложения, которому разрешено действовать от имени вошедшего пользователя при доступе к API.

--scope

Разделенный пробелом список значений утверждений для делегированных разрешений, которые должны быть включены в маркеры доступа для приложения ресурсов (API). Например, openid User.Read GroupMember.Read.All. Каждое значение утверждения должно соответствовать полю значения одного из делегированных разрешений, определенных API, перечисленных в свойстве oauth2PermissionScopes субъекта-службы ресурсов.

Необязательные параметры

--consent-type

Указывает, предоставляется ли авторизация клиентскому приложению олицетворения всех пользователей или только определенного пользователя. AllPrincipals означает авторизацию для олицетворения всех пользователей. "Субъект" указывает, что авторизация для олицетворения конкретного пользователя. Согласие от имени всех пользователей может быть предоставлено администратором. Пользователи, не являющиеся администраторами, могут быть авторизованы на согласие от имени себя в некоторых случаях для некоторых делегированных разрешений.

Допустимые значения: AllPrincipals, Principal
Default value: AllPrincipals
--principal-id

Идентификатор пользователя, от имени которого клиент может получить доступ к ресурсу, когда тип согласия является субъектом. Если параметр consentType имеет значение AllPrincipals, это значение равно NULL. Требуется, если тип согласия — "Субъект".

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app permission list

Изменить

Вывод списка разрешений API, запрошенных приложением.

az ad app permission list --id

Примеры

Вывод списка разрешений OAuth2 для приложения.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Обязательные параметры

--id

URI идентификатора, идентификатор приложения или идентификатор объекта связанного приложения.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app permission list-grants

Изменить

Вывод списка разрешений Oauth2.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Примеры

список разрешений oauth2, предоставленных субъекту-службе

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Необязательные параметры

--filter

Фильтр OData, например --filter "displayname eq 'test" и servicePrincipalType eq 'Application'.

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

--show-resource-name -r

Отображение отображаемого имени ресурса.

Допустимые значения: false, true
Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.