az ad app permission
Verwalten sie die OAuth2-Berechtigungen einer Anwendung.
Befehle
| Name | Beschreibung | Typ | Status |
|---|---|---|---|
| az ad app permission add |
Fügen Sie eine API-Berechtigung hinzu. |
Kern | GA |
| az ad app permission admin-consent |
Gewähren Sie der Anwendung & delegierte Berechtigungen über die Administratorzustimmung. |
Kern | GA |
| az ad app permission delete |
Entfernen Sie eine API-Berechtigung. |
Kern | GA |
| az ad app permission grant |
Erteilen Sie der App eine API delegierte Berechtigungen. |
Kern | GA |
| az ad app permission list |
Api-Berechtigungen auflisten, die die Anwendung angefordert hat. |
Kern | GA |
| az ad app permission list-grants |
Oauth2-Berechtigungserteilungen auflisten. |
Kern | GA |
az ad app permission add
Fügen Sie eine API-Berechtigung hinzu.
Das Aufrufen von "az ad app permission grant" ist erforderlich, um sie zu aktivieren.
Um verfügbare Berechtigungen der Ressourcen-App zu erhalten, führen Sie az ad sp show --id <resource-appId>aus. Um beispielsweise verfügbare Berechtigungen für die Microsoft Graph-API zu erhalten, führen Sie az ad sp show --id 00000003-0000-0000-c000-000000000000aus. Anwendungsberechtigungen unter der appRoles-Eigenschaft entsprechen Role in --api-permissions. Delegierte Berechtigungen unter der eigenschaft oauth2Permissions entsprechen Scope in --api-permissions.
Ausführliche Informationen zu Microsoft Graph-Berechtigungen finden Sie unter https://learn.microsoft.com/graph/permissions-reference.
az ad app permission add --api
--api-permissions
--idBeispiele
Hinzufügen delegierter Microsoft Graph-Berechtigung User.Read
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=ScopeHinzufügen der Anwendungsberechtigung "Application.ReadWrite.All" von Microsoft Graph
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=RoleErforderliche Parameter
RequiredResourceAccess.resourceAppId – Der eindeutige Bezeichner für die Ressource, auf die die Anwendung Zugriff benötigt. Dies sollte der appId entsprechen, die in der Zielressourcenanwendung deklariert ist.
Durch Leerzeichen getrennte Liste von {id}={type}. {id} ist resourceAccess.id – Der eindeutige Bezeichner für eine der oauth2PermissionScopes- oder appRole-Instanzen, die die Ressourcenanwendung verfügbar macht. {type} ist "resourceAccess.type". Gibt an, ob die ID-Eigenschaft auf ein oauth2PermissionScopes- oder appRole-Objekt verweist. Mögliche Werte sind: Bereich (für OAuth 2.0-Berechtigungsbereiche) oder Rolle (für App-Rollen).
Id-URI, Anwendungs-ID oder Objekt-ID.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
az ad app permission admin-consent
Gewähren Sie der Anwendung & delegierte Berechtigungen über die Administratorzustimmung.
Sie müssen sich als globaler Administrator anmelden.
az ad app permission admin-consent --idBeispiele
Gewähren Sie der Anwendung & delegierte Berechtigungen über die Administratorzustimmung. (automatisch generiert)
az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000Erforderliche Parameter
Id-URI, Anwendungs-ID oder Objekt-ID.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
az ad app permission delete
Entfernen Sie eine API-Berechtigung.
az ad app permission delete --api
--id
[--api-permissions]Beispiele
Entfernen Sie Microsoft Graph-Berechtigungen.
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000Entfernen delegierter Microsoft Graph-Berechtigung User.Read
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683dErforderliche Parameter
RequiredResourceAccess.resourceAppId – Der eindeutige Bezeichner für die Ressource, auf die die Anwendung Zugriff benötigt. Dies sollte der appId entsprechen, die in der Zielressourcenanwendung deklariert ist.
Id-URI, Anwendungs-ID oder Objekt-ID.
Optionale Parameter
Geben Sie ResourceAccess.id an: Der eindeutige Bezeichner für eine der OAuth2Permission- oder AppRole-Instanzen, die von der Ressourcenanwendung verfügbar gemacht werden. Leerzeichentrennte Liste der <resource-access-id>.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
az ad app permission grant
Erteilen Sie der App eine API delegierte Berechtigungen.
Ein Dienstprinzipal muss für die App vorhanden sein, wenn dieser Befehl ausgeführt wird. Verwenden Sie az ad sp create --id {appId}, um einen entsprechenden Dienstprinzipal zu erstellen.
Verwenden Sie für Anwendungsberechtigungen "Anzeigen-App-Berechtigungsadministratorzustimmung".
az ad app permission grant --api,
--id,
--scope
[--consent-type {AllPrincipals, Principal}]
[--principal-id]Beispiele
Gewähren einer nativen Anwendung mit Berechtigungen für den Zugriff auf eine vorhandene API mit TTL von 2 Jahren
az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.AllErforderliche Parameter
Die ID des Ressourcendienstprinzipals, auf den der Zugriff autorisiert ist. Dadurch wird die API identifiziert, die der Client autorisiert ist, um im Namen eines angemeldeten Benutzers aufzurufen.
Die ID des Clientdienstprinzipals für die Anwendung, die berechtigt ist, im Namen eines angemeldeten Benutzers zu handeln, wenn auf eine API zugegriffen wird.
Eine durch Leerzeichen getrennte Liste der Anspruchswerte für delegierte Berechtigungen, die in Zugriffstoken für die Ressourcenanwendung (die API) enthalten sein sollten. Beispiel: openid User.Read GroupMember.Read.All. Jeder Anspruchswert sollte mit dem Wertfeld einer der delegierten Berechtigungen übereinstimmen, die von der API definiert sind, die in der oauth2PermissionScopes-Eigenschaft des Ressourcendienstprinzipals aufgeführt sind.
Optionale Parameter
Gibt an, ob die Autorisierung für die Clientanwendung zum Identitätswechsel aller Benutzer oder nur eines bestimmten Benutzers erteilt wird. "AllPrincipals" gibt die Autorisierung zum Identitätswechsel aller Benutzer an. "Prinzipal" gibt die Autorisierung zum Identitätswechsel eines bestimmten Benutzers an. Die Zustimmung im Namen aller Benutzer kann von einem Administrator erteilt werden. Nicht-Administratorbenutzer können berechtigt sein, im Auftrag von sich selbst für einige delegierte Berechtigungen zuzustimmen.
Die ID des Benutzers im Auftrag, von dem der Client für den Zugriff auf die Ressource autorisiert ist, wenn consentType "Principal" ist. Wenn consentType "AllPrincipals" lautet, ist dieser Wert null. Erforderlich, wenn consentType "Principal" ist.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
az ad app permission list
Api-Berechtigungen auflisten, die die Anwendung angefordert hat.
az ad app permission list --idBeispiele
Auflisten der OAuth2-Berechtigungen für eine Anwendung.
az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234Erforderliche Parameter
Bezeichner-URI, Anwendungs-ID oder Objekt-ID der zugeordneten Anwendung.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
az ad app permission list-grants
Oauth2-Berechtigungserteilungen auflisten.
az ad app permission list-grants [--filter]
[--id]
[--show-resource-name {false, true}]Beispiele
oauth2-Berechtigungen auflisten, die dem Dienstprinzipal gewährt wurden
az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456Optionale Parameter
OData-Filter, z. B. --filter "displayname eq 'test' and servicePrincipalType eq 'Application'".
Id-URI, Anwendungs-ID oder Objekt-ID.
Anzeigename der Ressource anzeigen.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
