az ad app permission
Verwalten sie die OAuth2-Berechtigungen einer Anwendung.
Befehle
Name | Beschreibung | Typ | Status |
---|---|---|---|
az ad app permission add |
Fügen Sie eine API-Berechtigung hinzu. |
Core | Allgemein verfügbar |
az ad app permission admin-consent |
Erteilen von Anwendungs- und delegierten Berechtigungen durch Administratorzustimmung. |
Core | Allgemein verfügbar |
az ad app permission delete |
Entfernen Sie eine API-Berechtigung. |
Core | Allgemein verfügbar |
az ad app permission grant |
Erteilen Sie der App eine API delegierte Berechtigungen. |
Core | Allgemein verfügbar |
az ad app permission list |
Api-Berechtigungen auflisten, die die Anwendung angefordert hat. |
Core | Allgemein verfügbar |
az ad app permission list-grants |
Oauth2-Berechtigungserteilungen auflisten. |
Core | Allgemein verfügbar |
az ad app permission add
Fügen Sie eine API-Berechtigung hinzu.
Das Aufrufen von "az ad app permission grant" ist erforderlich, um sie zu aktivieren.
Führen Sie zum Abrufen der verfügbaren Berechtigungen der Ressourcen-App aus az ad sp show --id <resource-appId>
. Um z. B. verfügbare Berechtigungen für die Microsoft Graph-API zu erhalten, führen Sie die Ausführung aus az ad sp show --id 00000003-0000-0000-c000-000000000000
. Anwendungsberechtigungen unter der appRoles
Eigenschaft entsprechen Role
in --api-permissions. Delegierte Berechtigungen unter der oauth2Permissions
Eigenschaft entsprechen Scope
in --api-permissions.
Ausführliche Informationen zu Microsoft Graph-Berechtigungen finden Sie unter https://learn.microsoft.com/graph/permissions-reference.
az ad app permission add --api
--api-permissions
--id
Beispiele
Hinzufügen delegierter Microsoft Graph-Berechtigung User.Read
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope
Hinzufügen der Anwendungsberechtigung "Application.ReadWrite.All" von Microsoft Graph
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role
Erforderliche Parameter
RequiredResourceAccess.resourceAppId – Der eindeutige Bezeichner für die Ressource, auf die die Anwendung Zugriff benötigt. Dies sollte der appId entsprechen, die in der Zielressourcenanwendung deklariert ist.
Durch Leerzeichen getrennte Liste von {id}={type}. {id} ist resourceAccess.id – Der eindeutige Bezeichner für eine der oauth2PermissionScopes- oder appRole-Instanzen, die die Ressourcenanwendung verfügbar macht. {type} ist "resourceAccess.type". Gibt an, ob die ID-Eigenschaft auf ein oauth2PermissionScopes- oder appRole-Objekt verweist. Mögliche Werte sind: Bereich (für OAuth 2.0-Berechtigungsbereiche) oder Rolle (für App-Rollen).
Id-URI, Anwendungs-ID oder Objekt-ID.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID
konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az ad app permission admin-consent
Erteilen von Anwendungs- und delegierten Berechtigungen durch Administratorzustimmung.
Sie müssen sich als globaler Administrator anmelden.
az ad app permission admin-consent --id
Beispiele
Erteilen von Anwendungs- und delegierten Berechtigungen durch Administratorzustimmung. (automatisch generiert)
az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
Erforderliche Parameter
Id-URI, Anwendungs-ID oder Objekt-ID.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID
konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az ad app permission delete
Entfernen Sie eine API-Berechtigung.
az ad app permission delete --api
--id
[--api-permissions]
Beispiele
Entfernen Sie Microsoft Graph-Berechtigungen.
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000
Entfernen delegierter Microsoft Graph-Berechtigung User.Read
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d
Erforderliche Parameter
RequiredResourceAccess.resourceAppId – Der eindeutige Bezeichner für die Ressource, auf die die Anwendung Zugriff benötigt. Dies sollte der appId entsprechen, die in der Zielressourcenanwendung deklariert ist.
Id-URI, Anwendungs-ID oder Objekt-ID.
Optionale Parameter
Specify ResourceAccess.id
: The unique identifier for one of the OAuth2Permission or AppRole instances that the resource application exposes. Durch Leerzeichen getrennte Liste von <resource-access-id>
.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID
konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az ad app permission grant
Erteilen Sie der App eine API delegierte Berechtigungen.
Ein Dienstprinzipal muss für die App vorhanden sein, wenn dieser Befehl ausgeführt wird. Um einen entsprechenden Dienstprinzipal zu erstellen, verwenden Sie az ad sp create --id {appId}
.
Verwenden Sie für Anwendungsberechtigungen "Anzeigen-App-Berechtigungsadministratorzustimmung".
az ad app permission grant --api,
--id,
--scope
[--consent-type {AllPrincipals, Principal}]
[--principal-id]
Beispiele
Gewähren einer nativen Anwendung mit Berechtigungen für den Zugriff auf eine vorhandene API mit TTL von 2 Jahren
az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All
Erforderliche Parameter
Die ID des Ressourcendienstprinzipals, auf den der Zugriff autorisiert ist. Dadurch wird die API identifiziert, die der Client autorisiert ist, um im Namen eines angemeldeten Benutzers aufzurufen.
Die ID des Clientdienstprinzipals für die Anwendung, die berechtigt ist, im Namen eines angemeldeten Benutzers zu handeln, wenn auf eine API zugegriffen wird.
Eine durch Leerzeichen getrennte Liste der Anspruchswerte für delegierte Berechtigungen, die in Zugriffstoken für die Ressourcenanwendung (die API) enthalten sein sollten. Beispiel: openid User.Read GroupMember.Read.All. Jeder Anspruchswert sollte mit dem Wertfeld einer der delegierten Berechtigungen übereinstimmen, die von der API definiert sind, die in der oauth2PermissionScopes-Eigenschaft des Ressourcendienstprinzipals aufgeführt sind.
Optionale Parameter
Gibt an, ob die Autorisierung für die Clientanwendung zum Identitätswechsel aller Benutzer oder nur eines bestimmten Benutzers erteilt wird. "AllPrincipals" gibt die Autorisierung zum Identitätswechsel aller Benutzer an. "Prinzipal" gibt die Autorisierung zum Identitätswechsel eines bestimmten Benutzers an. Die Zustimmung im Namen aller Benutzer kann von einem Administrator erteilt werden. Nicht-Administratorbenutzer können berechtigt sein, im Auftrag von sich selbst für einige delegierte Berechtigungen zuzustimmen.
Die ID des Benutzers im Auftrag, von dem der Client für den Zugriff auf die Ressource autorisiert ist, wenn consentType "Principal" ist. Wenn consentType "AllPrincipals" lautet, ist dieser Wert null. Erforderlich, wenn consentType "Principal" ist.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID
konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az ad app permission list
Api-Berechtigungen auflisten, die die Anwendung angefordert hat.
az ad app permission list --id
Beispiele
Auflisten der OAuth2-Berechtigungen für eine Anwendung.
az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234
Erforderliche Parameter
Bezeichner-URI, Anwendungs-ID oder Objekt-ID der zugeordneten Anwendung.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID
konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az ad app permission list-grants
Oauth2-Berechtigungserteilungen auflisten.
az ad app permission list-grants [--filter]
[--id]
[--show-resource-name {false, true}]
Beispiele
oauth2-Berechtigungen auflisten, die dem Dienstprinzipal gewährt wurden
az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456
Optionale Parameter
OData-Filter, z. B. --filter "displayname eq 'test' and servicePrincipalType eq 'Application'".
Id-URI, Anwendungs-ID oder Objekt-ID.
Anzeigename der Ressource anzeigen.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID
konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.