az ad app

Microsoft Entra アプリケーションを管理します。

コマンド

名前	説明	型	状態
az ad app create	アプリケーションを作成します。	コア	ジョージア 州
az ad app credential	アプリケーションのパスワードまたは証明書の資格情報を管理します。	コア	ジョージア 州
az ad app credential delete	アプリケーションのパスワードまたは証明書の資格情報を削除します。	コア	ジョージア 州
az ad app credential list	アプリケーションのパスワードまたは証明書資格情報のメタデータを一覧表示します。 (パスワードまたは証明書の資格情報の内容は取得できません)。	コア	ジョージア 州
az ad app credential reset	アプリケーションのパスワードまたは証明書の資格情報をリセットします。	コア	ジョージア 州
az ad app delete	アプリケーションを削除します。	コア	ジョージア 州
az ad app federated-credential	アプリケーションフェデレーション ID 資格情報を管理します。	コア	ジョージア 州
az ad app federated-credential create	アプリケーション フェデレーション ID 資格情報を作成します。	コア	ジョージア 州
az ad app federated-credential delete	アプリケーションフェデレーション ID 資格情報を削除します。	コア	ジョージア 州
az ad app federated-credential list	アプリケーションのフェデレーション ID 資格情報を一覧表示します。	コア	ジョージア 州
az ad app federated-credential show	アプリケーションフェデレーション ID 資格情報を表示します。	コア	ジョージア 州
az ad app federated-credential update	アプリケーションのフェデレーション ID 資格情報を更新します。	コア	ジョージア 州
az ad app list	アプリケーションを一覧表示します。	コア	ジョージア 州
az ad app owner	アプリケーションの所有者を管理します。	コア	ジョージア 州
az ad app owner add	アプリケーション所有者を追加します。	コア	ジョージア 州
az ad app owner list	アプリケーションの所有者を一覧表示します。	コア	ジョージア 州
az ad app owner remove	アプリケーション所有者を削除します。	コア	ジョージア 州
az ad app permission	アプリケーションの OAuth2 アクセス許可を管理します。	コア	ジョージア 州
az ad app permission add	API アクセス許可を追加します。	コア	ジョージア 州
az ad app permission admin-consent	管理者の同意を通じて、アプリケーション & 委任されたアクセス許可を付与します。	コア	ジョージア 州
az ad app permission delete	API アクセス許可を削除します。	コア	ジョージア 州
az ad app permission grant	アプリに API の委任されたアクセス許可を付与します。	コア	ジョージア 州
az ad app permission list	アプリケーションが要求した API アクセス許可を一覧表示します。	コア	ジョージア 州
az ad app permission list-grants	Oauth2 アクセス許可付与を一覧表示します。	コア	ジョージア 州
az ad app show	アプリケーションの詳細を取得します。	コア	ジョージア 州
az ad app update	アプリケーションを更新します。	コア	ジョージア 州

az ad app create

アプリケーションを作成します。

詳細なドキュメントについては、https://learn.microsoft.com/graph/api/resources/applicationを参照してください。

az ad app create --display-name
                 [--app-roles]
                 [--enable-access-token-issuance {false, true}]
                 [--enable-id-token-issuance {false, true}]
                 [--end-date]
                 [--identifier-uris]
                 [--is-fallback-public-client {false, true}]
                 [--key-display-name]
                 [--key-type {AsymmetricX509Cert, Password, Symmetric}]
                 [--key-usage {Sign, Verify}]
                 [--key-value]
                 [--optional-claims]
                 [--public-client-redirect-uris]
                 [--requested-access-token-version]
                 [--required-resource-accesses]
                 [--service-management-reference]
                 [--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
                 [--start-date]
                 [--web-home-page-url]
                 [--web-redirect-uris]

例

アプリケーションを作成します。

az ad app create --display-name mytestapp

Microsoft Graph の委任されたアクセス許可 User.Read を使用してパブリック クライアントにフォールバックできるアプリケーションを作成する

az ad app create --display-name my-public --is-fallback-public-client --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
        {
            "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
            "type": "Scope"
        }
   ]
}]

ロールを持つアプリケーションを作成する

az ad app create --display-name mytestapp --identifier-uris https://mytestapp.websites.net --app-roles @manifest.json
("manifest.json" contains the following content)
[{
    "allowedMemberTypes": [
      "User"
    ],
    "description": "Approvers can mark documents as approved",
    "displayName": "Approver",
    "isEnabled": "true",
    "value": "approver"
}]

省略可能な要求を含むアプリケーションを作成する

az ad app create --display-name mytestapp --optional-claims @manifest.json
("manifest.json" contains the following content)
{
    "idToken": [
        {
            "name": "auth_time",
            "essential": false
        }
    ],
    "accessToken": [
        {
            "name": "ipaddr",
            "essential": false
        }
    ],
    "saml2Token": [
        {
            "name": "upn",
            "essential": false
        },
        {
            "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
            "source": "user",
            "essential": false
        }
    ]
}

必須のパラメーター

--display-name

アプリケーションの表示名。

省略可能のパラメーター

--app-roles

アプリケーションに割り当てられたロールのコレクション。 アプリ ロールの割り当てでは、これらのロールを他のアプリケーションに関連付けられているユーザー、グループ、またはサービス プリンシパルに割り当てることができます。 JSON ファイル パスまたはインライン JSON 文字列である必要があります。 詳細については、例を参照してください。

--enable-access-token-issuance

この Web アプリケーションが OAuth 2.0 暗黙的フローを使用してアクセス トークンを要求できるかどうかを指定します。

指定可能な値: false, true

--enable-id-token-issuance

この Web アプリケーションが OAuth 2.0 の暗黙的フローを使用して ID トークンを要求できるかどうかを指定します。

指定可能な値: false, true

--end-date

資格情報の有効期限が切れる日付または日時 (例: '2017-12-31T11:59:59+00:00' または '2017-12-31')。 既定値は、現在の時刻から 1 年後です。

--identifier-uris

スペース区切りの値。 アプリ ID URI とも呼ばれるこの値は、アプリケーションがリソース アプリとして使用されるときに設定されます。 identifierUris は、API のコードで参照するスコープのプレフィックスとして機能し、グローバルに一意である必要があります。 指定された既定値 (api://<application-client-id>形式) を使用することも、https://contoso.com/apiなどの読みやすい URI を指定することもできます。

--is-fallback-public-client

モバイル デバイスで実行されているインストール済みアプリケーションなど、フォールバック アプリケーションの種類をパブリック クライアントとして指定します。 既定値は false です。これは、フォールバック アプリケーションの種類が Web アプリなどの機密クライアントであることを意味します。

指定可能な値: false, true

--key-display-name

キーのフレンドリ名。

--key-type

アプリケーションに関連付けられているキー資格情報の種類。

指定可能な値: AsymmetricX509Cert, Password, Symmetric

規定値: AsymmetricX509Cert

--key-usage

アプリケーションに関連付けられているキー資格情報の使用。

指定可能な値: Sign, Verify

規定値: Verify

--key-value

アプリケーションに関連付けられているキー資格情報の値。

--optional-claims

アプリケーション開発者は、Microsoft Entra アプリケーションでオプションの要求を構成して、Microsoft セキュリティ トークン サービスによってアプリケーションに送信される要求を指定できます。 詳細については、https://learn.microsoft.com/azure/active-directory/develop/active-directory-optional-claimsを参照してください。 JSON ファイル パスまたはインライン JSON 文字列である必要があります。 詳細については、例を参照してください。

--public-client-redirect-uris

スペース区切りの値。 ユーザー トークンがサインイン用に送信される URL、または OAuth 2.0 承認コードとアクセス トークンが送信されるリダイレクト URI を指定します。

--requested-access-token-version

このリソースで予期されるアクセス トークンのバージョンを指定します。 これにより、アクセス トークンの要求に使用されるエンドポイントまたはクライアントから独立して生成される JWT のバージョンと形式が変更されます。

--required-resource-accesses

アプリケーションがアクセスする必要があるリソースを指定します。 このプロパティは、委任されたアクセス許可のセットと、それらの各リソースに必要なアプリケーション ロールも指定します。 この必要なリソースへのアクセスの構成によって、同意エクスペリエンスが促進されます。 JSON ファイル パスまたはインライン JSON 文字列である必要があります。 詳細については、例を参照してください。

--service-management-reference

サービスまたは資産管理データベースからアプリケーションまたはサービスの連絡先情報を参照します。

--sign-in-audience

現在のアプリケーションでサポートされている Microsoft アカウントを指定します。

指定可能な値: AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount

--start-date

資格情報が有効になる日付または日時 (例: '2017-01-01T01:00:00+00:00' または '2017-01-01')。 既定値は現在の時刻です。

--web-home-page-url

アプリケーションのホーム ページまたはランディング ページ。

--web-redirect-uris

スペース区切りの値。 ユーザー トークンがサインイン用に送信される URL、または OAuth 2.0 承認コードとアクセス トークンが送信されるリダイレクト URI を指定します。

グローバル パラメーター

--debug

ログの詳細度を上げて、すべてのデバッグ ログを表示します。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告を抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。

--verbose

ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。

az ad app delete

アプリケーションを削除します。

az ad app delete --id

例

アプリケーションを削除します。 (自動生成)

az ad app delete --id 00000000-0000-0000-0000-000000000000

必須のパラメーター

--id

識別子 URI、アプリケーション ID、またはオブジェクト ID。

グローバル パラメーター

--debug

ログの詳細度を上げて、すべてのデバッグ ログを表示します。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告を抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。

--verbose

ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。

az ad app list

アプリケーションを一覧表示します。

待機時間が短い場合、既定では、フィルター引数を指定するか "--all" を使用しない限り、最初の 100 のみが返されます。

az ad app list [--all]
               [--app-id]
               [--display-name]
               [--filter]
               [--identifier-uri]
               [--show-mine]

省略可能のパラメーター

--all

大規模な組織の下で長い遅延が予想される、すべてのエンティティを一覧表示します。

--app-id

アプリケーション ID。

--display-name

アプリケーションの表示名。

--filter

OData フィルター(例: --filter "displayname eq 'test' and servicePrincipalType eq 'Application')。

--identifier-uri

グラフ アプリケーション識別子は、URI 形式である必要があります。

--show-mine

現在のユーザーが所有するエンティティを一覧表示します。

グローバル パラメーター

--debug

ログの詳細度を上げて、すべてのデバッグ ログを表示します。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告を抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。

--verbose

ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。

az ad app show

アプリケーションの詳細を取得します。

az ad app show --id

例

appId を使用してアプリケーションの詳細を取得します。

az ad app show --id 00000000-0000-0000-0000-000000000000

ID を持つアプリケーションの詳細を取得します。

az ad app show --id 00000000-0000-0000-0000-000000000000

識別子 URI を持つアプリケーションの詳細を取得します。

az ad app show --id api://myapp

必須のパラメーター

--id

識別子 URI、アプリケーション ID、またはオブジェクト ID。

グローバル パラメーター

--debug

ログの詳細度を上げて、すべてのデバッグ ログを表示します。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告を抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。

--verbose

ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。

az ad app update

アプリケーションを更新します。

az ad app update --id
                 [--add]
                 [--app-roles]
                 [--display-name]
                 [--enable-access-token-issuance {false, true}]
                 [--enable-id-token-issuance {false, true}]
                 [--end-date]
                 [--force-string]
                 [--identifier-uris]
                 [--is-fallback-public-client {false, true}]
                 [--key-display-name]
                 [--key-type {AsymmetricX509Cert, Password, Symmetric}]
                 [--key-usage {Sign, Verify}]
                 [--key-value]
                 [--optional-claims]
                 [--public-client-redirect-uris]
                 [--remove]
                 [--requested-access-token-version]
                 [--required-resource-accesses]
                 [--service-management-reference]
                 [--set]
                 [--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
                 [--start-date]
                 [--web-home-page-url]
                 [--web-redirect-uris]

例

Microsoft Graph の委任されたアクセス許可 User.Read を使用してアプリケーションを更新する

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
        {
            "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
            "type": "Scope"
        }
   ]
}]

アプリケーション ロールを宣言する

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --app-roles @manifest.json
("manifest.json" contains the following content)
[{
    "allowedMemberTypes": [
      "User"
    ],
    "description": "Approvers can mark documents as approved",
    "displayName": "Approver",
    "isEnabled": "true",
    "value": "approver"
}]

オプションの要求を更新する

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --optional-claims @manifest.json
("manifest.json" contains the following content)
{
    "idToken": [
        {
            "name": "auth_time",
            "essential": false
        }
    ],
    "accessToken": [
        {
            "name": "ipaddr",
            "essential": false
        }
    ],
    "saml2Token": [
        {
            "name": "upn",
            "essential": false
        },
        {
            "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
            "source": "user",
            "essential": false
        }
    ]
}

アプリケーションのグループ メンバーシップ要求を "All" に更新する

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --set groupMembershipClaims=All

必須のパラメーター

--id

識別子 URI、アプリケーション ID、またはオブジェクト ID。

省略可能のパラメーター

--add

パスとキー値のペアを指定して、オブジェクトの一覧にオブジェクトを追加します。 例: --add property.listProperty <key=value, string or JSON string>.

規定値: []

--app-roles

アプリケーションに割り当てられたロールのコレクション。 アプリ ロールの割り当てでは、これらのロールを他のアプリケーションに関連付けられているユーザー、グループ、またはサービス プリンシパルに割り当てることができます。 JSON ファイル パスまたはインライン JSON 文字列である必要があります。 詳細については、例を参照してください。

--display-name

アプリケーションの表示名。

--enable-access-token-issuance

この Web アプリケーションが OAuth 2.0 暗黙的フローを使用してアクセス トークンを要求できるかどうかを指定します。

指定可能な値: false, true

--enable-id-token-issuance

この Web アプリケーションが OAuth 2.0 の暗黙的フローを使用して ID トークンを要求できるかどうかを指定します。

指定可能な値: false, true

--end-date

資格情報の有効期限が切れる日付または日時 (例: '2017-12-31T11:59:59+00:00' または '2017-12-31')。 既定値は、現在の時刻から 1 年後です。

--force-string

'set' または 'add' を使用する場合は、JSON に変換するのではなく、文字列リテラルを保持します。

規定値: False

--identifier-uris

スペース区切りの値。 アプリ ID URI とも呼ばれるこの値は、アプリケーションがリソース アプリとして使用されるときに設定されます。 identifierUris は、API のコードで参照するスコープのプレフィックスとして機能し、グローバルに一意である必要があります。 指定された既定値 (api://<application-client-id>形式) を使用することも、https://contoso.com/apiなどの読みやすい URI を指定することもできます。

--is-fallback-public-client

モバイル デバイスで実行されているインストール済みアプリケーションなど、フォールバック アプリケーションの種類をパブリック クライアントとして指定します。 既定値は false です。これは、フォールバック アプリケーションの種類が Web アプリなどの機密クライアントであることを意味します。

指定可能な値: false, true

--key-display-name

キーのフレンドリ名。

--key-type

アプリケーションに関連付けられているキー資格情報の種類。

指定可能な値: AsymmetricX509Cert, Password, Symmetric

規定値: AsymmetricX509Cert

--key-usage

アプリケーションに関連付けられているキー資格情報の使用。

指定可能な値: Sign, Verify

規定値: Verify

--key-value

アプリケーションに関連付けられているキー資格情報の値。

--optional-claims

アプリケーション開発者は、Microsoft Entra アプリケーションでオプションの要求を構成して、Microsoft セキュリティ トークン サービスによってアプリケーションに送信される要求を指定できます。 詳細については、https://learn.microsoft.com/azure/active-directory/develop/active-directory-optional-claimsを参照してください。 JSON ファイル パスまたはインライン JSON 文字列である必要があります。 詳細については、例を参照してください。

--public-client-redirect-uris

スペース区切りの値。 ユーザー トークンがサインイン用に送信される URL、または OAuth 2.0 承認コードとアクセス トークンが送信されるリダイレクト URI を指定します。

--remove

リストからプロパティまたは要素を削除します。 例: --remove property.list <indexToRemove> OR --remove propertyToRemove。

規定値: []

--requested-access-token-version

このリソースで予期されるアクセス トークンのバージョンを指定します。 これにより、アクセス トークンの要求に使用されるエンドポイントまたはクライアントから独立して生成される JWT のバージョンと形式が変更されます。

--required-resource-accesses

アプリケーションがアクセスする必要があるリソースを指定します。 このプロパティは、委任されたアクセス許可のセットと、それらの各リソースに必要なアプリケーション ロールも指定します。 この必要なリソースへのアクセスの構成によって、同意エクスペリエンスが促進されます。 JSON ファイル パスまたはインライン JSON 文字列である必要があります。 詳細については、例を参照してください。

--service-management-reference

サービスまたは資産管理データベースからアプリケーションまたはサービスの連絡先情報を参照します。

--set

設定するプロパティ パスと値を指定して、オブジェクトを更新します。 例: --set property1.property2=<value>.

規定値: []

--sign-in-audience

現在のアプリケーションでサポートされている Microsoft アカウントを指定します。

指定可能な値: AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount

--start-date

資格情報が有効になる日付または日時 (例: '2017-01-01T01:00:00+00:00' または '2017-01-01')。 既定値は現在の時刻です。

--web-home-page-url

アプリケーションのホーム ページまたはランディング ページ。

--web-redirect-uris

スペース区切りの値。 ユーザー トークンがサインイン用に送信される URL、または OAuth 2.0 承認コードとアクセス トークンが送信されるリダイレクト URI を指定します。

グローバル パラメーター

--debug

ログの詳細度を上げて、すべてのデバッグ ログを表示します。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告を抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。

--verbose

ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。