你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
az ad app
管理 Microsoft Entra 应用程序。
命令
az ad app create
创建应用程序。
az ad app create --display-name
[--app-roles]
[--enable-access-token-issuance {false, true}]
[--enable-id-token-issuance {false, true}]
[--end-date]
[--identifier-uris]
[--is-fallback-public-client {false, true}]
[--key-display-name]
[--key-type {AsymmetricX509Cert, Password, Symmetric}]
[--key-usage {Sign, Verify}]
[--key-value]
[--optional-claims]
[--public-client-redirect-uris]
[--required-resource-accesses]
[--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
[--start-date]
[--web-home-page-url]
[--web-redirect-uris]示例
创建应用程序。
az ad app create --display-name mytestapp创建一个应用程序,该应用程序可以使用 Microsoft Graph 委派的权限 User.Read 回退到公共客户端
az ad app create --display-name my-public --is-fallback-public-client --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
"resourceAppId": "00000003-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
"type": "Scope"
}
]
}]创建具有角色的应用程序
az ad app create --display-name mytestapp --identifier-uris https://mytestapp.websites.net --app-roles @manifest.json
("manifest.json" contains the following content)
[{
"allowedMemberTypes": [
"User"
],
"description": "Approvers can mark documents as approved",
"displayName": "Approver",
"isEnabled": "true",
"value": "approver"
}]使用可选声明创建应用程序
az ad app create --display-name mytestapp --optional-claims @manifest.json
("manifest.json" contains the following content)
{
"idToken": [
{
"name": "auth_time",
"essential": false
}
],
"accessToken": [
{
"name": "ipaddr",
"essential": false
}
],
"saml2Token": [
{
"name": "upn",
"essential": false
},
{
"name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
"source": "user",
"essential": false
}
]
}必需参数
应用程序的显示名称。
可选参数
分配给应用程序的角色的集合。 通过应用角色分配,可以将这些角色分配给与其他应用程序关联的用户、组或服务主体。 应为 JSON 文件路径或内联 JSON 字符串。 有关详细信息,请参阅示例。
指定此 Web 应用程序是否可以使用 OAuth 2.0 隐式流请求访问令牌。
指定此 Web 应用程序是否可以使用 OAuth 2.0 隐式流请求 ID 令牌。
凭据过期的日期或日期/时间(例如“2017-12-31T11:59:59+00:00”或“2017-12-31”)。 默认值为当前时间后的一年。
空格分隔的值。 也称为应用 ID URI,当应用程序用作资源应用时,将设置此值。 identifierUris 充当将在 API 代码中引用的范围的前缀,并且它必须全局唯一。 可以使用提供的默认值(格式为 api://),或指定更易读的 URI,例如 https://contoso.com/api.
将回退应用程序类型指定为公共客户端,例如在移动设备上运行的已安装应用程序。 默认值为 false,这意味着回退应用程序类型是机密客户端,例如 Web 应用。
密钥的友好名称。
与应用程序关联的密钥凭据的类型。
与应用程序关联的密钥凭据的用法。
与应用程序关联的密钥凭据的值。
应用程序开发人员可以在 Microsoft Entra 应用程序中配置可选声明,以指定 Microsoft 安全令牌服务发送到其应用程序的声明。 有关详细信息,请参阅 https://docs.microsoft.com/azure/active-directory/develop/active-directory-optional-claims。 应为 JSON 文件路径或内联 JSON 字符串。 有关详细信息,请参阅示例。
空格分隔的值。 指定用于登录的用户令牌的 URL,或发送 OAuth 2.0 授权代码和访问令牌的重定向 URI。
指定应用程序需要访问的资源。 此属性还指定每个资源所需的委派权限和应用程序角色集。 此对所需资源的访问配置会驱动许可体验。 应为 JSON 文件路径或内联 JSON 字符串。 有关详细信息,请参阅示例。
指定当前应用程序支持的 Microsoft 帐户。
凭据生效的日期或日期/时间(例如“2017-01-01T01:00:00+00:00”或“2017-01-01”)。 默认值为当前时间。
应用程序的主页或登陆页。
空格分隔的值。 指定用于登录的用户令牌的 URL,或发送 OAuth 2.0 授权代码和访问令牌的重定向 URI。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az ad app delete
删除应用程序。
az ad app delete --id示例
删除应用程序。 (自动生成)
az ad app delete --id 00000000-0000-0000-0000-000000000000必需参数
标识符 URI、应用程序 ID 或对象 ID。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az ad app list
列出应用程序。
对于低延迟,默认情况下,仅返回前 100 个,除非提供筛选器参数或使用“--all”。
az ad app list [--all]
[--app-id]
[--display-name]
[--filter]
[--identifier-uri]
[--show-mine]可选参数
列出所有实体,如果大型组织下,预期延迟较长。
应用程序 ID。
应用程序的显示名称。
OData 筛选器,例如 --filter “displayname eq 'test' and servicePrincipalType eq 'Application'”。
图形应用程序标识符必须采用 URI 格式。
列出当前用户拥有的实体。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az ad app show
获取应用程序的详细信息。
az ad app show --id示例
使用 appId 获取应用程序的详细信息。
az ad app show --id 00000000-0000-0000-0000-000000000000获取 ID 为应用程序的详细信息。
az ad app show --id 00000000-0000-0000-0000-000000000000获取具有标识符 URI 的应用程序的详细信息。
az ad app show --id api://myapp必需参数
标识符 URI、应用程序 ID 或对象 ID。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az ad app update
更新应用程序。
az ad app update --id
[--add]
[--app-roles]
[--display-name]
[--enable-access-token-issuance {false, true}]
[--enable-id-token-issuance {false, true}]
[--end-date]
[--force-string]
[--identifier-uris]
[--is-fallback-public-client {false, true}]
[--key-display-name]
[--key-type {AsymmetricX509Cert, Password, Symmetric}]
[--key-usage {Sign, Verify}]
[--key-value]
[--optional-claims]
[--public-client-redirect-uris]
[--remove]
[--required-resource-accesses]
[--set]
[--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
[--start-date]
[--web-home-page-url]
[--web-redirect-uris]示例
使用 Microsoft Graph 委派的权限 User.Read 更新应用程序
az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
"resourceAppId": "00000003-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
"type": "Scope"
}
]
}]声明应用程序角色
az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --app-roles @manifest.json
("manifest.json" contains the following content)
[{
"allowedMemberTypes": [
"User"
],
"description": "Approvers can mark documents as approved",
"displayName": "Approver",
"isEnabled": "true",
"value": "approver"
}]更新可选声明
az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --optional-claims @manifest.json
("manifest.json" contains the following content)
{
"idToken": [
{
"name": "auth_time",
"essential": false
}
],
"accessToken": [
{
"name": "ipaddr",
"essential": false
}
],
"saml2Token": [
{
"name": "upn",
"essential": false
},
{
"name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
"source": "user",
"essential": false
}
]
}将应用程序的组成员身份声明更新为“全部”
az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --set groupMembershipClaims=All必需参数
标识符 URI、应用程序 ID 或对象 ID。
可选参数
通过指定路径和键值对将对象添加到对象列表。 示例:--add property.listProperty <key=value, string or JSON string>。
分配给应用程序的角色的集合。 通过应用角色分配,可以将这些角色分配给与其他应用程序关联的用户、组或服务主体。 应为 JSON 文件路径或内联 JSON 字符串。 有关详细信息,请参阅示例。
应用程序的显示名称。
指定此 Web 应用程序是否可以使用 OAuth 2.0 隐式流请求访问令牌。
指定此 Web 应用程序是否可以使用 OAuth 2.0 隐式流请求 ID 令牌。
凭据过期的日期或日期/时间(例如“2017-12-31T11:59:59+00:00”或“2017-12-31”)。 默认值为当前时间后的一年。
使用“set”或“add”时,保留字符串文本,而不是尝试转换为 JSON。
空格分隔的值。 也称为应用 ID URI,当应用程序用作资源应用时,将设置此值。 identifierUris 充当将在 API 代码中引用的范围的前缀,并且它必须全局唯一。 可以使用提供的默认值(格式为 api://),或指定更易读的 URI,例如 https://contoso.com/api.
将回退应用程序类型指定为公共客户端,例如在移动设备上运行的已安装应用程序。 默认值为 false,这意味着回退应用程序类型是机密客户端,例如 Web 应用。
密钥的友好名称。
与应用程序关联的密钥凭据的类型。
与应用程序关联的密钥凭据的用法。
与应用程序关联的密钥凭据的值。
应用程序开发人员可以在 Microsoft Entra 应用程序中配置可选声明,以指定 Microsoft 安全令牌服务发送到其应用程序的声明。 有关详细信息,请参阅 https://docs.microsoft.com/azure/active-directory/develop/active-directory-optional-claims。 应为 JSON 文件路径或内联 JSON 字符串。 有关详细信息,请参阅示例。
空格分隔的值。 指定用于登录的用户令牌的 URL,或发送 OAuth 2.0 授权代码和访问令牌的重定向 URI。
从列表中删除属性或元素。 示例: --remove property.list <indexToRemove> OR --remove propertyToRemove.
指定应用程序需要访问的资源。 此属性还指定每个资源所需的委派权限和应用程序角色集。 此对所需资源的访问配置会驱动许可体验。 应为 JSON 文件路径或内联 JSON 字符串。 有关详细信息,请参阅示例。
通过指定要设置的属性路径和值来更新对象。 示例:--set property1.property2=<value>。
指定当前应用程序支持的 Microsoft 帐户。
凭据生效的日期或日期/时间(例如“2017-01-01T01:00:00+00:00”或“2017-01-01”)。 默认值为当前时间。
应用程序的主页或登陆页。
空格分隔的值。 指定用于登录的用户令牌的 URL,或发送 OAuth 2.0 授权代码和访问令牌的重定向 URI。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
