az ad app permission

Umožňuje spravovat oprávnění OAuth2 aplikace.

Příkazy

Name	Description	Typ	Stav
az ad app permission add	Přidejte oprávnění rozhraní API.	Základ	GA
az ad app permission admin-consent	Udělte aplikaci a delegovaná oprávnění prostřednictvím souhlasu správce.	Základ	GA
az ad app permission delete	Odeberte oprávnění rozhraní API.	Základ	GA
az ad app permission grant	Udělte aplikaci delegovaná oprávnění rozhraní API.	Základ	GA
az ad app permission list	Výpis oprávnění rozhraní API, která aplikace požadovala.	Základ	GA
az ad app permission list-grants	Výpis udělení oprávnění Oauth2	Základ	GA

az ad app permission add

Přidejte oprávnění rozhraní API.

K jeho aktivaci je potřeba vyvolání příkazu az ad app permission grant.

Pokud chcete získat dostupná oprávnění aplikace prostředků, spusťte az ad sp show --id <resource-appId>příkaz . Pokud například chcete získat dostupná oprávnění pro rozhraní Microsoft Graph API, spusťte az ad sp show --id 00000003-0000-0000-c000-000000000000příkaz . Oprávnění aplikace v rámci appRoles vlastnosti odpovídají Role oprávněním --api-permissions. Delegovaná oprávnění v rámci oauth2Permissions vlastnosti odpovídají Scope oprávněním --api-permissions.

Podrobnosti o oprávněních Microsoft Graphu najdete v tématu https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id

Příklady

Přidání delegovaného oprávnění Microsoft Graph User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Přidání oprávnění aplikace Microsoft Graph Application.ReadWrite.All

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Povinné parametry

--api

RequiredResourceAccess.resourceAppId – jedinečný identifikátor prostředku, ke kterému aplikace vyžaduje přístup. Mělo by to být stejné jako appId deklarované v cílové aplikaci prostředků.

--api-permissions

Seznam oddělený mezerami {id}={type}. {id} je resourceAccess.id – jedinečný identifikátor jedné z instancí oauth2PermissionScopes nebo appRole, které aplikace prostředků zveřejňuje. {type} je resourceAccess.type – Určuje, jestli vlastnost ID odkazuje na oauth2PermissionScopes nebo appRole. Možné hodnoty jsou: Obor (pro obory oprávnění OAuth 2.0) nebo Role (pro role aplikací).

--id

Identifikátor URI, ID aplikace nebo ID objektu.

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

přijímané hodnoty: json, jsonc, none, table, tsv, yaml, yamlc

výchozí hodnota: json

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

az ad app permission admin-consent

Udělte aplikaci a delegovaná oprávnění prostřednictvím souhlasu správce.

Musíte se přihlásit jako globální správce.

az ad app permission admin-consent --id

Příklady

Udělte aplikaci a delegovaná oprávnění prostřednictvím souhlasu správce. (automaticky vygenerováno)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000

Povinné parametry

--id

Identifikátor URI, ID aplikace nebo ID objektu.

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

přijímané hodnoty: json, jsonc, none, table, tsv, yaml, yamlc

výchozí hodnota: json

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

az ad app permission delete

Odeberte oprávnění rozhraní API.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Příklady

Odeberte oprávnění Microsoft Graphu.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Odebrání delegovaného oprávnění Microsoft Graph User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Povinné parametry

--api

RequiredResourceAccess.resourceAppId – jedinečný identifikátor prostředku, ke kterému aplikace vyžaduje přístup. Mělo by to být stejné jako appId deklarované v cílové aplikaci prostředků.

--id

Identifikátor URI, ID aplikace nebo ID objektu.

Volitelné parametry

--api-permissions

Zadejte ResourceAccess.id – jedinečný identifikátor jedné z instancí OAuth2Permission nebo AppRole, které aplikace prostředků zveřejňuje. Seznam <resource-access-id>oddělený mezerami .

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

přijímané hodnoty: json, jsonc, none, table, tsv, yaml, yamlc

výchozí hodnota: json

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

az ad app permission grant

Udělte aplikaci delegovaná oprávnění rozhraní API.

Při spuštění tohoto příkazu musí pro aplikaci existovat instanční objekt. K vytvoření odpovídajícího instančního objektu použijte az ad sp create --id {appId}. Pro oprávnění aplikace použijte příkaz "ad app permission admin-consent".

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Příklady

Udělení nativní aplikace s oprávněními pro přístup k existujícímu rozhraní API s TTL 2 roky

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Povinné parametry

--api, --resource-id

ID instančního objektu prostředku, ke kterému je autorizovaný přístup. Identifikuje rozhraní API, které má klient oprávnění k pokusu o volání jménem přihlášeného uživatele.

--id, --client-id

ID instančního objektu klienta pro aplikaci, která má oprávnění jednat jménem přihlášeného uživatele při přístupu k rozhraní API.

--scope

Seznam hodnot deklarací identity pro delegovaná oprávnění, která by měla být zahrnuta do přístupových tokenů pro aplikaci prostředků (rozhraní API). Například openid User.Read GroupMember.Read.All. Každá hodnota deklarace identity by měla odpovídat poli hodnoty jednoho z delegovaných oprávnění definovaných rozhraním API uvedeným ve vlastnosti oauth2PermissionScopes instančního objektu prostředku.

Volitelné parametry

--consent-type

Určuje, jestli je pro klientskou aplikaci udělena autorizace k zosobnění všech uživatelů nebo pouze konkrétního uživatele. AllPrincipals označuje autorizaci pro zosobnění všech uživatelů. Instanční objekt označuje autorizaci k zosobnění konkrétního uživatele. Souhlas jménem všech uživatelů může udělit správce. Uživatelé, kteří nejsou správci, můžou mít v některých případech oprávnění k vyjádření souhlasu jménem sebe sama u některých delegovaných oprávnění.

přijímané hodnoty: AllPrincipals, Principal

výchozí hodnota: AllPrincipals

--principal-id

ID uživatele jménem, jehož klient má oprávnění pro přístup k prostředku, pokud je consentType "Principal". Pokud je consentType AllPrincipals, má tato hodnota hodnotu null. Vyžaduje se, když je typ consentType instanční objekt.

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

přijímané hodnoty: json, jsonc, none, table, tsv, yaml, yamlc

výchozí hodnota: json

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

az ad app permission list

Výpis oprávnění rozhraní API, která aplikace požadovala.

az ad app permission list --id

Příklady

Vypíše oprávnění OAuth2 pro aplikaci.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Povinné parametry

--id

Identifikátor URI, ID aplikace nebo ID objektu přidružené aplikace.

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

přijímané hodnoty: json, jsonc, none, table, tsv, yaml, yamlc

výchozí hodnota: json

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

az ad app permission list-grants

Výpis udělení oprávnění Oauth2

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Příklady

výpis oprávnění oauth2 udělená instančnímu objektu

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Volitelné parametry

--filter

Filtr OData, například --filter "displayname eq 'test' and servicePrincipalType eq 'Application'.

--id

Identifikátor URI, ID aplikace nebo ID objektu.

--show-resource-name -r

Zobrazit zobrazovaný název zdroje

přijímané hodnoty: false, true

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

přijímané hodnoty: json, jsonc, none, table, tsv, yaml, yamlc

výchozí hodnota: json

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.