az ad app permission

Gérer les autorisations OAuth2 d’une application.

Commandes

Nom	Description	Type	Statut
az ad app permission add	Ajoutez une autorisation d’API.	Core	GA
az ad app permission admin-consent	Accordez des autorisations d’application et déléguées par le biais du consentement de l’administrateur.	Core	GA
az ad app permission delete	Supprimez une autorisation d’API.	Core	GA
az ad app permission grant	Accordez à l’application des autorisations déléguées d’API.	Core	GA
az ad app permission list	Répertorier les autorisations d’API demandées par l’application.	Core	GA
az ad app permission list-grants	Répertorier les octrois d’autorisations Oauth2.	Core	GA

az ad app permission add

Ajoutez une autorisation d’API.

L’appel de « az ad app permission grant » est nécessaire pour l’activer.

Pour obtenir les autorisations disponibles de l’application de ressource, exécutez az ad sp show --id <resource-appId>. Par exemple, pour obtenir des autorisations disponibles pour l’API Microsoft Graph, exécutez az ad sp show --id 00000003-0000-0000-c000-000000000000. Les autorisations d’application sous la appRoles propriété correspondent à Role --api-permissions. Les autorisations déléguées sous la oauth2Permissions propriété correspondent à Scope --api-permissions.

Pour plus d’informations sur les autorisations Microsoft Graph, consultez https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id

Exemples

Ajouter l’autorisation déléguée Microsoft Graph User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Ajouter l’autorisation d’application Microsoft Graph Application.ReadWrite.All

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Paramètres obligatoires

--api

RequiredResourceAccess.resourceAppId : identificateur unique de la ressource à laquelle l’application a besoin d’accès. Cette valeur doit être égale à l’appID déclaré sur l’application de ressources cible.

--api-permissions

Liste séparée par l’espace de {id}={type}. {id} est resourceAccess.id : identificateur unique pour l’une des instances oauth2PermissionScopes ou appRole exposées par l’application de ressource. {type} est resourceAccess.type : spécifie si la propriété id fait référence à un objet oauth2PermissionScopes ou à un appRole. Les valeurs possibles sont les suivantes : Étendue (pour les étendues d’autorisation OAuth 2.0) ou Rôle (pour les rôles d’application).

--id

URI d’identificateur, ID d’application ou ID d’objet.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az ad app permission admin-consent

Accordez des autorisations d’application et déléguées par le biais du consentement de l’administrateur.

Vous devez vous connecter en tant qu’administrateur général.

az ad app permission admin-consent --id

Exemples

Accordez des autorisations d’application et déléguées par le biais du consentement de l’administrateur. (généré automatiquement)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000

Paramètres obligatoires

--id

URI d’identificateur, ID d’application ou ID d’objet.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az ad app permission delete

Supprimez une autorisation d’API.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Exemples

Supprimez les autorisations Microsoft Graph.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Supprimer l’autorisation déléguée Microsoft Graph User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Paramètres obligatoires

--api

RequiredResourceAccess.resourceAppId : identificateur unique de la ressource à laquelle l’application a besoin d’accès. Cette valeur doit être égale à l’appID déclaré sur l’application de ressources cible.

--id

URI d’identificateur, ID d’application ou ID d’objet.

Paramètres facultatifs

--api-permissions

Spécifiez ResourceAccess.id : identificateur unique pour l’une des instances OAuth2Permission ou AppRole exposées par l’application de ressource. Liste séparée par l’espace de <resource-access-id>.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az ad app permission grant

Accordez à l’application des autorisations déléguées d’API.

Un principal de service doit exister pour l’application lors de l’exécution de cette commande. Pour créer un principal de service correspondant, utilisez az ad sp create --id {appId}. Pour les autorisations d’application, utilisez « ad app permission admin-consent ».

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Exemples

Accorder à une application native des autorisations d’accès à une API existante avec la durée de vie de 2 ans

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Paramètres obligatoires

--api, --resource-id

ID du principal du service de ressources auquel l’accès est autorisé. Cela identifie l’API que le client est autorisé à tenter d’appeler pour le compte d’un utilisateur connecté.

--id, --client-id

ID du principal du service client pour l’application autorisée à agir pour le compte d’un utilisateur connecté lors de l’accès à une API.

--scope

Liste séparée par un espace des valeurs de revendication pour les autorisations déléguées qui doivent être incluses dans les jetons d’accès pour l’application de ressource (l’API). Par exemple, openid User.Read GroupMember.Read.All. Chaque valeur de revendication doit correspondre au champ valeur de l’une des autorisations déléguées définies par l’API, répertoriée dans la propriété oauth2PermissionScopes du principal du service de ressources.

Paramètres facultatifs

--consent-type

Indique si l’autorisation est accordée à l’application cliente pour emprunter l’identité de tous les utilisateurs ou uniquement d’un utilisateur spécifique. « AllPrincipals » indique l’autorisation d’emprunter l’identité de tous les utilisateurs. 'Principal' indique l’autorisation d’emprunter l’identité d’un utilisateur spécifique. Le consentement pour le compte de tous les utilisateurs peut être accordé par un administrateur. Les utilisateurs non administrateurs peuvent être autorisés à donner leur consentement pour le compte d’eux-mêmes dans certains cas, pour certaines autorisations déléguées.

valeurs acceptées: AllPrincipals, Principal

valeur par défaut: AllPrincipals

--principal-id

ID de l’utilisateur au nom duquel le client est autorisé à accéder à la ressource, lorsque consentType est « Principal ». Si consentType est « AllPrincipals », cette valeur est null. Obligatoire lorsque consentType est « Principal ».

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az ad app permission list

Répertorier les autorisations d’API demandées par l’application.

az ad app permission list --id

Exemples

Répertoriez les autorisations OAuth2 pour une application.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Paramètres obligatoires

--id

URI d’identificateur, ID d’application ou ID d’objet de l’application associée.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az ad app permission list-grants

Répertorier les octrois d’autorisations Oauth2.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Exemples

répertorier les autorisations oauth2 accordées au principal de service

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Paramètres facultatifs

--filter

Filtre OData, par exemple --filter « displayname eq 'test' et servicePrincipalType eq 'Application' ».

--id

URI d’identificateur, ID d’application ou ID d’objet.

--show-resource-name -r

Afficher le nom d’affichage de la ressource.

valeurs acceptées: false, true

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.