az ad app permission

アプリケーションの OAuth2 アクセス許可を管理します。

コマンド

名前	説明	型	Status
az ad app permission add	API アクセス許可を追加します。	コア	GA
az ad app permission admin-consent	管理者の同意を通じて、アプリケーションと委任されたアクセス許可を付与します。	コア	GA
az ad app permission delete	API アクセス許可を削除します。	コア	GA
az ad app permission grant	アプリに API の委任されたアクセス許可を付与します。	コア	GA
az ad app permission list	アプリケーションが要求した API アクセス許可を一覧表示します。	コア	GA
az ad app permission list-grants	Oauth2 アクセス許可付与を一覧表示します。	コア	GA

az ad app permission add

API アクセス許可を追加します。

アクティブ化するには、"az ad app permission grant" を呼び出す必要があります。

リソース アプリの使用可能なアクセス許可を取得するには、次を実行 az ad sp show --id <resource-appId>します。 たとえば、Microsoft Graph API で使用可能なアクセス許可を取得するには、次を実行 az ad sp show --id 00000003-0000-0000-c000-000000000000します。 プロパティの下のアプリケーションのアクセス許可は appRoles 、--api-permissions に対応 Role します。 プロパティの委任されたアクセス許可は oauth2Permissions 、--api-permissions に対応 Scope します。

Microsoft Graph のアクセス許可の詳細については、次を参照してください https://learn.microsoft.com/graph/permissions-reference。

az ad app permission add --api
                         --api-permissions
                         --id

例

Microsoft Graph の委任されたアクセス許可 User.Read を追加する

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Microsoft Graph アプリケーションのアクセス許可 Application.ReadWrite.All を追加する

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

必須のパラメーター

--api

RequiredResourceAccess.resourceAppId - アプリケーションがアクセスする必要があるリソースの一意識別子。 これは、ターゲット リソース アプリケーションで宣言されている appId と同じである必要があります。

--api-permissions

{id}={type} のスペース区切りリスト。 {id} が resourceAccess.id - リソース アプリケーションが公開する oauth2PermissionScopes または appRole インスタンスの一意識別子。 {type} が resourceAccess.type - id プロパティが oauth2PermissionScopes または appRole を参照するかどうかを指定します。 使用可能な値は、スコープ (OAuth 2.0 アクセス許可スコープの場合) またはロール (アプリ ロールの場合) です。

--id

識別子 URI、アプリケーション ID、またはオブジェクト ID。

グローバル パラメーター

--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az ad app permission admin-consent

管理者の同意を通じて、アプリケーションと委任されたアクセス許可を付与します。

グローバル管理者としてログインする必要があります。

az ad app permission admin-consent --id

例

管理者の同意を通じて、アプリケーションと委任されたアクセス許可を付与します。 (自動生成)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000

必須のパラメーター

--id

識別子 URI、アプリケーション ID、またはオブジェクト ID。

グローバル パラメーター

--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az ad app permission delete

API アクセス許可を削除します。

az ad app permission delete --api
                            --id
                            [--api-permissions]

例

Microsoft Graph のアクセス許可を削除します。

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Microsoft Graph の委任されたアクセス許可 User.Read を削除する

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

必須のパラメーター

--api

RequiredResourceAccess.resourceAppId - アプリケーションがアクセスする必要があるリソースの一意識別子。 これは、ターゲット リソース アプリケーションで宣言されている appId と同じである必要があります。

--id

識別子 URI、アプリケーション ID、またはオブジェクト ID。

省略可能のパラメーター

--api-permissions

指定 ResourceAccess.id - リソース アプリケーションが公開する OAuth2Permission インスタンスまたは AppRole インスタンスの一意識別子。 のスペース区切り <resource-access-id>リスト。

グローバル パラメーター

--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az ad app permission grant

アプリに API の委任されたアクセス許可を付与します。

このコマンドを実行するときは、アプリのサービス プリンシパルが存在する必要があります。 対応するサービス プリンシパルを作成するには、az ad sp create --id {appId} アプリケーションのアクセス許可については、「広告アプリのアクセス許可管理者の同意」を使用してください。

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

例

TTL が 2 年の既存の API にアクセスするためのアクセス許可を持つネイティブ アプリケーションを付与する

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

必須のパラメーター

--api, --resource-id

アクセスが承認されるリソース サービス プリンシパルの ID。 これにより、サインインしているユーザーの代わりにクライアントが呼び出そうとする権限を持つ API が識別されます。

--id, --client-id

API にアクセスするときにサインインしているユーザーの代わりに動作する権限を持つアプリケーションのクライアント サービス プリンシパルの ID。

--scope

リソース アプリケーション (API) のアクセス トークンに含める必要がある委任されたアクセス許可の要求値のスペース区切りのリスト。 たとえば、openid User.Read GroupMember.Read.All です。 各要求値は、リソース サービス プリンシパルの oauth2PermissionScopes プロパティに記載されている、API によって定義された委任されたアクセス許可の 1 つの値フィールドと一致する必要があります。

省略可能のパラメーター

--consent-type

すべてのユーザーを偽装する権限をクライアント アプリケーションに付与するか、特定のユーザーのみを偽装するかを示します。 'AllPrincipals' は、すべてのユーザーを偽装する承認を示します。 'Principal' は、特定のユーザーを偽装するための承認を示します。 すべてのユーザーに代わって同意を付与できるのは、管理者です。 管理者以外のユーザーは、場合によっては、一部の委任されたアクセス許可に対して、自分自身に代わって同意することを承認される場合があります。

承認された値: AllPrincipals, Principal

既定値: AllPrincipals

--principal-id

consentType が 'Principal' の場合、クライアントがリソースへのアクセスを許可されているユーザーの代わりに使用される ID。 consentType が 'AllPrincipals' の場合、この値は null です。 consentType が 'Principal' の場合は必須です。

グローバル パラメーター

--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az ad app permission list

アプリケーションが要求した API アクセス許可を一覧表示します。

az ad app permission list --id

例

アプリケーションの OAuth2 アクセス許可を一覧表示します。

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

必須のパラメーター

--id

関連付けられているアプリケーションの識別子 URI、アプリケーション ID、またはオブジェクト ID。

グローバル パラメーター

--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az ad app permission list-grants

Oauth2 アクセス許可付与を一覧表示します。

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

例

サービス プリンシパルに付与された oauth2 アクセス許可を一覧表示する

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

省略可能のパラメーター

--filter

OData フィルター(例: --filter "displayname eq 'test' and servicePrincipalType eq 'Application')。

--id

識別子 URI、アプリケーション ID、またはオブジェクト ID。

--show-resource-name -r

リソースの表示名を表示します。

承認された値: false, true

グローバル パラメーター

--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。