az ad app permission

Gerencie as permissões OAuth2 de um aplicativo.

Comandos

Name	Description	Tipo	Estado
az ad app permission add	Adicione uma permissão de API.	Principal	GA
az ad app permission admin-consent	Conceder permissões delegadas ao Aplicativo & por meio do consentimento do administrador.	Principal	GA
az ad app permission delete	Remova uma permissão de API.	Principal	GA
az ad app permission grant	Conceda ao aplicativo permissões delegadas de API.	Principal	GA
az ad app permission list	Listar permissões de API que o aplicativo solicitou.	Principal	GA
az ad app permission list-grants	Listar concessões de permissão Oauth2.	Principal	GA

az ad app permission add

Adicione uma permissão de API.

Invocar "az ad app permission grant" é necessário para ativá-lo.

Para obter permissões disponíveis do aplicativo de recurso, execute az ad sp show --id <resource-appId>. Por exemplo, para obter permissões disponíveis para a API do Microsoft Graph, execute az ad sp show --id 00000003-0000-0000-c000-000000000000. As permissões de aplicativo sob a appRoles propriedade correspondem a Role in --api-permissions. As permissões delegadas sob a oauth2Permissions propriedade correspondem a Scope in --api-permissions.

Para obter detalhes sobre as permissões do Microsoft Graph, consulte https://learn.microsoft.com/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id

Exemplos

Adicionar permissão delegada do Microsoft Graph User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Adicionar permissão de aplicativo do Microsoft Graph Application.ReadWrite.All

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Parâmetros Obrigatórios

--api

RequiredResourceAccess.resourceAppId - O identificador exclusivo do recurso ao qual o aplicativo requer acesso. Isso deve ser igual ao appId declarado no aplicativo de recurso de destino.

--api-permissions

Lista separada por espaço de {id}={type}. {id} é resourceAccess.id - O identificador exclusivo de uma das instâncias oauth2PermissionScopes ou appRole que o aplicativo de recurso expõe. {type} is resourceAccess.type - Especifica se a propriedade id faz referência a um oauth2PermissionScopes ou a um appRole. Os valores possíveis são: Escopo (para escopos de permissão do OAuth 2.0) ou Função (para funções de aplicativo).

--id

Uri do identificador, ID do aplicativo ou ID do objeto.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az ad app permission admin-consent

Conceder permissões delegadas ao Aplicativo & por meio do consentimento do administrador.

Tem de iniciar sessão como administrador global.

az ad app permission admin-consent --id

Exemplos

Conceder permissões delegadas ao Aplicativo & por meio do consentimento do administrador. (gerado automaticamente)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000

Parâmetros Obrigatórios

--id

Uri do identificador, ID do aplicativo ou ID do objeto.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az ad app permission delete

Remova uma permissão de API.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Exemplos

Remova as permissões do Microsoft Graph.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Remover permissão delegada do Microsoft Graph User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Parâmetros Obrigatórios

--api

RequiredResourceAccess.resourceAppId - O identificador exclusivo do recurso ao qual o aplicativo requer acesso. Isso deve ser igual ao appId declarado no aplicativo de recurso de destino.

--id

Uri do identificador, ID do aplicativo ou ID do objeto.

Parâmetros Opcionais

--api-permissions

Specify ResourceAccess.id - O identificador exclusivo para uma das instâncias OAuth2Permission ou AppRole que o aplicativo de recurso expõe. Lista separada por espaços de <resource-access-id>.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az ad app permission grant

Conceda ao aplicativo permissões delegadas de API.

Uma entidade de serviço deve existir para o aplicativo ao executar esse comando. Para criar uma entidade de serviço correspondente, use az ad sp create --id {appId}. Para permissões de aplicativos, use "ad app permission admin-consent".

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Exemplos

Conceda a um aplicativo nativo com permissões para acessar uma API existente com TTL de 2 anos

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Parâmetros Obrigatórios

--api, --resource-id

A id da entidade de serviço de recurso à qual o acesso é autorizado. Isso identifica a API que o cliente está autorizado a tentar chamar em nome de um usuário conectado.

--id, --client-id

A id da entidade de serviço do cliente para o aplicativo que está autorizado a agir em nome de um usuário conectado ao acessar uma API.

--scope

Uma lista separada por espaços dos valores de declaração para permissões delegadas que devem ser incluídas em tokens de acesso para o aplicativo de recurso (a API). Por exemplo, openid User.Read GroupMember.Read.All. Cada valor de declaração deve corresponder ao campo de valor de uma das permissões delegadas definidas pela API, listadas na propriedade oauth2PermissionScopes da entidade de serviço de recurso.

Parâmetros Opcionais

--consent-type

Indica se a autorização é concedida para que o aplicativo cliente represente todos os usuários ou apenas um usuário específico. 'AllPrincipals' indica autorização para se passar por todos os utilizadores. 'Principal' indica autorização para se fazer passar por um utilizador específico. O consentimento em nome de todos os usuários pode ser concedido por um administrador. Usuários não administradores podem ser autorizados a consentir em nome de si mesmos em alguns casos, para algumas permissões delegadas.

valores aceites: AllPrincipals, Principal

valor predefinido: AllPrincipals

--principal-id

O id do usuário em nome do qual o cliente está autorizado a acessar o recurso, quando consentType é 'Principal'. Se consentType for 'AllPrincipals', esse valor será null. Obrigatório quando consentType é 'Principal'.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az ad app permission list

Listar permissões de API que o aplicativo solicitou.

az ad app permission list --id

Exemplos

Liste as permissões OAuth2 para um aplicativo.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Parâmetros Obrigatórios

--id

Uri do identificador, id do aplicativo ou id do objeto do aplicativo associado.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az ad app permission list-grants

Listar concessões de permissão Oauth2.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Exemplos

Listar permissões OAuth2 concedidas à entidade de serviço

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Parâmetros Opcionais

--filter

Filtro OData, por exemplo, --filter "displayname eq 'test' e servicePrincipalType eq 'Application'".

--id

Uri do identificador, ID do aplicativo ou ID do objeto.

--show-resource-name -r

Mostrar nome de exibição do recurso.

valores aceites: false, true

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.