az ad app

Управление приложениями Microsoft Entra.

Команды

Имя	Описание	Тип	Состояние
az ad app create	Создание приложения.	Основные сведения	Общедоступная версия
az ad app credential	Управление паролем или учетными данными сертификата приложения.	Основные сведения	Общедоступная версия
az ad app credential delete	Удалите пароль или учетные данные сертификата приложения.	Основные сведения	Общедоступная версия
az ad app credential list	Вывод списка метаданных учетных данных учетных данных или пароля приложения. (Содержимое пароля или учетных данных сертификата не может быть извлечено.)	Основные сведения	Общедоступная версия
az ad app credential reset	Сброс пароля или учетных данных сертификата приложения.	Основные сведения	Общедоступная версия
az ad app delete	Удаление приложения.	Основные сведения	Общедоступная версия
az ad app federated-credential	Управление учетными данными федеративного удостоверения приложения.	Основные сведения	Общедоступная версия
az ad app federated-credential create	Создайте учетные данные федеративного удостоверения приложения.	Основные сведения	Общедоступная версия
az ad app federated-credential delete	Удаление учетных данных федеративного удостоверения приложения.	Основные сведения	Общедоступная версия
az ad app federated-credential list	Перечисление учетных данных федеративного удостоверения приложения.	Основные сведения	Общедоступная версия
az ad app federated-credential show	Отображение учетных данных федеративного удостоверения приложения.	Основные сведения	Общедоступная версия
az ad app federated-credential update	Обновите учетные данные федеративного удостоверения приложения.	Основные сведения	Общедоступная версия
az ad app list	Вывод списка приложений.	Основные сведения	Общедоступная версия
az ad app owner	Управление владельцами приложений.	Основные сведения	Общедоступная версия
az ad app owner add	Добавьте владельца приложения.	Основные сведения	Общедоступная версия
az ad app owner list	Вывод списка владельцев приложений.	Основные сведения	Общедоступная версия
az ad app owner remove	Удалите владельца приложения.	Основные сведения	Общедоступная версия
az ad app permission	Управление разрешениями OAuth2 приложения.	Основные сведения	Общедоступная версия
az ad app permission add	Добавление разрешения API.	Основные сведения	Общедоступная версия
az ad app permission admin-consent	Предоставьте приложениям и делегированным разрешениям через согласие администратора.	Основные сведения	Общедоступная версия
az ad app permission delete	Удалите разрешение API.	Основные сведения	Общедоступная версия
az ad app permission grant	Предоставьте приложению делегированные разрешения API.	Основные сведения	Общедоступная версия
az ad app permission list	Вывод списка разрешений API, запрошенных приложением.	Основные сведения	Общедоступная версия
az ad app permission list-grants	Вывод списка разрешений Oauth2.	Основные сведения	Общедоступная версия
az ad app show	Получение сведений о приложении.	Основные сведения	Общедоступная версия
az ad app update	Обновление приложения.	Основные сведения	Общедоступная версия

az ad app create

Создание приложения.

Дополнительные сведения см. в документации https://docs.microsoft.com/graph/api/resources/application.

az ad app create --display-name
                 [--app-roles]
                 [--enable-access-token-issuance {false, true}]
                 [--enable-id-token-issuance {false, true}]
                 [--end-date]
                 [--identifier-uris]
                 [--is-fallback-public-client {false, true}]
                 [--key-display-name]
                 [--key-type {AsymmetricX509Cert, Password, Symmetric}]
                 [--key-usage {Sign, Verify}]
                 [--key-value]
                 [--optional-claims]
                 [--public-client-redirect-uris]
                 [--required-resource-accesses]
                 [--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
                 [--start-date]
                 [--web-home-page-url]
                 [--web-redirect-uris]

Примеры

Создание приложения.

az ad app create --display-name mytestapp

Создание приложения, которое может вернуться к общедоступному клиенту с делегированным разрешением User.Read в Microsoft Graph.

az ad app create --display-name my-public --is-fallback-public-client --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
        {
            "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
            "type": "Scope"
        }
   ]
}]

Создание приложения с ролью

az ad app create --display-name mytestapp --identifier-uris https://mytestapp.websites.net --app-roles @manifest.json
("manifest.json" contains the following content)
[{
    "allowedMemberTypes": [
      "User"
    ],
    "description": "Approvers can mark documents as approved",
    "displayName": "Approver",
    "isEnabled": "true",
    "value": "approver"
}]

Создание приложения с необязательными утверждениями

az ad app create --display-name mytestapp --optional-claims @manifest.json
("manifest.json" contains the following content)
{
    "idToken": [
        {
            "name": "auth_time",
            "essential": false
        }
    ],
    "accessToken": [
        {
            "name": "ipaddr",
            "essential": false
        }
    ],
    "saml2Token": [
        {
            "name": "upn",
            "essential": false
        },
        {
            "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
            "source": "user",
            "essential": false
        }
    ]
}

Обязательные параметры

--display-name

Отображаемое имя приложения.

Необязательные параметры

--app-roles

Коллекция ролей, назначенных приложению. При назначении ролей приложения эти роли можно назначать пользователям, группам или субъектам-службам, связанным с другими приложениями. Должен быть путь к JSON-файлу или строковая строка JSON. Дополнительные сведения см. в примерах.

--enable-access-token-issuance

Указывает, может ли веб-приложение запрашивать маркер доступа с помощью неявного потока OAuth 2.0.

допустимые значения: false, true

--enable-id-token-issuance

Указывает, может ли веб-приложение запрашивать маркер идентификатора с помощью неявного потока OAuth 2.0.

допустимые значения: false, true

--end-date

Дата или дата окончания срока действия учетных данных (например, "2017-12-31T11:59:59+00:00" или "2017-12-31". Значение по умолчанию — один год после текущего времени.

--identifier-uris

Разделенные пробелами значения. Также известный как URI идентификатора приложения, это значение задается, если приложение используется в качестве приложения ресурсов. ИдентификаторUris выступает в качестве префикса для область, на которые вы будете ссылаться в коде API, и он должен быть глобально уникальным. Можно использовать указанное по умолчанию значение, которое находится в форме api://, или указать более удобочитаемый URI, например https://contoso.com/api.

--is-fallback-public-client

Указывает резервный тип приложения как общедоступный клиент, например установленное приложение, работающее на мобильном устройстве. Значение по умолчанию равно false, что означает, что тип резервного приложения является конфиденциальным клиентом, например веб-приложением.

допустимые значения: false, true

--key-display-name

Понятное имя ключа.

--key-type

Тип учетных данных ключа, связанных с приложением.

допустимые значения: AsymmetricX509Cert, Password, Symmetric

значение по умолчанию: AsymmetricX509Cert

--key-usage

Использование ключевых учетных данных, связанных с приложением.

допустимые значения: Sign, Verify

значение по умолчанию: Verify

--key-value

Значение для ключевых учетных данных, связанных с приложением.

--optional-claims

Разработчики приложений могут настроить необязательные утверждения в своих приложениях Microsoft Entra, чтобы указать утверждения, отправленные в приложение службой маркеров безопасности Майкрософт. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/active-directory/develop/active-directory-optional-claims. Должен быть путь к JSON-файлу или строковая строка JSON. Дополнительные сведения см. в примерах.

--public-client-redirect-uris

Разделенные пробелами значения. Указывает URL-адреса, в которых маркеры пользователей отправляются для входа или URI перенаправления, в которых отправляются коды авторизации OAuth 2.0 и маркеры доступа.

--required-resource-accesses

Указывает ресурсы, к которым приложение должно получить доступ. Это свойство также указывает набор делегированных разрешений и ролей приложений, необходимых для каждого из этих ресурсов. Эта конфигурация доступа к необходимым ресурсам обеспечивает взаимодействие с согласием. Должен быть путь к JSON-файлу или строковая строка JSON. Дополнительные сведения см. в примерах.

--sign-in-audience

Указывает учетные записи Майкрософт, поддерживаемые для текущего приложения.

допустимые значения: AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount

--start-date

Дата или дата, когда учетные данные становятся допустимыми (например, "2017-01-01T01:00:00+00:00" или "2017-01-01". Значение по умолчанию — текущее время.

--web-home-page-url

Домашняя страница или целевая страница приложения.

--web-redirect-uris

Разделенные пробелами значения. Указывает URL-адреса, в которых маркеры пользователей отправляются для входа или URI перенаправления, в которых отправляются коды авторизации OAuth 2.0 и маркеры доступа.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app delete

Удаление приложения.

az ad app delete --id

Примеры

Удаление приложения. (автоматическое создание)

az ad app delete --id 00000000-0000-0000-0000-000000000000

Обязательные параметры

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app list

Вывод списка приложений.

Для низкой задержки по умолчанию возвращается только первый 100, если только не указать аргументы фильтра или использовать "-all".

az ad app list [--all]
               [--app-id]
               [--display-name]
               [--filter]
               [--identifier-uri]
               [--show-mine]

Необязательные параметры

--all

Вывод списка всех сущностей, ожидайте долгой задержки, если в большой организации.

--app-id

Идентификатор приложения.

--display-name

Отображаемое имя приложения.

--filter

Фильтр OData, например --filter "displayname eq 'test" и servicePrincipalType eq 'Application'.

--identifier-uri

Идентификатор приложения Graph должен быть в формате URI.

--show-mine

Вывод списка сущностей, принадлежащих текущему пользователю.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app show

Получение сведений о приложении.

az ad app show --id

Примеры

Получение сведений о приложении с помощью appId.

az ad app show --id 00000000-0000-0000-0000-000000000000

Получение сведений о приложении с идентификатором.

az ad app show --id 00000000-0000-0000-0000-000000000000

Получение сведений о приложении с URI идентификатора.

az ad app show --id api://myapp

Обязательные параметры

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad app update

Обновление приложения.

az ad app update --id
                 [--add]
                 [--app-roles]
                 [--display-name]
                 [--enable-access-token-issuance {false, true}]
                 [--enable-id-token-issuance {false, true}]
                 [--end-date]
                 [--force-string]
                 [--identifier-uris]
                 [--is-fallback-public-client {false, true}]
                 [--key-display-name]
                 [--key-type {AsymmetricX509Cert, Password, Symmetric}]
                 [--key-usage {Sign, Verify}]
                 [--key-value]
                 [--optional-claims]
                 [--public-client-redirect-uris]
                 [--remove]
                 [--required-resource-accesses]
                 [--set]
                 [--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
                 [--start-date]
                 [--web-home-page-url]
                 [--web-redirect-uris]

Примеры

Обновление приложения с делегированным разрешением Microsoft Graph User.Read

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
        {
            "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
            "type": "Scope"
        }
   ]
}]

объявление роли приложения

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --app-roles @manifest.json
("manifest.json" contains the following content)
[{
    "allowedMemberTypes": [
      "User"
    ],
    "description": "Approvers can mark documents as approved",
    "displayName": "Approver",
    "isEnabled": "true",
    "value": "approver"
}]

обновление необязательных утверждений

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --optional-claims @manifest.json
("manifest.json" contains the following content)
{
    "idToken": [
        {
            "name": "auth_time",
            "essential": false
        }
    ],
    "accessToken": [
        {
            "name": "ipaddr",
            "essential": false
        }
    ],
    "saml2Token": [
        {
            "name": "upn",
            "essential": false
        },
        {
            "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
            "source": "user",
            "essential": false
        }
    ]
}

Обновление утверждений о членстве в группе приложения на "Все"

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --set groupMembershipClaims=All

Обязательные параметры

--id

URI идентификатора, идентификатор приложения или идентификатор объекта.

Необязательные параметры

--add

Добавьте объект в список объектов, указав пары пути и значения ключа. Пример: --add property.listProperty <key=value, string or JSON string>.

значение по умолчанию: []

--app-roles

Коллекция ролей, назначенных приложению. При назначении ролей приложения эти роли можно назначать пользователям, группам или субъектам-службам, связанным с другими приложениями. Должен быть путь к JSON-файлу или строковая строка JSON. Дополнительные сведения см. в примерах.

--display-name

Отображаемое имя приложения.

--enable-access-token-issuance

Указывает, может ли веб-приложение запрашивать маркер доступа с помощью неявного потока OAuth 2.0.

допустимые значения: false, true

--enable-id-token-issuance

Указывает, может ли веб-приложение запрашивать маркер идентификатора с помощью неявного потока OAuth 2.0.

допустимые значения: false, true

--end-date

Дата или дата окончания срока действия учетных данных (например, "2017-12-31T11:59:59+00:00" или "2017-12-31". Значение по умолчанию — один год после текущего времени.

--force-string

При использовании "set" или "add" сохраняйте строковые литералы вместо попытки преобразовать в JSON.

значение по умолчанию: False

--identifier-uris

Разделенные пробелами значения. Также известный как URI идентификатора приложения, это значение задается, если приложение используется в качестве приложения ресурсов. ИдентификаторUris выступает в качестве префикса для область, на которые вы будете ссылаться в коде API, и он должен быть глобально уникальным. Можно использовать указанное по умолчанию значение, которое находится в форме api://, или указать более удобочитаемый URI, например https://contoso.com/api.

--is-fallback-public-client

Указывает резервный тип приложения как общедоступный клиент, например установленное приложение, работающее на мобильном устройстве. Значение по умолчанию равно false, что означает, что тип резервного приложения является конфиденциальным клиентом, например веб-приложением.

допустимые значения: false, true

--key-display-name

Понятное имя ключа.

--key-type

Тип учетных данных ключа, связанных с приложением.

допустимые значения: AsymmetricX509Cert, Password, Symmetric

значение по умолчанию: AsymmetricX509Cert

--key-usage

Использование ключевых учетных данных, связанных с приложением.

допустимые значения: Sign, Verify

значение по умолчанию: Verify

--key-value

Значение для ключевых учетных данных, связанных с приложением.

--optional-claims

Разработчики приложений могут настроить необязательные утверждения в своих приложениях Microsoft Entra, чтобы указать утверждения, отправленные в приложение службой маркеров безопасности Майкрософт. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/active-directory/develop/active-directory-optional-claims. Должен быть путь к JSON-файлу или строковая строка JSON. Дополнительные сведения см. в примерах.

--public-client-redirect-uris

Разделенные пробелами значения. Указывает URL-адреса, в которых маркеры пользователей отправляются для входа или URI перенаправления, в которых отправляются коды авторизации OAuth 2.0 и маркеры доступа.

--remove

Удалите свойство или элемент из списка. Пример: --remove property.list <indexToRemove> OR --remove propertyToRemove.

значение по умолчанию: []

--required-resource-accesses

Указывает ресурсы, к которым приложение должно получить доступ. Это свойство также указывает набор делегированных разрешений и ролей приложений, необходимых для каждого из этих ресурсов. Эта конфигурация доступа к необходимым ресурсам обеспечивает взаимодействие с согласием. Должен быть путь к JSON-файлу или строковая строка JSON. Дополнительные сведения см. в примерах.

--set

Обновите объект, указав путь к свойству и значение для задания. Пример: --set property1.property2=<value>.

значение по умолчанию: []

--sign-in-audience

Указывает учетные записи Майкрософт, поддерживаемые для текущего приложения.

допустимые значения: AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount

--start-date

Дата или дата, когда учетные данные становятся допустимыми (например, "2017-01-01T01:00:00+00:00" или "2017-01-01". Значение по умолчанию — текущее время.

--web-home-page-url

Домашняя страница или целевая страница приложения.

--web-redirect-uris

Разделенные пробелами значения. Указывает URL-адреса, в которых маркеры пользователей отправляются для входа или URI перенаправления, в которых отправляются коды авторизации OAuth 2.0 и маркеры доступа.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.