你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

az ad app

管理 Microsoft Entra 应用程序。

命令

名称	说明	类型	状态
az ad app create	创建应用程序。	核心	GA
az ad app credential	管理应用程序的密码或证书凭据。	核心	GA
az ad app credential delete	删除应用程序的密码或证书凭据。	核心	GA
az ad app credential list	列出应用程序的密码或证书凭据元数据。 （密码或证书凭据的内容不可检索。	核心	GA
az ad app credential reset	重置应用程序的密码或证书凭据。	核心	GA
az ad app delete	删除应用程序。	核心	GA
az ad app federated-credential	管理应用程序联合标识凭据。	核心	GA
az ad app federated-credential create	创建应用程序联合标识凭据。	核心	GA
az ad app federated-credential delete	删除应用程序联合标识凭据。	核心	GA
az ad app federated-credential list	列出应用程序联合标识凭据。	核心	GA
az ad app federated-credential show	显示应用程序联合标识凭据。	核心	GA
az ad app federated-credential update	更新应用程序联合标识凭据。	核心	GA
az ad app list	列出应用程序。	核心	GA
az ad app owner	管理应用程序所有者。	核心	GA
az ad app owner add	添加应用程序所有者。	核心	GA
az ad app owner list	列出应用程序所有者。	核心	GA
az ad app owner remove	删除应用程序所有者。	核心	GA
az ad app permission	管理应用程序的 OAuth2 权限。	核心	GA
az ad app permission add	添加 API 权限。	核心	GA
az ad app permission admin-consent	通过管理员许可授予应用程序和委派的权限。	核心	GA
az ad app permission delete	删除 API 权限。	核心	GA
az ad app permission grant	向应用授予 API 委派权限。	核心	GA
az ad app permission list	列出应用程序请求的 API 权限。	核心	GA
az ad app permission list-grants	列出 Oauth2 权限授予。	核心	GA
az ad app show	获取应用程序的详细信息。	核心	GA
az ad app update	更新应用程序。	核心	GA

az ad app create

创建应用程序。

有关更详细的文档，请参阅 https://docs.microsoft.com/graph/api/resources/application。

az ad app create --display-name
                 [--app-roles]
                 [--enable-access-token-issuance {false, true}]
                 [--enable-id-token-issuance {false, true}]
                 [--end-date]
                 [--identifier-uris]
                 [--is-fallback-public-client {false, true}]
                 [--key-display-name]
                 [--key-type {AsymmetricX509Cert, Password, Symmetric}]
                 [--key-usage {Sign, Verify}]
                 [--key-value]
                 [--optional-claims]
                 [--public-client-redirect-uris]
                 [--required-resource-accesses]
                 [--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
                 [--start-date]
                 [--web-home-page-url]
                 [--web-redirect-uris]

示例

创建应用程序。

az ad app create --display-name mytestapp

创建一个应用程序，该应用程序可以使用 Microsoft Graph 委派的权限 User.Read 回退到公共客户端

az ad app create --display-name my-public --is-fallback-public-client --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
        {
            "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
            "type": "Scope"
        }
   ]
}]

创建具有角色的应用程序

az ad app create --display-name mytestapp --identifier-uris https://mytestapp.websites.net --app-roles @manifest.json
("manifest.json" contains the following content)
[{
    "allowedMemberTypes": [
      "User"
    ],
    "description": "Approvers can mark documents as approved",
    "displayName": "Approver",
    "isEnabled": "true",
    "value": "approver"
}]

使用可选声明创建应用程序

az ad app create --display-name mytestapp --optional-claims @manifest.json
("manifest.json" contains the following content)
{
    "idToken": [
        {
            "name": "auth_time",
            "essential": false
        }
    ],
    "accessToken": [
        {
            "name": "ipaddr",
            "essential": false
        }
    ],
    "saml2Token": [
        {
            "name": "upn",
            "essential": false
        },
        {
            "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
            "source": "user",
            "essential": false
        }
    ]
}

必需参数

--display-name

应用程序的显示名称。

可选参数

--app-roles

分配给应用程序的角色的集合。 通过应用角色分配，可以将这些角色分配给与其他应用程序关联的用户、组或服务主体。 应为 JSON 文件路径或内联 JSON 字符串。 有关详细信息，请参阅示例。

--enable-access-token-issuance

指定此 Web 应用程序是否可以使用 OAuth 2.0 隐式流请求访问令牌。

接受的值: false, true

--enable-id-token-issuance

指定此 Web 应用程序是否可以使用 OAuth 2.0 隐式流请求 ID 令牌。

接受的值: false, true

--end-date

凭据过期的日期或日期/时间（例如“2017-12-31T11：59：59+00：00”或“2017-12-31”）。 默认值为当前时间后的一年。

--identifier-uris

空格分隔的值。 也称为应用 ID URI，当应用程序用作资源应用时，将设置此值。 identifierUris 充当将在 API 代码中引用的范围的前缀，并且它必须全局唯一。 可以使用提供的默认值（格式为 api://），或指定更易读的 URI，例如 https://contoso.com/api.

--is-fallback-public-client

将回退应用程序类型指定为公共客户端，例如在移动设备上运行的已安装应用程序。 默认值为 false，这意味着回退应用程序类型是机密客户端，例如 Web 应用。

接受的值: false, true

--key-display-name

密钥的友好名称。

--key-type

与应用程序关联的密钥凭据的类型。

接受的值: AsymmetricX509Cert, Password, Symmetric

默认值: AsymmetricX509Cert

--key-usage

与应用程序关联的密钥凭据的用法。

接受的值: Sign, Verify

默认值: Verify

--key-value

与应用程序关联的密钥凭据的值。

--optional-claims

应用程序开发人员可以在 Microsoft Entra 应用程序中配置可选声明，以指定 Microsoft 安全令牌服务发送到其应用程序的声明。 有关详细信息，请参阅 https://docs.microsoft.com/azure/active-directory/develop/active-directory-optional-claims。 应为 JSON 文件路径或内联 JSON 字符串。 有关详细信息，请参阅示例。

--public-client-redirect-uris

空格分隔的值。 指定用于登录的用户令牌的 URL，或发送 OAuth 2.0 授权代码和访问令牌的重定向 URI。

--required-resource-accesses

指定应用程序需要访问的资源。 此属性还指定每个资源所需的委派权限和应用程序角色集。 此对所需资源的访问配置会驱动许可体验。 应为 JSON 文件路径或内联 JSON 字符串。 有关详细信息，请参阅示例。

--sign-in-audience

指定当前应用程序支持的 Microsoft 帐户。

接受的值: AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount

--start-date

凭据生效的日期或日期/时间（例如“2017-01-01T01：00：00+00：00”或“2017-01-01”）。 默认值为当前时间。

--web-home-page-url

应用程序的主页或登陆页。

--web-redirect-uris

空格分隔的值。 指定用于登录的用户令牌的 URL，或发送 OAuth 2.0 授权代码和访问令牌的重定向 URI。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az ad app delete

删除应用程序。

az ad app delete --id

示例

删除应用程序。 （自动生成）

az ad app delete --id 00000000-0000-0000-0000-000000000000

必需参数

--id

标识符 URI、应用程序 ID 或对象 ID。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az ad app list

列出应用程序。

对于低延迟，默认情况下，仅返回前 100 个，除非提供筛选器参数或使用“--all”。

az ad app list [--all]
               [--app-id]
               [--display-name]
               [--filter]
               [--identifier-uri]
               [--show-mine]

可选参数

--all

列出所有实体，如果大型组织下，预期延迟较长。

--app-id

应用程序 ID。

--display-name

应用程序的显示名称。

--filter

OData 筛选器，例如 --filter “displayname eq 'test' and servicePrincipalType eq 'Application'”。

--identifier-uri

图形应用程序标识符必须采用 URI 格式。

--show-mine

列出当前用户拥有的实体。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az ad app show

获取应用程序的详细信息。

az ad app show --id

示例

使用 appId 获取应用程序的详细信息。

az ad app show --id 00000000-0000-0000-0000-000000000000

获取 ID 为应用程序的详细信息。

az ad app show --id 00000000-0000-0000-0000-000000000000

获取具有标识符 URI 的应用程序的详细信息。

az ad app show --id api://myapp

必需参数

--id

标识符 URI、应用程序 ID 或对象 ID。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az ad app update

更新应用程序。

az ad app update --id
                 [--add]
                 [--app-roles]
                 [--display-name]
                 [--enable-access-token-issuance {false, true}]
                 [--enable-id-token-issuance {false, true}]
                 [--end-date]
                 [--force-string]
                 [--identifier-uris]
                 [--is-fallback-public-client {false, true}]
                 [--key-display-name]
                 [--key-type {AsymmetricX509Cert, Password, Symmetric}]
                 [--key-usage {Sign, Verify}]
                 [--key-value]
                 [--optional-claims]
                 [--public-client-redirect-uris]
                 [--remove]
                 [--required-resource-accesses]
                 [--set]
                 [--sign-in-audience {AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount}]
                 [--start-date]
                 [--web-home-page-url]
                 [--web-redirect-uris]

示例

使用 Microsoft Graph 委派的权限 User.Read 更新应用程序

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --required-resource-accesses @manifest.json
("manifest.json" contains the following content)
[{
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
        {
            "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
            "type": "Scope"
        }
   ]
}]

声明应用程序角色

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --app-roles @manifest.json
("manifest.json" contains the following content)
[{
    "allowedMemberTypes": [
      "User"
    ],
    "description": "Approvers can mark documents as approved",
    "displayName": "Approver",
    "isEnabled": "true",
    "value": "approver"
}]

更新可选声明

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --optional-claims @manifest.json
("manifest.json" contains the following content)
{
    "idToken": [
        {
            "name": "auth_time",
            "essential": false
        }
    ],
    "accessToken": [
        {
            "name": "ipaddr",
            "essential": false
        }
    ],
    "saml2Token": [
        {
            "name": "upn",
            "essential": false
        },
        {
            "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
            "source": "user",
            "essential": false
        }
    ]
}

将应用程序的组成员身份声明更新为“全部”

az ad app update --id e042ec79-34cd-498f-9d9f-123456781234 --set groupMembershipClaims=All

必需参数

--id

标识符 URI、应用程序 ID 或对象 ID。

可选参数

--add

通过指定路径和键值对将对象添加到对象列表。 示例：--add property.listProperty <key=value, string or JSON string>。

默认值: []

--app-roles

分配给应用程序的角色的集合。 通过应用角色分配，可以将这些角色分配给与其他应用程序关联的用户、组或服务主体。 应为 JSON 文件路径或内联 JSON 字符串。 有关详细信息，请参阅示例。

--display-name

应用程序的显示名称。

--enable-access-token-issuance

指定此 Web 应用程序是否可以使用 OAuth 2.0 隐式流请求访问令牌。

接受的值: false, true

--enable-id-token-issuance

指定此 Web 应用程序是否可以使用 OAuth 2.0 隐式流请求 ID 令牌。

接受的值: false, true

--end-date

凭据过期的日期或日期/时间（例如“2017-12-31T11：59：59+00：00”或“2017-12-31”）。 默认值为当前时间后的一年。

--force-string

使用“set”或“add”时，保留字符串文本，而不是尝试转换为 JSON。

默认值: False

--identifier-uris

空格分隔的值。 也称为应用 ID URI，当应用程序用作资源应用时，将设置此值。 identifierUris 充当将在 API 代码中引用的范围的前缀，并且它必须全局唯一。 可以使用提供的默认值（格式为 api://），或指定更易读的 URI，例如 https://contoso.com/api.

--is-fallback-public-client

将回退应用程序类型指定为公共客户端，例如在移动设备上运行的已安装应用程序。 默认值为 false，这意味着回退应用程序类型是机密客户端，例如 Web 应用。

接受的值: false, true

--key-display-name

密钥的友好名称。

--key-type

与应用程序关联的密钥凭据的类型。

接受的值: AsymmetricX509Cert, Password, Symmetric

默认值: AsymmetricX509Cert

--key-usage

与应用程序关联的密钥凭据的用法。

接受的值: Sign, Verify

默认值: Verify

--key-value

与应用程序关联的密钥凭据的值。

--optional-claims

应用程序开发人员可以在 Microsoft Entra 应用程序中配置可选声明，以指定 Microsoft 安全令牌服务发送到其应用程序的声明。 有关详细信息，请参阅 https://docs.microsoft.com/azure/active-directory/develop/active-directory-optional-claims。 应为 JSON 文件路径或内联 JSON 字符串。 有关详细信息，请参阅示例。

--public-client-redirect-uris

空格分隔的值。 指定用于登录的用户令牌的 URL，或发送 OAuth 2.0 授权代码和访问令牌的重定向 URI。

--remove

从列表中删除属性或元素。 示例： --remove property.list <indexToRemove> OR --remove propertyToRemove.

默认值: []

--required-resource-accesses

指定应用程序需要访问的资源。 此属性还指定每个资源所需的委派权限和应用程序角色集。 此对所需资源的访问配置会驱动许可体验。 应为 JSON 文件路径或内联 JSON 字符串。 有关详细信息，请参阅示例。

--set

通过指定要设置的属性路径和值来更新对象。 示例：--set property1.property2=<value>。

默认值: []

--sign-in-audience

指定当前应用程序支持的 Microsoft 帐户。

接受的值: AzureADMultipleOrgs, AzureADMyOrg, AzureADandPersonalMicrosoftAccount, PersonalMicrosoftAccount

--start-date

凭据生效的日期或日期/时间（例如“2017-01-01T01：00：00+00：00”或“2017-01-01”）。 默认值为当前时间。

--web-home-page-url

应用程序的主页或登陆页。

--web-redirect-uris

空格分隔的值。 指定用于登录的用户令牌的 URL，或发送 OAuth 2.0 授权代码和访问令牌的重定向 URI。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。 有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。