Compartir a través de

az ad app permission

  • Referencia

Administrar los permisos de OAuth2 de una aplicación.

Comandos

Nombre Description Tipo Estado
az ad app permission add

Agregue un permiso de API.

 Core GA
az ad app permission admin-consent

Conceda permisos de aplicación y delegados a través del consentimiento del administrador.

 Core GA
az ad app permission delete

Quite un permiso de API.

 Core GA
az ad app permission grant

Conceda a la aplicación permisos delegados de API.

 Core GA
az ad app permission list

Enumerar los permisos de API que la aplicación ha solicitado.

 Core GA
az ad app permission list-grants

Enumerar concesiones de permisos de Oauth2.

 Core GA

az ad app permission add

Editar

Agregue un permiso de API.

Se necesita invocar "az ad app permission grant" para activarlo.

Para obtener los permisos disponibles de la aplicación de recursos, ejecute az ad sp show --id <resource-appId>. Por ejemplo, para obtener permisos disponibles para Microsoft Graph API, ejecute az ad sp show --id 00000003-0000-0000-c000-000000000000. Los permisos de aplicación de la appRoles propiedad corresponden a Role en --api-permissions. Los permisos delegados en la oauth2Permissions propiedad corresponden a Scope en --api-permissions.

Para obtener más información sobre los permisos de Microsoft Graph, consulte https://zcusa.951200.xyz/graph/permissions-reference.

az ad app permission add --api
                         --api-permissions
                         --id

Ejemplos

Adición del permiso delegado de Microsoft Graph User.Read

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Adición del permiso de aplicación de Microsoft Graph Application.ReadWrite.All

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Parámetros requeridos

--api

RequiredResourceAccess.resourceAppId: identificador único del recurso al que la aplicación requiere acceso. Debe ser igual que el valor de appId declarado en la aplicación de recursos de destino.

--api-permissions

Lista separada por espacios de {id}={type}. {id} es resourceAccess.id: el identificador único de una de las instancias de oauth2PermissionScopes o appRole que expone la aplicación de recursos. {type} es resourceAccess.type: especifica si la propiedad id hace referencia a oauth2PermissionScopes o a appRole. Los valores posibles son: Ámbito (para ámbitos de permisos de OAuth 2.0) o Rol (para roles de aplicación).

--id

Identificador URI, identificador de aplicación o identificador de objeto.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

Editar

Conceda permisos de aplicación y delegados a través del consentimiento del administrador.

Debe iniciar sesión como administrador global.

az ad app permission admin-consent --id

Conceda permisos de aplicación y delegados a través del consentimiento del administrador. (generado automáticamente)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
--id

Identificador URI, identificador de aplicación o identificador de objeto.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az ad app permission delete

Editar

Quite un permiso de API.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Ejemplos

Quite los permisos de Microsoft Graph.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000

Quitar el permiso delegado de Microsoft Graph User.Read

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d

Parámetros requeridos

--api

RequiredResourceAccess.resourceAppId: identificador único del recurso al que la aplicación requiere acceso. Debe ser igual que el valor de appId declarado en la aplicación de recursos de destino.

--id

Identificador URI, identificador de aplicación o identificador de objeto.

Parámetros opcionales

--api-permissions

Especifique ResourceAccess.id : el identificador único de una de las instancias de OAuth2Permission o AppRole que expone la aplicación de recursos. Lista separada por espacios de <resource-access-id>.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az ad app permission grant

Editar

Conceda a la aplicación permisos delegados de API.

Debe existir una entidad de servicio para la aplicación al ejecutar este comando. Para crear una entidad de servicio correspondiente, use az ad sp create --id {appId}. Para los permisos de aplicación, use "ad app permission admin-consent".

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Ejemplos

Concesión de una aplicación nativa con permisos para acceder a una API existente con TTL de 2 años

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Parámetros requeridos

--api, --resource-id

Identificador de la entidad de servicio de recursos a la que está autorizado el acceso. Esto identifica la API a la que está autorizado el cliente para intentar llamar en nombre de un usuario que ha iniciado sesión.

--id, --client-id

Identificador de la entidad de servicio de cliente de la aplicación que está autorizada para actuar en nombre de un usuario que ha iniciado sesión al acceder a una API.

--scope

Una lista separada por espacios de los valores de notificación para los permisos delegados que se deben incluir en los tokens de acceso para la aplicación de recursos (la API). Por ejemplo, openid User.Read GroupMember.Read.All. Cada valor de notificación debe coincidir con el campo de valor de uno de los permisos delegados definidos por la API, enumerados en la propiedad oauth2PermissionScopes de la entidad de servicio de recursos.

Parámetros opcionales

--consent-type

Indica si se concede autorización a la aplicación cliente para suplantar a todos los usuarios o solo a un usuario específico. "AllPrincipals" indica la autorización para suplantar a todos los usuarios. "Principal" indica la autorización para suplantar a un usuario específico. Un administrador puede conceder el consentimiento en nombre de todos los usuarios. Los usuarios que no son administradores pueden estar autorizados para dar su consentimiento en nombre de sí mismos en algunos casos, para algunos permisos delegados.

Valores aceptados: AllPrincipals, Principal
Valor predeterminado: AllPrincipals
--principal-id

El identificador del usuario en nombre del que el cliente está autorizado para acceder al recurso, cuando consentType es "Principal". Si consentType es "AllPrincipals", este valor es NULL. Obligatorio cuando consentType es "Principal".

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az ad app permission list

Editar

Enumerar los permisos de API que la aplicación ha solicitado.

az ad app permission list --id

Ejemplos

Enumere los permisos de OAuth2 para una aplicación.

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Parámetros requeridos

--id

Identificador URI, identificador de aplicación o identificador de objeto de la aplicación asociada.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az ad app permission list-grants

Editar

Enumerar concesiones de permisos de Oauth2.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Ejemplos

enumerar permisos de oauth2 concedidos a la entidad de servicio

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Parámetros opcionales

--filter

Filtro OData, por ejemplo, --filter "displayname eq 'test' y servicePrincipalType eq 'Application'".

--id

Identificador URI, identificador de aplicación o identificador de objeto.

--show-resource-name -r

Mostrar el nombre para mostrar del recurso.

Valores aceptados: false, true
Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.