az ad app permission
アプリケーションの OAuth2 アクセス許可を管理します。
コマンド
| 名前 | 説明 | 型 | 状態 |
|---|---|---|---|
| az ad app permission add |
API アクセス許可を追加します。 |
Core | GA |
| az ad app permission admin-consent |
管理者の同意を通じて、アプリケーション & 委任されたアクセス許可を付与します。 |
Core | GA |
| az ad app permission delete |
API アクセス許可を削除します。 |
Core | GA |
| az ad app permission grant |
アプリに API の委任されたアクセス許可を付与します。 |
Core | GA |
| az ad app permission list |
アプリケーションが要求した API アクセス許可を一覧表示します。 |
Core | GA |
| az ad app permission list-grants |
Oauth2 アクセス許可付与を一覧表示します。 |
Core | GA |
az ad app permission add
API アクセス許可を追加します。
アクティブ化するには、"az ad app permission grant" を呼び出す必要があります。
リソース アプリの使用可能なアクセス許可を取得するには、az ad sp show --id <resource-appId>実行します。 たとえば、Microsoft Graph API で使用可能なアクセス許可を取得するには、az ad sp show --id 00000003-0000-0000-c000-000000000000実行します。
appRoles プロパティの下のアプリケーションのアクセス許可は、--api-permissions の Role に対応します。
oauth2Permissions プロパティの委任されたアクセス許可は、--api-permissions の Scope に対応します。
Microsoft Graph のアクセス許可の詳細については、https://learn.microsoft.com/graph/permissions-referenceを参照してください。
az ad app permission add --api
--api-permissions
--id例
Microsoft Graph の委任されたアクセス許可 User.Read を追加する
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=ScopeMicrosoft Graph アプリケーションのアクセス許可 Application.ReadWrite.All を追加する
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role必須のパラメーター
RequiredResourceAccess.resourceAppId - アプリケーションがアクセスする必要があるリソースの一意識別子。 これは、ターゲット リソース アプリケーションで宣言されている appId と同じである必要があります。
{id}={type} のスペース区切りリスト。 {id} が resourceAccess.id - リソース アプリケーションが公開する oauth2PermissionScopes または appRole インスタンスの一意識別子。 {type} が resourceAccess.type - id プロパティが oauth2PermissionScopes または appRole を参照するかどうかを指定します。 使用可能な値は、スコープ (OAuth 2.0 アクセス許可スコープの場合) またはロール (アプリ ロールの場合) です。
識別子 URI、アプリケーション ID、またはオブジェクト ID。
グローバル パラメーター
ログの詳細度を上げて、すべてのデバッグ ログを表示します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
このヘルプ メッセージを表示して終了します。
エラーのみを表示し、警告を抑制します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
出力フォーマット。
| プロパティ | 値 |
|---|---|
| 規定値: | json |
| 指定可能な値: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。
ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
az ad app permission admin-consent
管理者の同意を通じて、アプリケーション & 委任されたアクセス許可を付与します。
グローバル管理者としてログインする必要があります。
az ad app permission admin-consent --id例
管理者の同意を通じて、アプリケーション & 委任されたアクセス許可を付与します。 (autogenerated)
az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000必須のパラメーター
識別子 URI、アプリケーション ID、またはオブジェクト ID。
グローバル パラメーター
ログの詳細度を上げて、すべてのデバッグ ログを表示します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
このヘルプ メッセージを表示して終了します。
エラーのみを表示し、警告を抑制します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
出力フォーマット。
| プロパティ | 値 |
|---|---|
| 規定値: | json |
| 指定可能な値: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。
ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
az ad app permission delete
API アクセス許可を削除します。
az ad app permission delete --api
--id
[--api-permissions]例
Microsoft Graph のアクセス許可を削除します。
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000Microsoft Graph の委任されたアクセス許可 User.Read を削除する
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d必須のパラメーター
RequiredResourceAccess.resourceAppId - アプリケーションがアクセスする必要があるリソースの一意識別子。 これは、ターゲット リソース アプリケーションで宣言されている appId と同じである必要があります。
識別子 URI、アプリケーション ID、またはオブジェクト ID。
オプションのパラメーター
次のパラメーターは省略可能ですが、コマンドを正常に実行するには、状況に応じて 1 つ以上が必要になる場合があります。
ResourceAccess.id を指定する - リソース アプリケーションが公開する OAuth2Permission インスタンスまたは AppRole インスタンスの一意識別子。
<resource-access-id>のスペース区切りリスト。
グローバル パラメーター
ログの詳細度を上げて、すべてのデバッグ ログを表示します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
このヘルプ メッセージを表示して終了します。
エラーのみを表示し、警告を抑制します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
出力フォーマット。
| プロパティ | 値 |
|---|---|
| 規定値: | json |
| 指定可能な値: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。
ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
az ad app permission grant
アプリに API の委任されたアクセス許可を付与します。
このコマンドを実行するときは、アプリのサービス プリンシパルが存在する必要があります。 対応するサービス プリンシパルを作成するには、az ad sp create --id {appId}を使用します。
アプリケーションのアクセス許可については、「広告アプリのアクセス許可管理者の同意」を使用してください。
az ad app permission grant --api, --resource-id
--id, --client-id
--scope
[--consent-type {AllPrincipals, Principal}]
[--principal-id]例
TTL が 2 年の既存の API にアクセスするためのアクセス許可を持つネイティブ アプリケーションを付与する
az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All必須のパラメーター
アクセスが承認されるリソース サービス プリンシパルの ID。 これにより、サインインしているユーザーの代わりにクライアントが呼び出そうとする権限を持つ API が識別されます。
API にアクセスするときにサインインしているユーザーの代わりに動作する権限を持つアプリケーションのクライアント サービス プリンシパルの ID。
リソース アプリケーション (API) のアクセス トークンに含める必要がある委任されたアクセス許可の要求値のスペース区切りのリスト。 たとえば、openid User.Read GroupMember.Read.All です。 各要求値は、リソース サービス プリンシパルの oauth2PermissionScopes プロパティに記載されている、API によって定義された委任されたアクセス許可の 1 つの値フィールドと一致する必要があります。
オプションのパラメーター
次のパラメーターは省略可能ですが、コマンドを正常に実行するには、状況に応じて 1 つ以上が必要になる場合があります。
すべてのユーザーを偽装する権限をクライアント アプリケーションに付与するか、特定のユーザーのみを偽装するかを示します。 'AllPrincipals' は、すべてのユーザーを偽装する承認を示します。 'Principal' は、特定のユーザーを偽装するための承認を示します。 すべてのユーザーに代わって同意を付与できるのは、管理者です。 管理者以外のユーザーは、場合によっては、一部の委任されたアクセス許可に対して、自分自身に代わって同意することを承認される場合があります。
| プロパティ | 値 |
|---|---|
| 規定値: | AllPrincipals |
| 指定可能な値: | AllPrincipals, Principal |
consentType が 'Principal' の場合、クライアントがリソースへのアクセスを許可されているユーザーの代わりに使用される ID。 consentType が 'AllPrincipals' の場合、この値は null です。 consentType が 'Principal' の場合は必須です。
グローバル パラメーター
ログの詳細度を上げて、すべてのデバッグ ログを表示します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
このヘルプ メッセージを表示して終了します。
エラーのみを表示し、警告を抑制します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
出力フォーマット。
| プロパティ | 値 |
|---|---|
| 規定値: | json |
| 指定可能な値: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。
ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
az ad app permission list
アプリケーションが要求した API アクセス許可を一覧表示します。
az ad app permission list --id例
アプリケーションの OAuth2 アクセス許可を一覧表示します。
az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234必須のパラメーター
関連付けられているアプリケーションの識別子 URI、アプリケーション ID、またはオブジェクト ID。
グローバル パラメーター
ログの詳細度を上げて、すべてのデバッグ ログを表示します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
このヘルプ メッセージを表示して終了します。
エラーのみを表示し、警告を抑制します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
出力フォーマット。
| プロパティ | 値 |
|---|---|
| 規定値: | json |
| 指定可能な値: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。
ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
az ad app permission list-grants
Oauth2 アクセス許可付与を一覧表示します。
az ad app permission list-grants [--filter]
[--id]
[--show-resource-name {false, true}]例
サービス プリンシパルに付与された oauth2 アクセス許可を一覧表示する
az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456オプションのパラメーター
次のパラメーターは省略可能ですが、コマンドを正常に実行するには、状況に応じて 1 つ以上が必要になる場合があります。
OData フィルター(例: --filter "displayname eq 'test' and servicePrincipalType eq 'Application')。
識別子 URI、アプリケーション ID、またはオブジェクト ID。
リソースの表示名を表示します。
| プロパティ | 値 |
|---|---|
| 指定可能な値: | false, true |
グローバル パラメーター
ログの詳細度を上げて、すべてのデバッグ ログを表示します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
このヘルプ メッセージを表示して終了します。
エラーのみを表示し、警告を抑制します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
出力フォーマット。
| プロパティ | 値 |
|---|---|
| 規定値: | json |
| 指定可能な値: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。
ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
