通过PowerShell检索Azure AD应用程序的“ API权限”
应该
为了进行报告和监视,我想检索Azure门户中针对“ API权限”的应用程序(应用程序注册)中显示的信息。
我尝试了以下代码
$app = Get-AzureADApplication -ObjectId 'aa7e174d-2639-4ac7-9b11-6799466c3c9b'
$app.Oauth2Permissions
但这仅产生以下信息:
AdminConsentDescription : Allow the application to access foobar_HVV on behalf of the signed-in user.
AdminConsentDisplayName : Access foobar_HVV
Id : h1285f9d5-b00d-4bdb-979d-c4d6487fa000
IsEnabled : True
Type : User
UserConsentDescription : Allow the application to access foobar_HVV on your behalf.
UserConsentDisplayName : Access foobar_HVV
Value : user_impersonation
但是应用程序“ foobar_HVV”的“ API权限”显示了完全不同的权限。对于我的报告,尤其需要每个权限的“ Typ”(委托,应用程序)和“ Status”。
王欣|
如果要获取API permissions,则需要使用以下命令。
$app = Get-AzureADApplication -ObjectId '<object-id of the App Registration>'
$app.requiredResourceAccess | ConvertTo-Json -Depth 3
的ResourceAppId是Application ID该API例如服务主体的Microsoft Graph,在ResourceAccess包括已添加到应用程序的权限,该Scope装置Delegated permission,Role装置的Application permission。
我的API权限:
要检查API权限的详细信息,您需要使用以下命令。例如,我们想知道其权限的细节Id是5b567255-7703-4780-807c-7be8301ae99b在截图,它Type就是Role,所以我们需要使用$sp.AppRoles。
$sp = Get-AzureADServicePrincipal -All $true | Where-Object {$_.AppId -eq '00000003-0000-0000-c000-000000000000'}
$sp.AppRoles | Where-Object {$_.Id -eq '5b567255-7703-4780-807c-7be8301ae99b'}
如果要获取Delegated permission(Typeis Scope),则需要使用:
$sp = Get-AzureADServicePrincipal -All $true | Where-Object {$_.AppId -eq '00000003-0000-0000-c000-000000000000'}
$sp.Oauth2Permissions | Where-Object {$_.Id -eq 'e1fe6dd8-ba31-4d61-89e7-88639da4683d'}
要检查Status,没有直接方法,您需要检查与AAD租户中的AD App对应的服务主体的管理员授予的权限。
首先,获取服务主体$appsp:
$app = Get-AzureADApplication -ObjectId '<object-id of the App Registration>'
$appsp = Get-AzureADServicePrincipal -All $true | Where-Object {$_.AppId -eq $app.AppId}
获取Delegated permissions其已被授予(Status是Granted):
Get-AzureADServicePrincipalOAuth2PermissionGrant -ObjectId $appsp.ObjectId -All $true | ConvertTo-Json
该ResourceId是Object IdAPI的服务主体的:
获取Application permissions其已被授予(Status是Granted):
Get-AzureADServiceAppRoleAssignedTo -ObjectId $appsp.ObjectId | ConvertTo-Json
该Id是Id在ResourceAccess第一截图。
如果尚未授予该权限(Statusis Not Granted),则不会通过上述命令获得该权限。
例如,我Application permission在门户中添加一个新的,然后再次运行命令,我们仍然可以获得已授予的权限。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
编辑于
相关文章
Related 相关文章
- 1
Azure AD的可选应用程序权限
- 2
撤销 Azure AD 应用程序的权限
- 3
在企业应用程序Azure AD中授予对图API的权限
- 4
在Azure AD中配置应用程序权限
- 5
Azure AD OAuth2.0 应用程序权限
- 6
Azure AD Daemon应用程序应用程序权限和id_token
- 7
为什么我的应用程序要求未在Azure AD应用程序中配置的权限
- 8
如何在Azure AD上向我自己的应用程序添加应用程序权限
- 9
如何使用Powershell Az模块授予Azure AD应用程序访问所需权限的权限
- 10
通过Az模块创建azure应用程序,并使用powershell分配API权限
- 11
通过 PowerShell 授予 Azure 应用程序对 API(例如“Office SharePoint Online”)的权限
- 12
授权Azure AD应用程序访问RateCard API
- 13
Web Api的Azure AD应用程序角色
- 14
使用API在Azure AD中注册应用程序(应用程序注册)?
- 15
Azure AD 应用程序注册 - 使用 powershell 或图形 API 注册应用程序时如何提供“应用程序类型”?
- 16
如何通过 Azure AD API 禁用教师许可证中的特定应用程序?
- 17
使用服务主体创建Azure AD应用程序时权限不足,无法完成操作
- 18
有没有办法削弱我在Azure AD上创建的应用程序的权限?
- 19
是否可以为Azure AD上的企业应用程序分配不同范围的权限?
- 20
Azure AD Graph API-使用C#将用户分配给应用程序
- 21
使用来自Web API中客户端应用程序的令牌的Azure AD
- 22
Azure AD应用程序:如何使用Microsoft图形API删除上传的证书?
- 23
如何设置 Azure AD 注册应用程序的 API 密钥的“密钥描述”
- 24
使用 C# 中的 Azure AD Graph API 向已创建的应用程序添加角色
- 25
在 Graph API beta 端点上创建 Azure AD 应用程序时出错
- 26
创建 Azure AD Api/Web 客户端应用程序的最佳方式是什么
- 27
如何通过PowerShell设置SharePoint托管的应用程序的权限?
- 28
在多租户,基于Azure AD的应用程序中代表用户获取令牌-没有配置访问用户信息的权限?
- 29
在门户中向Azure AD B2C应用程序分配权限失败,并显示“数据验证错误”
我来说两句