azure - 通过 PowerShell 检索 Azure AD 应用程序的“API 权限”

如果你想得到API permissions，你需要使用下面的命令。

$app = Get-AzureADApplication -ObjectId '<object-id of the App Registration>'
$app.requiredResourceAccess | ConvertTo-Json -Depth 3

ResourceAppId是API的Application ID服务主体的，例如Microsoft Graph，ResourceAccess包括您添加到应用程序的权限，Scope表示Delegated permission，Role表示Application permission.

我的 API 权限：

要查看 API 权限的详细信息，您需要使用以下命令。例如，我们想知道截图中权限的详细信息，它是Id，所以我们需要使用.5b567255-7703-4780-807c-7be8301ae99bTypeRole$sp.AppRoles

$sp = Get-AzureADServicePrincipal -All $true | Where-Object {$_.AppId -eq '00000003-0000-0000-c000-000000000000'}
$sp.AppRoles | Where-Object {$_.Id -eq '5b567255-7703-4780-807c-7be8301ae99b'}

如果要获取Delegated permission( Typeis Scope)，我们需要使用：

$sp = Get-AzureADServicePrincipal -All $true | Where-Object {$_.AppId -eq '00000003-0000-0000-c000-000000000000'}
$sp.Oauth2Permissions | Where-Object {$_.Id -eq 'e1fe6dd8-ba31-4d61-89e7-88639da4683d'}

要检查Status，没有直接的方法，您需要检查服务主体的管理员授予的权限对应于您的 AAD 租户中的 AD App。

首先，获取服务主体 $appsp：

$app = Get-AzureADApplication -ObjectId '<object-id of the App Registration>'
$appsp = Get-AzureADServicePrincipal -All $true | Where-Object {$_.AppId -eq $app.AppId}

获取Delegated permissions已被授予的（Status是Granted）：

Get-AzureADServicePrincipalOAuth2PermissionGrant -ObjectId $appsp.ObjectId -All $true | ConvertTo-Json

这ResourceId是Object IdAPI 的服务主体：

获取Application permissions已被授予的（Status是Granted）：

Get-AzureADServiceAppRoleAssignedTo -ObjectId $appsp.ObjectId | ConvertTo-Json

这Id是第一个屏幕截图中的Id。ResourceAccess

如果权限没有被授予( Statusis Not Granted)，你将无法通过上面的命令获得权限。

比如我Application permission在portal中添加了一个新的，然后再次运行命令，我们仍然可以得到已经授予的权限。