חומר עזר לפקודה של CLI query-entra של סוכן 365

מתן אפשרויות לשאילתה מזהה Entra של Microsoft לקבלת מידע אודות סוכן, כולל טווחים, הרשאות ומצב הסכמה. אתה יכול לבדוק את מצב ההגדרה וההסכמה הן עבור תוכניות סוכנים והן של מופעי סוכן.

תפקיד מינימלי נדרש: קורא תיקיות

Syntax

a365 query-entra [command] [options]

אפשרויות

Option Description
-?, , -h--help הצגת מידע אודות עזרה ושימוש

query-entra blueprint-scopes

רשום את הרשאות ההאצלה והיישום שהוכרזו על ידי יישום ה-Agent Blueprint.

a365 query-entra blueprint-scopes [options]

פקודה זו מחזירה ומציגה את הטווחים והקצאת תפקידי האפליקציה שהוקצו על עקרון שירות ה-Blueprint ב-Microsoft Entra ID. התוצאה הזו תואמת למה שאתה רואה ב-API Permissions Blade במרכז הניהול של Entra עבור יישום ה-blueprint.

blueprint-scopes אפשרויות

Option Description
-n, --agent-name <name> שם בסיס של סוכן. כשאתה מספק את האפשרות הזו, אתה לא צריך קובץ קונפיגורציה.
--tenant-id <tenantId> מזהה דייר של Azure AD. Overrides autodetection. שימוש עם --agent-name.
-?, , -h--help הצג עזרה ומידע שימוש.

query-entra inheritance

וודא שההרשאות הניתנות להורשה של התכנית מוגדרות כראוי ושזהויות הסוכנים אכן יירשו אותן.

a365 query-entra inheritance [options]

פקודה זו בודקת שני דברים עבור כל משאב שמוגדר ב-Blueprint:

  1. הכניסה של inheritablePermissions התכנית משתמשת kind=allAllowed הן בטווחים והן בתפקידים (התצורה הנדרשת).
  2. למנהל שירות ה-Blueprint יש אישורים אמיתיים למשאב הזה (בלי מענקים, אין מה לרשת גם אם הקונפיגורציה נכונה).

עבור כל משאב, הפיקוד מדווח:

  • Scopes: OKkind=allAllowed נקבע וההרשאות המואצות ניתנות ב-Blueprint SP.
  • Scopes: WARN— kind=allAllowed' נקבע אך לא ניתנות הרשאות שהועברו, או שהערך משתמש בטופס מנוי ישן.
  • Roles: OKkind=allAllowed מוגדר והקצאות תפקידים לאפליקציה ניתנות ב-blueprint SP.
  • Roles: WARN—אותם תנאים כמו Scopes WARN, עבור תפקידי אפליקציות.
  • Effective inheritance: OK—שני הצדדים קיימים allAllowed ולפחות מענק אחד קיים. זהויות סוכנים שנוצרו מהתבנית הזו יירשו הרשאות למשאב זה.
  • Effective inheritance: NONE—התצורה נכונה אך אין מענקים ב-SP של ה-Blueprint. הרץ a365 setup permissions כמנהל גלובלי כדי להוסיף מענקים.
  • Effective inheritance: BROKEN—הרשומה לא משמשת allAllowed מצד אחד או משני הצדדים. רוץ a365 setup permissions להתפייס.

הפקודה יוצאת עם קוד 1 אם לכל משאב יש סטטוס שאינו Effective inheritance: OK. השתמשו בפקודה זו כדי לוודא שתבנית מוכנה לפני יצירת זהויות סוכנים, או לאבחן מדוע זהויות סוכנים אינן מקבלות הרשאות צפויות.

inheritance אפשרויות

Option Description
-n, --agent-name <name> שם בסיס של סוכן. כשאתה מספק את האפשרות הזו, אתה לא צריך קובץ קונפיגורציה.
--tenant-id <tenantId> מזהה דייר של Azure AD. Overrides autodetection. שימוש עם --agent-name.
-?, , -h--help הצג עזרה ומידע שימוש.

Tip

אם Effective inheritance: NONE מופיע עבור משאב אחד או יותר, הסיבה הנפוצה ביותר היא תביעה אופציונלית חסרה wids באפליקציית הלקוח. רץ a365 setup requirements כדי לזהות ולתקן את זה אוטומטית.

query-entra instance-scopes

פרט טווחים ומצב הסכמה שתצורתם נקבעה עבור מופע הסוכן.

a365 query-entra instance-scopes [options]

פקודה זו מחזירה ומציגה את הטווחים המוגדרים ואת מצב ההסכמה שלהם עבור יישום מופע הסוכן ב-Microsoft Entra ID.

instance-scopes אפשרויות

Option Description
-n, --agent-name <name> שם בסיס של סוכן. כשאתה מספק את האפשרות הזו, אתה לא צריך קובץ קונפיגורציה.
--tenant-id <tenantId> מזהה דייר של Azure AD. Overrides autodetection. שימוש עם --agent-name.
-v, --verbose הפעל רישום מפורט.
-?, , -h--help הצג עזרה ומידע שימוש.

Note

קריאת אישורי OAuth2 לכל הדיירים דורשת את היקף המנהל בלבד DelegatedPermissionGrant.Read.All . אם תתחבר בלי הטווח הזה, הפקודה מפנה אותך ל-מרכז הניהול של Microsoft Entra כדי לאמת את מצב ההסכמה במקום לדווח "הסכמת המנהל לא ניתנה".