Freigeben über


azcmagent disconnect:

Löscht die Azure Arc-fähige Serverressource in der Cloud und setzt die Konfiguration des lokalen Agents zurück. Ausführliche Informationen zum Entfernen von Erweiterungen und zum Trennen und Deinstallieren des Agents finden Sie unter Deinstallieren des Agents.

Verbrauch

azcmagent disconnect [authentication] [flags]

Beispiele

Trennen Sie einen Server mit der Standardanmeldungsmethode (interaktiver Browser oder Gerätecode).

azcmagent disconnect

Trennen Sie einen Server mithilfe eines Dienstprinzipals.

azcmagent disconnect --service-principal-id "ID" --service-principal-secret "SECRET"

Trennen Sie einen Server, wenn die entsprechende Ressource in Azure bereits gelöscht wurde.

azcmagent disconnect --force-local-only

Authentifizierungsoptionen

Es gibt vier Möglichkeiten, Authentifizierungsanmeldeinformationen für den mit Azure verbundenen Computer-Agent bereitzustellen. Wählen Sie eine Authentifizierungsoption aus, und ersetzen Sie den [authentication] Abschnitt in der Verwendungssyntax durch die empfohlenen Flags.

Hinweis

Das Konto, das zum Trennen eines Servers verwendet wird, muss vom gleichen Mandanten wie das Abonnement stammen, in dem der Server registriert ist.

Interaktive Browseranmeldung (nur Windows)

Diese Option ist die Standardeinstellung für Windows-Betriebssysteme mit einer Desktopumgebung. Die Anmeldeseite wird in Ihrem Standardwebbrowser geöffnet. Diese Option ist möglicherweise erforderlich, wenn Ihre Organisation Richtlinien für bedingten Zugriff konfiguriert hat, die erfordern, dass Sie sich von vertrauenswürdigen Computern anmelden müssen.

Es ist keine Kennzeichnung erforderlich, um die interaktive Browseranmeldung zu verwenden.

Gerätecodeanmeldung

Diese Option generiert einen Code, mit dem Sie sich über einen Webbrowser auf einem anderen Gerät anmelden können. Dies ist die Standardoption für Windows Server Core-Editionen und alle Linux-Distributionen. Wenn Sie den Verbindungsbefehl ausführen, haben Sie 5 Minuten Zeit, um die angegebene Anmelde-URL auf einem mit dem Internet verbundenen Gerät zu öffnen und den Anmeldevorgang abzuschließen.

Verwenden Sie das --use-device-code Kennzeichen, um sich mit einem Gerätecode zu authentifizieren.

Dienstprinzipal mit Geheimnis

Mit Dienstprinzipalen können Sie sich nicht interaktiv authentifizieren und werden häufig für Vorgänge im Großen und Ganzen verwendet, bei denen dasselbe Skript auf mehreren Servern ausgeführt wird. Es wird empfohlen, Dienstprinzipalinformationen über eine Konfigurationsdatei bereitzustellen (siehe --config), um zu vermeiden, dass der geheime Schlüssel in allen Konsolenprotokollen verfügbar ist. Der Dienstprinzipal sollte auch für das Arc-Onboarding vorgesehen sein und über so wenige Berechtigungen wie möglich verfügen, um die Auswirkungen einer gestohlenen Anmeldeinformationen einzuschränken.

Um sich mit einem Dienstprinzipal mithilfe eines geheimen Schlüssels zu authentifizieren, stellen Sie die Anwendungs-ID, den geheimen Schlüssel und die Mandanten-ID des Dienstprinzipals bereit: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Dienstprinzipal mit Zertifikat

Die zertifikatbasierte Authentifizierung ist eine sicherere Methode zur Authentifizierung mithilfe von Dienstprinzipalen. Der Agent akzeptiert beide PCKS #12 (. PFX-Dateien und ASCII-codierte Dateien (z. B. . . PEM) die sowohl die privaten als auch die öffentlichen Schlüssel enthalten. Das Zertifikat muss auf dem lokalen Datenträger verfügbar sein, und der Benutzer, der den azcmagent Befehl ausführt, benötigt Lesezugriff auf die Datei. Kennwortgeschützte PFX-Dateien werden nicht unterstützt.

Um sich mit einem Dienstprinzipal mithilfe eines Zertifikats zu authentifizieren, stellen Sie die Anwendungs-ID des Dienstprinzipals, die Mandanten-ID und den Pfad zur Zertifikatdatei bereit: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Weitere Informationen finden Sie unter Erstellen eines Dienstprinzipals für RBAC mit zertifikatbasierter Authentifizierung.

Zugriffstoken

Zugriffstoken können auch für die nicht interaktive Authentifizierung verwendet werden, sind jedoch kurzlebig und werden in der Regel von Automatisierungslösungen verwendet, die über einen kurzen Zeitraum auf mehreren Servern ausgeführt werden. Sie können ein Zugriffstoken mit Get-AzAccessToken oder einem beliebigen anderen Microsoft Entra-Client abrufen.

Verwenden Sie das --access-token [token] Flag, um sich mit einem Zugriffstoken zu authentifizieren.

Flags

--access-token

Gibt das Microsoft Entra-Zugriffstoken an, das zum Erstellen der Azure Arc-fähigen Serverressource in Azure verwendet wird. Weitere Informationen finden Sie unter Authentifizierungsoptionen.

-f, --force-local-only

Trennt den Server, ohne die Ressource in Azure zu löschen. Wird in erster Linie verwendet, wenn die Azure-Ressource gelöscht wurde und die Konfiguration des lokalen Agents bereinigt werden muss.

-i, --service-principal-id

Gibt die Anwendungs-ID des Dienstprinzipals an, der zum Erstellen der Azure Arc-fähigen Serverressource in Azure verwendet wird. Muss mit den --tenant-id Und-Kennzeichnungen --service-principal-secret oder --service-principal-cert Flags verwendet werden. Weitere Informationen finden Sie unter Authentifizierungsoptionen.

--service-principal-cert

Gibt den Pfad zu einer Dienstprinzipalzertifikatdatei an. Muss mit den --service-principal-id Kennzeichen verwendet --tenant-id werden. Das Zertifikat muss einen privaten Schlüssel enthalten und kann sich in einem PKCS #12 () befinden. PFX) oder ASCII-codierter Text (. PEM. CRT)-Format. Kennwortgeschützte PFX-Dateien werden nicht unterstützt. Weitere Informationen finden Sie unter Authentifizierungsoptionen.

-p, --service-principal-secret

Gibt den Dienstprinzipalschlüssel an. Muss mit den --service-principal-id Kennzeichen verwendet --tenant-id werden. Um das Verfügbarmachen des geheimen Schlüssels in Konsolenprotokollen zu vermeiden, empfiehlt Microsoft, den Dienstprinzipalschlüssel in einer Konfigurationsdatei bereitzustellen. Weitere Informationen finden Sie unter Authentifizierungsoptionen.

--use-device-code

Generieren Sie einen Microsoft Entra-Geräteanmeldungscode, der in einen Webbrowser auf einem anderen Computer eingegeben werden kann, um den Agent bei Azure zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierungsoptionen.

--user-tenant-id

Die Mandanten-ID für das Konto, mit dem der Server mit Azure verbunden wird. Dieses Feld ist erforderlich, wenn der Mandant des Onboarding-Kontos nicht mit dem gewünschten Mandanten für die Azure Arc-fähige Serverressource identisch ist.

Allgemeine Kennzeichnungen, die für alle Befehle verfügbar sind

--config

Verwendet einen Pfad zu einer JSON- oder YAML-Datei, die Eingaben für den Befehl enthält. Die Konfigurationsdatei sollte eine Reihe von Schlüsselwertpaaren enthalten, bei denen der Schlüssel einer verfügbaren Befehlszeilenoption entspricht. Um beispielsweise das --verbose Flag zu übergeben, würde die Konfigurationsdatei wie folgt aussehen:

{
    "verbose": true
}

Wenn eine Befehlszeilenoption sowohl im Befehlsaufruf als auch in einer Konfigurationsdatei gefunden wird, hat der in der Befehlszeile angegebene Wert Vorrang.

-h, --help

Erhalten Sie Hilfe zum aktuellen Befehl, einschließlich seiner Syntax und Befehlszeilenoptionen.

-j, --json

Gibt das Befehlsergebnis im JSON-Format aus.

--log-stderr

Leiten Sie Fehler- und ausführliche Nachrichten an den Standardfehlerdatenstrom (Stderr) um. Standardmäßig wird die gesamte Ausgabe an den Standardausgabedatenstrom (Stdout) gesendet.

--no-color

Deaktivieren Sie die Farbausgabe für Terminals, die KEINE ANSI-Farben unterstützen.

-v, --verbose

Zeigen Sie detailliertere Protokollierungsinformationen an, während der Befehl ausgeführt wird. Hilfreich für die Problembehandlung beim Ausführen eines Befehls.