Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Azure CLI unterstützt mehrere Authentifizierungsmethoden. Um Ihre Azure-Ressourcen sicher zu halten, beschränken Sie Anmeldeberechtigungen für Ihren Anwendungsfall.
Anmelden bei Azure mit Azure CLI
Beim Arbeiten mit der Azure CLI gibt es vier Authentifizierungsoptionen:
Authentifizierungsmethode | Vorteil |
---|---|
Azure Cloud Shell | Azure Cloud Shell meldet Sie automatisch an, da es die einfachste Möglichkeit ist, loszulegen. |
Interaktive Anmeldung | Diese Option eignet sich gut, wenn Sie Azure CLI-Befehle erlernen und die Azure CLI lokal ausführen. Mit dem Befehl az login melden Sie sich über Ihren Browser an. Bei der interaktiven Anmeldung erhalten Sie außerdem eine Abonnementauswahl, um Ihr Standardabonnement automatisch festzulegen. |
Anmelden mit einer verwalteten Identität | Verwaltete Identitäten stellen eine von Azure verwaltete Identität für Anwendungen bereit, die beim Herstellen einer Verbindung mit Ressourcen verwendet werden, die die Microsoft Entra-Authentifizierung unterstützen. Die Verwendung einer verwalteten Identität beseitigt die Notwendigkeit, geheime Schlüssel, Anmeldeinformationen, Zertifikate und Schlüssel zu verwalten. |
Anmelden mithilfe eines Dienstprinzipals | Beim Schreiben von Skripts ist die Verwendung eines Dienstprinzipals der empfohlene Authentifizierungsansatz. Sie erteilen nur die entsprechenden Berechtigungen, die für einen Dienstprinzipal erforderlich sind, damit Ihre Automatisierung sicher bleibt. |
Mehrstufige Authentifizierung (MFA)
Ab 2025 erzwingt Microsoft obligatorische MFA für Azure CLI und andere Befehlszeilentools. MFA wirkt sich nur auf die Benutzeridentitäten von Microsoft Entra ID aus. Dies wirkt sich nicht auf Arbeitsauslastungsidentitäten aus, z. B. Dienstprinzipale und verwaltete Identitäten.
Wenn Sie az login mit einer Entra-ID und einem Kennwort zum Authentifizieren eines Skripts oder automatisierten Prozesses verwenden, planen Sie jetzt die Migration zu einer Workload-Identität. Weitere Informationen finden Sie unter "Auswirkungen der mehrstufigen Authentifizierung auf Azure CLI in Automatisierungsszenarien".
Suchen oder Ändern Ihres aktuellen Abonnements
Nach der Anmeldung werden CLI-Befehle für Ihr Standardabonnement ausgeführt. Wenn Sie über mehrere Abonnements verfügen, ändern Sie Ihr Standardabonnement mithilfe von az account set --subscription
.
az account set --subscription "<subscription ID or name>"
Weitere Informationen zum Verwalten von Azure-Abonnements finden Sie unter Verwalten von Azure-Abonnements mit der Azure CLI.
Aktualisierungstoken
Wenn Sie sich mit einem Benutzerkonto anmelden, generiert und speichert die Azure CLI ein Aktualisierungstoken für die Authentifizierung. Da Zugriffstoken nur für kurze Zeit gültig sind, wird ein Aktualisierungstoken gleichzeitig mit dem Zugriffstoken ausgegeben. Die Clientanwendung kann dann dieses Aktualisierungstoken bei Bedarf gegen ein neues Zugriffstoken austauschen. Weitere Informationen zur Lebensdauer und Ablauf von Token finden Sie unter Aktualisierungstoken in der Microsoft Identity Platform.
Verwenden Sie den Befehl "az account get-access-token" zum Abrufen des Zugriffstokens:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Hier sind einige zusätzliche Informationen zum Ablaufdatum von Zugriffstoken:
- Ablaufdaten werden in einem Format aktualisiert, das von MSAL-basierter Azure CLI unterstützt wird.
- Ab Azure CLI 2.54.0 gibt
az account get-access-token
dieexpires_on
-Eigenschaft zusammen mit der EigenschaftexpiresOn
für die Tokenablaufzeit zurück. - Die
expires_on
Eigenschaft stellt einen POSIX-Zeitstempel (Portable Operating System Interface) dar, während dieexpiresOn
Eigenschaft eine lokale Datumstime darstellt. - Die Eigenschaft drückt keine "Faltung" aus, wenn Sommerzeit
expiresOn
endet. Dies kann zu Problemen in Ländern oder Regionen führen, in denen Sommerzeit angenommen wird. Weitere Informationen zum Thema "Fold" finden Sie unter PEP 495 – Unterscheidung lokaler Zeit. - Es wird empfohlen, für nachgeschaltete Anwendungen die
expires_on
Eigenschaft zu verwenden, da sie den Universal Time Code (UTC) verwendet.
Beispielausgabe:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Hinweis
Je nach Anmeldemethode verfügt Ihr Mandant möglicherweise über Richtlinien für bedingten Zugriff, die den Zugriff auf bestimmte Ressourcen einschränken.
Siehe auch
- Azure CLI Einarbeitungs-Kurzanleitung
- Verwalten von Azure-Abonnements mit der Azure CLI
- Suchen Sie nach Azure CLI-Beispielen und nach veröffentlichten Artikeln .