Anmelden mit der Azure CLI

Es gibt mehrere Authentifizierungsarten für die Azure-Befehlszeilenschnittstelle (Command-Line Interface, CLI), wie melden Sie sich also an? Den einfachsten Einstieg ermöglicht der Azure Cloud Shell-Dienst, der Sie automatisch anmeldet. Lokal können Sie sich interaktiv über Ihren Browser mit dem Befehl az login anmelden. Wenn Sie Skripts schreiben, ist der empfohlene Ansatz die Verwendung von Dienstprinzipalen. Indem Sie einem Dienstprinzipal nur die erforderlichen Mindestberechtigungen erteilen, können Sie Ihre Automatisierung schützen.

Wenn Sie sich mit einem Benutzerkonto anmelden, generiert und speichert die Azure CLI ein Authentifizierungsaktualisierungstoken. Weitere Informationen zur Konfiguration von Aktualisierungs- und Sitzungstoken finden Sie unter Richtlinieneigenschaften der Aktualisierungs- und Sitzungstokenlebensdauer.

Nachdem Sie sich anmelden, werden CLI-Befehle gegen Ihr Standardabonnement ausgeführt. Sollten Sie über mehrere Abonnements verfügen, können Sie das Standardabonnement ändern.

Hinweis

Je nach Ihrer Anmeldemethode verfügt Ihr Mandanten möglicherweise über Richtlinien für bedingten Zugriff, die Ihren Zugriff auf bestimmte Ressourcen einschränken.

Interaktives Anmelden

Die Standardauthentifizierungsmethode für Anmeldungen der Azure CLI ist die Anmeldung über einen Webbrowser mit Zugriffstoken.

  1. Führen Sie den Befehl login aus.

    az login
    

    Wenn die CLI Ihren Standardbrowser öffnen kann, wird der Autorisierungscodeflow initiiert und der Standardbrowser geöffnet, um eine Azure-Anmeldeseite zu laden.

    Andernfalls wird der Gerätecodeflow initiiert, und Sie werden aufgefordert, eine Browserseite unter https://aka.ms/devicelogin zu öffnen und den Code einzugeben, der im Terminal angezeigt wird.

    Falls kein Webbrowser verfügbar ist oder er nicht geöffnet werden kann, können Sie den Gerätecodefluss mit az login --use-device-code erzwingen.

  2. Melden Sie sich im Browser mit Ihren Anmeldeinformationen an.

Anmelden mit Anmeldeinformationen über die Befehlszeile

Geben Sie Ihre Azure-Benutzeranmeldeinformationen in der Befehlszeile an.

Hinweis

Dieser Ansatz funktioniert nicht für Microsoft-Konten oder Konten, für die die Authentifizierung in zwei Schritten aktiviert ist.

az login -u <username> -p <password>

Wichtig

Wenn Sie die Anzeige Ihres Kennworts in der Konsole vermeiden möchten und az login interaktiv verwenden, können Sie den Befehl read -s unter bash nutzen.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

Verwenden Sie in PowerShell das Cmdlet Get-Credential.

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Anmelden mit einem Dienstprinzipal

Dienstprinzipale sind Konten, die nicht an einen bestimmten Benutzer gebunden sind und über Berechtigungen verfügen können, die ihnen über vordefinierte Rollen zugewiesen werden. Die Authentifizierung mit einem Dienstprinzipal ist die beste Methode zum Schreiben sicherer Skripts oder Programme und ermöglicht das Anwenden von Berechtigungseinschränkungen und lokal gespeicherten statischen Anmeldeinformationen. Weitere Informationen finden Sie unter Arbeiten mit Azure-Dienstprinzipalen über die Azure CLI.

Für die Anmeldung mit einem Dienstprinzipal benötigen Sie Folgendes:

  • Die dem Dienstprinzipal zugeordnete URL bzw. den zugeordneten Namen
  • Das Dienstprinzipalkennwort oder das X509-Zertifikat (im PEM-Format), das zum Erstellen des Dienstprinzipals verwendet wurde
  • Den dem Dienstprinzipal zugeordneten Mandanten, als .onmicrosoft.com-Domäne oder Azure-Objekt-ID

Hinweis

In einer PEM-Datei muss ein Zertifikat (CERTIFICATE) an den privaten Schlüssel (PRIVATE KEY) angefügt werden. Ein Beispiel für ein PEM-Dateiformat finden Sie unter Zertifikatbasierte Authentifizierung.

Wichtig

Falls Ihr Dienstprinzipal ein in Key Vault gespeichertes Zertifikat nutzt, muss der private Schlüssel des Zertifikats verfügbar sein, ohne dass eine Anmeldung bei Azure erforderlich ist. Informationen zum Abrufen des Zertifikats für az login finden Sie unter Abrufen des Zertifikats aus Key Vault.

az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>

Wichtig

Wenn Sie die Anzeige Ihres Kennworts in der Konsole vermeiden möchten und az login interaktiv verwenden, können Sie den Befehl read -s unter bash nutzen.

read -sp "Azure password: " AZ_PASS && echo && az login --service-principal -u <app-id> -p $AZ_PASS --tenant <tenant>

Verwenden Sie in PowerShell das Cmdlet Get-Credential.

$AzCred = Get-Credential -UserName <app-id>
az login --service-principal -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password --tenant <tenant>

Weitere Informationen zu PEM-Dateiformaten finden Sie unter Arbeiten mit Azure-Dienstprinzipalen über die Azure CLI.

Anmelden mit einem anderen Mandanten

Sie können mit dem Argument --tenant einen Mandanten auswählen, unter dem Sie sich anmelden möchten. Der Wert dieses Arguments kann eine Domäne vom Typ .onmicrosoft.com oder die Azure-Objekt-ID für den Mandanten sein. Mit --tenant können sowohl interaktive Methoden als auch die Befehlszeile für die Anmeldung verwendet werden.

az login --tenant <tenant>

Anmelden mit einer verwalteten Identität

Auf Ressourcen, die für verwaltete Identitäten von Azure-Ressourcen konfiguriert sind, können Sie sich mit der verwalteten Identität anmelden. Das Anmelden mit der Identität der Ressource erfolgt über das Flag --identity.

az login --identity

Verfügt die Ressource über mehrere benutzerseitig zugewiesene verwaltete Identitäten und keine systemseitig zugewiesene Identität, müssen Sie für die Anmeldung die Client-ID, Objekt-ID oder Ressourcen-ID der benutzerseitig zugewiesenen verwalteten Identität mit --username angeben.

az login --identity --username <client_id|object_id|resource_id>

Weitere Informationen zu verwalteten Identitäten für Azure-Ressourcen finden Sie unter Konfigurieren von verwalteten Identitäten für Azure-Ressourcen auf einem virtuellen Azure-Computer mithilfe der Azure-Befehlszeilenschnittstelle und Verwenden von verwalteten Identitäten für Azure-Ressourcen auf einem virtuellen Azure-Computer für die Anmeldung.

Anmelden mit Web Account Manager (WAM)

Die Azure CLI bietet jetzt Vorschauunterstützung für Web Account Manager (WAM). WAM ist eine Komponente für Windows 10+, die als Authentifizierungsbroker fungiert. (Ein Authentifizierungsbroker ist eine Anwendung, die auf dem Computer eines Benutzers ausgeführt wird und die Authentifizierungs-Handshakes und die Tokenwartung für verbundene Konten verwaltet.)

Die Verwendung von WAM bietet mehrere Vorteile:

  • Erhöhte Sicherheit. Siehe Bedingter Zugriff: Tokenschutz (Vorschau).
  • Support für Windows Hello, Richtlinien für bedingten Zugriff und FIDO-Schlüssel.
  • Optimiertes einmaliges Anmelden.
  • In Windows enthaltene Fehlerbehebungen und Verbesserungen.

Die Anmeldung mit WAM ist eine optionale Vorschaufunktion. Nach der Aktivierung wird die vorherige browserbasierte Benutzeroberfläche ersetzt.

az config set core.allow_broker=true
az account clear
az login

Im derzeitigen Entwicklungsstage gibt es einige bekannte Einschränkungen für WAM:

  • WAM ist unter Windows 10 und höher sowie unter Windows Server 2019 und höher verfügbar. Unter Mac, Linux und früheren Windows-Versionen führen wir automatisch ein Fallback auf einen Browser durch.
  • Microsoft-Konten (beispielsweise @outlook.com oder @live.com) werden derzeit nicht unterstützt. Wir arbeiten mit dem Microsoft-Identitätsteam zusammen, um den Support zu einem späteren Zeitpunkt anzubieten.

Weitere Informationen