Konfigurieren einer Anwendung, um einer verwalteten Identität zu vertrauen

2025-06-09

In diesem Artikel wird beschrieben, wie Sie eine Microsoft Entra-Anwendung so konfigurieren, dass sie einer verwalteten Identität vertraut. Anschließend können Sie das verwaltete Identitätstoken für ein Zugriffstoken austauschen, das auf geschützte Microsoft Entra-Ressourcen zugreifen kann, ohne app-Geheime Schlüssel verwenden oder verwalten zu müssen.

Voraussetzungen

Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.
Dieses Azure-Konto muss über Berechtigungen zum Aktualisieren von Anwendungsanmeldeinformationen verfügen. Alle folgenden Microsoft Entra-Rollen enthalten die erforderlichen Berechtigungen:
Ein Verständnis der Konzepte in verwalteten Identitäten für Azure-Ressourcen.
Eine vom Benutzer zugewiesene verwaltete Identität , die der Azure-Computeressource (z. B. einem virtuellen Computer oder Azure App Service) zugewiesen ist, der Ihre Workload hosten soll.
Eine App-Registrierung in der Microsoft Entra-ID. Diese App-Registrierung muss demselben Mandanten wie die verwaltete Identität angehören.
- Wenn Sie auf Ressourcen in einem anderen Mandanten zugreifen müssen, muss Ihre App-Registrierung eine mehrinstanzenfähige Anwendung sein und in den anderen Mandanten bereitgestellt werden. Erfahren Sie , wie Sie eine mehrinstanzenfähige App in anderen Mandanten hinzufügen.
Die App-Registrierung muss Zugriff auf geschützte Microsoft Entra-Ressourcen haben (z. B. Azure, Microsoft Graph, Microsoft 365 usw.). Dieser Zugriff kann über API-Berechtigungen oder delegierte Berechtigungen gewährt werden.

Wichtige Überlegungen und Einschränkungen

Zum Erstellen, Aktualisieren oder Löschen von Verbundidentitätsanmeldeinformationen muss das Konto, das die Aktion ausführt, über die Rolle "Anwendungsadministrator", "Anwendungsentwickler", "Cloudanwendungsadministrator" oder "Anwendungsbesitzer" verfügen. Die Berechtigung "microsoft.directory/applications/credentials/update" ist erforderlich, um eine Verbundidentitäts-Anmeldeinformationen zu aktualisieren.

Maximal 20 Verbundidentitätsanmeldeinformationen können einer Anwendung oder einer vom Benutzer zugewiesenen verwalteten Identität hinzugefügt werden.

Beim Konfigurieren von Anmeldeinformationen für eine Verbundidentität müssen mehrere wichtige Informationen angegeben werden:

Aussteller, Thema sind die entscheidenden Informationen, die benötigt werden, um die Vertrauensbeziehung aufzubauen. Wenn die Azure-Workload die Microsoft-Identitätsplattform anfordert, das verwaltete Identitätstoken gegen ein Entra-App-Zugriffstoken auszutauschen, werden die Aussteller und Subjektwerte der Verbundidentitätsanmeldeinformationen mit den im verwalteten Identitätstoken bereitgestellten issuer und subject Ansprüchen abgeglichen. Wenn diese Überprüfung erfolgreich ist, stellt Microsoft Identity Platform ein Zugriffstoken für die externe Softwareworkload aus.
issuer ist die URL der Autoritäts-URL des Microsoft Entra-Mandanten in der Form https://login.microsoftonline.com/{tenant}/v2.0. Sowohl die Microsoft Entra-App als auch die verwaltete Identität müssen demselben Mandanten angehören. Wenn der issuer-Anspruch führende oder nachfolgende Leerzeichen im Wert enthält, wird der Tokenaustausch blockiert.
subject: Hierbei handelt es sich um die groß- und kleinschreibungssensitive GUID der Objekt-ID (Prinzipal) der verwalteten Identität, die der Azure-Workload zugewiesen ist. Die verwaltete Identität muss sich im selben Mandanten wie die App-Registrierung befinden, auch wenn sich die Zielressource in einer anderen Cloud befindet. Die Microsoft Identity Platform lehnt den Tokenaustausch ab, wenn die subject Konfiguration der Verbundidentitätsanmeldeinformationen nicht exakt mit der Prinzipal-ID der verwalteten Identität übereinstimmt.

Von Bedeutung

Nur vom Benutzer zugewiesene verwaltete Identitäten können als Verbundanmeldeinformationen für Apps verwendet werden. vom System zugewiesene Identitäten werden nicht unterstützt.
Zielgruppen gibt den Wert an, der in dem aud Anspruch im verwalteten Identitätstoken erscheint (erforderlich). Der Wert muss je nach Zielcloud eine der folgenden Werte sein.
- Globaler Microsoft Entra ID-Dienst: api://AzureADTokenExchange
- Microsoft Entra ID für die amerikanische Regierung: api://AzureADTokenExchangeUSGov
- Microsoft Entra China betrieben von 21Vianet: api://AzureADTokenExchangeChina
Von Bedeutung

Der Zugriff auf Ressourcen in einem anderen Mandanten wird unterstützt. Der Zugriff auf Ressourcen in einer anderen Cloud wird nicht unterstützt. Tokenanforderungen an andere Clouds schlagen fehl.

Von Bedeutung

Wenn Sie versehentlich falsche Informationen im Aussteller, Betreff oder Zielgruppe hinzufügen, wird die Verbundidentitätsanmeldeinformationseinstellung erfolgreich ohne Fehler erstellt. Der Fehler wird erst offensichtlich, wenn der Austausch des Tokens fehlschlägt.
Name ist der eindeutige Bezeichner für die Verbundidentitätsanmeldeinformationen. (Erforderlich) Dieses Feld hat eine Zeichenbeschränkung von 3 bis 120 Zeichen und muss url-freundlich sein. Alphanumerische, Strich- oder Unterstrichzeichen werden unterstützt, und das erste Zeichen muss nur alphanumerisch sein. Es ist unveränderlich, sobald es erstellt wurde.
beschreibung ist die vom Benutzer bereitgestellte Beschreibung der Verbundidentitätsanmeldeinformationen (optional). Die Beschreibung wird von Microsoft Entra ID weder validiert noch überprüft. Dieses Feld hat einen Grenzwert von 600 Zeichen.

Platzhalterzeichen werden in keinem Eigenschaftswert für Anmeldeinformationen für Verbundidentitäten unterstützt.

Konfigurieren einer Verbundidentitätsanmeldeinformationen für eine Anwendung

In diesem Abschnitt konfigurieren Sie ein Verbundsidentitätsnachweis für eine vorhandene Anwendung, damit sie einer verwalteten Identität vertraut. Verwenden Sie die folgenden Registerkarten, um auszuwählen, wie Sie den Verbundidentitätsnachweis für eine vorhandene Anwendung konfigurieren.

Melden Sie sich beim Microsoft Entra Admin Center an. Überprüfen Sie, ob Sie sich in dem Mandanten befinden, in dem Ihre Anwendung registriert ist.
Navigieren Sie zu Entra ID>, und wählen Sie Ihre Anwendung im Hauptfenster aus.
Wählen Sie unter "Verwalten" die Option "Zertifikate und Geheime Schlüssel" aus.
Wählen Sie die Registerkarte " Verbundanmeldeinformationen" und dann "Anmeldeinformationen hinzufügen" aus.

Wählen Sie im Dropdownmenü für das Szenario "Verbundanmeldeinformationen" die Option "Verwaltete Identität" aus und füllen Sie die Werte gemäß der folgenden Tabelle aus.

Feld	BESCHREIBUNG	Beispiel
Emittent	Die OAuth 2.0 / OIDC-Aussteller-URL der Microsoft Entra ID-Autorität, die das verwaltete Identitätstoken ausgibt. Dieser Wert wird automatisch mit dem aktuellen Entra-Mandantenaussteller ausgefüllt.	`https://login.microsoftonline.com/{tenantID}/v2.0`
Verwaltete Identität auswählen	Klicken Sie auf diesen Link, um die verwaltete Identität auszuwählen, die als Verbundidentität fungiert. Sie können nur User-Assigned Managed Identities als Anmeldeinformationen verwenden.	msi-webapp1
Beschreibung (Optional)	Eine vom Benutzer bereitgestellte Beschreibung der Verbundidentitätsanmeldeinformationen.	Vertrauen Sie UAMI-Workloads als Zugangsdaten für meine App.
Publikum	Der Zielgruppenwert, der im externen Token angezeigt werden muss.	Muss auf einen der folgenden Werte festgelegt werden: • Globaler Entra ID-Dienst: api://AzureADTokenExchange • Entra ID für US-Regierung: api://AzureADTokenExchangeUSGov • Entra ID China betrieben von 21Vianet: api://AzureADTokenExchangeChina

Screenshot des Anmeldeinformationsfensters im Microsoft Entra Admin Center.

Öffnen Sie ein Terminal in Ihrer bevorzugten IDE, und führen Sie den folgenden Befehl aus, um eine Verbundidentitätsanmeldeinformationen für Ihre App zu erstellen.

az ad app federated-credential create --id 00001111-aaaa-2222-bbbb-3333cccc4444 --parameters credential.json

Der id Parameter gibt die Anwendungs-ID (Objekt-ID) an. Der parameters Parameter gibt die Konfiguration von Verbundidentitätsanmeldeinformationen im JSON-Format an.

Dies ist ein Beispiel für den Inhalt von credential.json. Ersetzen Sie die subject GUID durch die Objekt-ID (Prinzipal) der verwalteten Identität und {tenantID} durch die Mandanten-ID Ihrer Anwendung. Der Benutzergruppenwert muss auf einen der folgenden Werte festgelegt werden:
• Globaler Entra ID-Dienst: api://AzureADTokenExchange
• Entra ID für US-Regierung: api://AzureADTokenExchangeUSGov
• Entra ID China betrieben von 21Vianet: api://AzureADTokenExchangeChina

{
    "name": "msi-webapp1",
    "issuer": "https://login.microsoftonline.com/{tenantID}/v2.0",
    "subject": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "description": "Trust the workload's UAMI to impersonate the App",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Öffnen Sie ein PowerShell-Terminal in Ihrer bevorzugten IDE, und führen Sie den folgenden Befehl aus, um eine Verbundidentitätsanmeldeinformationen für Ihre App zu erstellen. Ersetzen Sie die Subject GUID durch die Objekt-ID (Prinzipal) der verwalteten Identität und {tenantID} durch die Mandanten-ID Ihrer Anwendung.

Der Benutzergruppenwert muss auf einen der folgenden Werte festgelegt werden:
• Globaler Entra ID-Dienst: api://AzureADTokenExchange
• Entra ID für US-Regierung: api://AzureADTokenExchangeUSGov
• Entra ID China betrieben von 21Vianet: api://AzureADTokenExchangeChina

New-AzADAppFederatedCredential -ApplicationObjectId $appObjectId -Audience api://AzureADTokenExchange -Issuer 'https://login.microsoftonline.com/{tenantID}/v2.0' -Name 'MyMsiFic' -Subject '00001111-aaaa-2222-bbbb-3333cccc4444'

Öffnen Sie ein Terminal in Ihrer bevorzugten IDE, und führen Sie den folgenden Befehl aus, um eine Verbundidentitätsanmeldeinformationen für Ihre App zu erstellen. Legen Sie den subject Wert auf die Objekt-ID (Prinzipal) der verwalteten Identität und {tenantID} mit der Mandanten-ID Ihrer Anwendung fest.

az rest --method POST --uri 'https://graph.microsoft.com/applications/{app_registration_id}/federatedIdentityCredentials' --body '{"name":"MyMsiFicTest","issuer":"https://login.microsoftonline.com/{tenantID}/v2.0","subject":"{Managed_Identity_Principal_ID}","description":"Trust the workloads UAMI to impersonate the App","audiences":["api://AzureADTokenExchange"]}'

In diesem Beispiel wird gezeigt, wie Sie mit Bicep ein FIC erstellen, damit Ihre App der zugewiesenen verwalteten Identität vertraut. Ersetzen Sie die Platzhalter durch die entsprechenden Werte.

extension 'br:mcr.microsoft.com/bicep/extensions/microsoftgraph/v1.0:0.1.8-preview'

param myWorkloadManagedIdentity string = '[MANAGED-IDENTITY-NAME]'
param applicationDisplayName string = '[APPLICATION-DISPLAYNAME]'
param applicationName string = '[APPLICATION-UNIQUE-NAME]'

resource myManagedIdentity 'Microsoft.ManagedIdentity/userAssignedIdentities@2023-01-31' existing = {
  name: myWorkloadManagedIdentity
}

resource myApp 'Microsoft.Graph/applications@v1.0' = {
  displayName: applicationDisplayName
  uniqueName: applicationName

  resource myMsiFic 'federatedIdentityCredentials@v1.0' = {
    name: '${myApp.uniqueName}/msiAsFic'
    description: 'Trust the workloads UAMI to impersonate the App'
    audiences: [
       'api://AzureADTokenExchange'
    ]
    issuer: '${environment().authentication.loginEndpoint}${tenant().tenantId}/v2.0'
    subject: myManagedIdentity.properties.principalId
  }
}

Aktualisieren Des Anwendungscodes zum Anfordern eines Zugriffstokens

Die folgenden Codeausschnitte veranschaulichen, wie ein verwaltetes Identitätstoken abgerufen und als Anmeldeinformationen für Ihre Entra-Anwendung verwendet wird. Die Beispiele sind in beiden Fällen gültig, in denen die Zielressource im selben Mandanten wie die Entra-Anwendung oder in einem anderen Mandanten vorhanden ist.

Azure Identity-Clientbibliotheken

Die folgenden Codebeispiele veranschaulichen den Zugriff auf einen geheimen Azure Key Vault-Schlüssel, können jedoch angepasst werden, um auf jede Ressource zuzugreifen, die von Microsoft Entra geschützt ist.

using Azure.Core;
using Azure.Identity;
using Azure.Security.KeyVault.Secrets;

// Audience value must be one of the below values depending on the target cloud:
// - Entra ID Global cloud: api://AzureADTokenExchange
// - Entra ID US Government: api://AzureADTokenExchangeUSGov
// - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
string miAudience = "api://AzureADTokenExchange";

// Create an assertion with the managed identity access token, so that it can be
// exchanged for an app token. Client ID is passed here. Alternatively, either
// object ID or resource ID can be passed.
ManagedIdentityCredential miCredential = new(
    ManagedIdentityId.FromUserAssignedClientId("<YOUR_MI_CLIENT_ID>"));
TokenRequestContext tokenRequestContext = new([$"{miAudience}/.default"]);
ClientAssertionCredential clientAssertionCredential = new(
    "<YOUR_RESOURCE_TENANT_ID>",
    "<YOUR_APP_CLIENT_ID>",
    async _ =>
        (await miCredential
            .GetTokenAsync(tokenRequestContext)
            .ConfigureAwait(false)).Token
);

// Create a new SecretClient using the assertion
SecretClient client = new(
    new Uri("https://testfickv.vault.azure.net/"), 
    clientAssertionCredential);

// Retrieve the secret
KeyVaultSecret secret = client.GetSecret("<SECRET_NAME>");

package main

import (
  "context"
  "log"

  "github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
  "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
  "github.com/Azure/azure-sdk-for-go/sdk/security/keyvault/azsecrets"
)

func main() {
  // Audience value must be one of the below values depending on the target cloud:
  // - Entra ID Global cloud: api://AzureADTokenExchange
  // - Entra ID US Government: api://AzureADTokenExchangeUSGov
  // - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
  azScopes := []string{"api://AzureADTokenExchange/.default"}

  // Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
  mic, err := azidentity.NewManagedIdentityCredential(
    &azidentity.ManagedIdentityCredentialOptions{
      ID: azidentity.ClientID("<YOUR_MI_CLIENT_ID>"),
    },
  )
  if err != nil {
    log.Fatal("error constructing managed identity credential: ", err)
  }

  getAssertion := func(ctx context.Context) (string, error) {
    tk, err := mic.GetToken(ctx, policy.TokenRequestOptions{Scopes: azScopes})
    return tk.Token, err
  }
  cred, err := azidentity.NewClientAssertionCredential("<YOUR_TENANT_ID>", "<YOUR_APP_CLIENT_ID>", getAssertion, nil)
  if err != nil {
    log.Fatal("error constructing client assertion credential: ", err)
  }

  client := azsecrets.NewClient("https://testfickv.vault.azure.net", cred, nil)
	resp, err := client.GetSecret(context.TODO(), "<SECRET_NAME>", "", nil)
	if err != nil {
		// TODO: handle error
	}
}

import com.azure.core.credential.TokenRequestContext;
import com.azure.core.credential.*;
import com.azure.identity.*;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;
import com.azure.security.keyvault.secrets.models.KeyVaultSecret;

import reactor.core.publisher.Mono;

public class KeyVaultFIC {
  // Audience value must be one of the below values depending on the target cloud:
  // - Entra ID Global cloud: api://AzureADTokenExchange
  // - Entra ID US Government: api://AzureADTokenExchangeUSGov
  // - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
  private static final String MI_AUDIENCE = "api://AzureADTokenExchange";

  public static void main(String[] args) throws Exception {
    ClientAssertionCredential clientAssertionCredential = new ClientAssertionCredentialBuilder()
        .tenantId("<YOUR_TENANT_ID>")
        .clientId("<YOUR_APP_CLIENT_ID>")
        .clientAssertion(() -> getTokenUsingManagedIdentity(MI_AUDIENCE).block())
        .build();

    SecretClient secretClient = new SecretClientBuilder()
        .vaultUrl("https://testfickv.vault.azure.net")
        .credential(clientAssertionCredential)
        .buildClient();

    KeyVaultSecret secret = secretClient.getSecret("<SECRET_NAME>");
  }

  private static Mono<String> getTokenUsingManagedIdentity(String audience) {
    // Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
    ManagedIdentityCredential managedIdentityCredential = new ManagedIdentityCredentialBuilder()
        .clientId("<YOUR_MI_CLIENT_ID>")
        .build();
    TokenRequestContext requestContext = new TokenRequestContext()
        .addScopes(audience + "/.default");

    return managedIdentityCredential
        .getToken(requestContext)
        .map(accessToken -> accessToken.getToken());
  }
}

import { ManagedIdentityCredential, ClientAssertionCredential, TokenCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";

// Audience value must be one of the below values depending on the target cloud:
// - Entra ID Global cloud: api://AzureADTokenExchange
// - Entra ID US Government: api://AzureADTokenExchangeUSGov
// - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
const MI_AUDIENCE: string = "api://AzureADTokenExchange";

async function getAccessToken(credential: TokenCredential, audience: string[]): Promise<string> {
    const accessToken = await credential.getToken(audience);
    const token = accessToken?.token;
    if (!token)
        throw new Error(`Failed to obtain valid access token, received ${token}`);
    return token;
}

const main = async () => {
    // Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
    const managedIdentityCredential = new ManagedIdentityCredential(
    {
        clientId: "<YOUR_MI_CLIENT_ID>"
    });
    const clientAssertionCredential = new ClientAssertionCredential(
        "<YOUR_TENANT_ID>",
        "<YOUR_APP_CLIENT_ID>",
        () => getAccessToken(managedIdentityCredential, [`${MI_AUDIENCE}/.default`]));
    const client = new SecretClient("https://testfickv.vault.azure.net", clientAssertionCredential);

    try {
        const secret = await client.getSecret("<SECRET_NAME>");
        console.log("Found the secret from Key Vault");
    } catch (error) {
        console.error("Failed to retrieve secret:", error);
        throw error;
    }
};

main();

from azure.identity import ManagedIdentityCredential, ClientAssertionCredential
from azure.keyvault.secrets import SecretClient

# Audience value must be one of the below values depending on the target cloud:
# - Entra ID Global cloud: api://AzureADTokenExchange
# - Entra ID US Government: api://AzureADTokenExchangeUSGov
# - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
MI_AUDIENCE = "api://AzureADTokenExchange"

def get_managed_identity_token(credential, audience):
    return credential.get_token(audience).token

# Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
managed_identity_credential = ManagedIdentityCredential(client_id="<YOUR_MI_CLIENT_ID>")

client_assertion_credential = ClientAssertionCredential(
    "<YOUR_RESOURCE_TENANT_ID>",
    "<YOUR_APP_CLIENT_ID>",
    lambda: get_managed_identity_token(managed_identity_credential, f"{MI_AUDIENCE}/.default"))

client = SecretClient(
    vault_url="https://testfickv.vault.azure.net",
    credential=client_assertion_credential)
retrieved_secret = client.get_secret("<SECRET_NAME>")

Microsoft.Identity.Web

In Microsoft.Identity.Web können Sie den ClientCredentials-Abschnitt in Ihrer appsettings.json so festlegen, dass Ihr Code SignedAssertionFromManagedIdentity verwendet, um die konfigurierte verwaltete Identität als Anmeldeinformationen zu nutzen:

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "YOUR_APPLICATION_ID",
    "TenantId": "YOUR_TENANT_ID",
    
    "ClientCredentials": [
      {
        "SourceType": "SignedAssertionFromManagedIdentity",
        "ManagedIdentityClientId": "YOUR_USER_ASSIGNED_MANAGED_IDENTITY_CLIENT_ID",
        "TokenExchangeUrl": "api://AzureADTokenExchange/.default"
      }
    ]
  }
}

MSAL (.NET)

In MSAL können Sie die ManagedClientApplication-Klasse verwenden, um ein verwaltetes Identitätstoken abzurufen. Dieses Token kann dann beim Erstellen einer vertraulichen Clientanwendung als Client assertion verwendet werden.

using Microsoft.Identity.Client;
using Microsoft.Identity.Client.AppConfig;
using Azure.Storage.Blobs;
using Azure.Core;
using Azure.Storage.Blobs.Models;

internal class Program
{
  static async Task Main(string[] args)
  {
      string storageAccountName = "YOUR_STORAGE_ACCOUNT_NAME";
      string containerName = "CONTAINER_NAME";

      string appClientId = "YOUR_APP_CLIENT_ID";
      string resourceTenantId = "YOUR_RESOURCE_TENANT_ID";
      Uri authorityUri = new($"https://login.microsoftonline.com/{resourceTenantId}");
      string miClientId = "YOUR_MI_CLIENT_ID";
      string audience = "api://AzureADTokenExchange/.default";

      // Get mi token to use as assertion
      var miAssertionProvider = async (AssertionRequestOptions _) =>
      {
            var miApplication = ManagedIdentityApplicationBuilder
                .Create(ManagedIdentityId.WithUserAssignedClientId(miClientId))
                .Build();

            var miResult = await miApplication.AcquireTokenForManagedIdentity(audience)
                .ExecuteAsync()
                .ConfigureAwait(false);
            return miResult.AccessToken;
      };

      // Create a confidential client application with the assertion.
      IConfidentialClientApplication app = ConfidentialClientApplicationBuilder.Create(appClientId)
        .WithAuthority(authorityUri, false)
        .WithClientAssertion(miAssertionProvider)
        .WithCacheOptions(CacheOptions.EnableSharedCacheOptions)
        .Build();

        // Get the federated app token for the storage account
        string[] scopes = [$"https://{storageAccountName}.blob.core.windows.net/.default"];
        AuthenticationResult result = await app.AcquireTokenForClient(scopes).ExecuteAsync().ConfigureAwait(false);

        TokenCredential tokenCredential = new AccessTokenCredential(result.AccessToken);
        var containerClient = new BlobContainerClient(
            new Uri($"https://{storageAccountName}.blob.core.windows.net/{containerName}"),
            tokenCredential);

        await foreach (BlobItem blob in containerClient.GetBlobsAsync())
        {
            // TODO: perform operations with the blobs
            BlobClient blobClient = containerClient.GetBlobClient(blob.Name);
            Console.WriteLine($"Blob name: {blobClient.Name}, URI: {blobClient.Uri}");
        }
    }
}

Siehe auch

Wichtige Überlegungen und Einschränkungen für Verbundidentitätsanmeldeinformationen.