Interaktive Anmeldung bei Azure PowerShell
Interaktive Anmeldungen bei Azure bieten eine intuitivere und flexible Benutzererfahrung. Die interaktive Anmeldung mit Azure PowerShell ermöglicht es Benutzern, sich direkt über die PowerShell-Schnittstelle bei Azure zu authentifizieren, was für Ad-hoc-Verwaltungsaufgaben und für Umgebungen nützlich ist, die eine manuelle Anmeldung erfordern, z. B. für Benutzer mit Multi-Faktor-Authentifizierung (MFA). Diese Methode vereinfacht den Zugriff für Skripttests, zu Lernzwecken und für dynamische Verwaltung, ohne dass Dienstprinzipale oder andere nicht interaktive Authentifizierungsmethoden vorkonfiguriert werden müssen.
Wichtig
Ab Anfang 2025 erfordern Azure PowerShell-Anmeldungen mit Microsoft Entra ID-Benutzeridentitäten für die Authentifizierung mehrstufige Authentifizierung (Multi-Factor Authentication, MFA). Weitere Informationen finden Sie unter Planung für die obligatorische mehrstufige Authentifizierung für Azure und andere Verwaltungsportale.
Voraussetzungen
Interaktive Anmeldung
Verwenden Sie für die interaktive Anmeldung das Cmdlet Connect-AzAccount. Ab Version 12.0.0 des Az PowerShell-Moduls verwenden Windows-Systeme standardmäßig Web Account Manager (WAM) und Linux- und macOS-Systeme browserbasierte Anmeldung.
Connect-AzAccount
- Weitere Informationen zu WAM finden Sie unter Web Account Manager (WAM).
- Weitere Informationen zur browserbasierten Anmeldung finden Sie unter Browserbasierte Anmeldung.
Anmeldung
Ab Version 12.0.0 des Az PowerShell-Moduls werden Sie aufgefordert, ein Azure-Abonnement für die Anmeldung auszuwählen, falls Sie Zugriff auf mehrere Abonnements haben. Dies ist im folgenden Beispiel dargestellt:
Please select the account you want to login with.
Retrieving subscriptions for the selection...
WARNING: To override which subscription Connect-AzAccount selects by default, use
`Update-AzConfig -DefaultSubscriptionForLogin 00000000-0000-0000-0000-000000000000`.
Go to https://go.microsoft.com/fwlink/?linkid=2200610 for more information.
[Tenant and subscription selection]
No Subscription name Subscription ID Tenant name
---- ------------------------------------ ---------------------------------------- --------------
[1] Facility Services Subscription 00000000-0000-0000-0000-000000000000 Contoso
[2] Finance Department Subscription 00000000-0000-0000-0000-000000000000 Contoso
[3] Human Resources Subscription 00000000-0000-0000-0000-000000000000 Contoso
[4] Information Technology Subscription 00000000-0000-0000-0000-000000000000 Contoso
Select a tenant and subscription: 2
Subscription name Tenant name
------------------------------------ --------------------------
Finance Department Subscription Contoso
[Announcements]
With the new Azure PowerShell login experience, you can select the subscription you want to use more easily.
Learn more about it and its configuration at https://go.microsoft.com/fwlink/?linkid=2271236.
Share your feedback regarding your experience with `Connect-AzAccount` at: https://aka.ms/azloginfeedback
If you encounter any problem, please open an issue at: https://aka.ms/azpsissue
Subscription name Tenant
----------------- ------
Finance Department Subscription Contoso
Wenn Sie sich das nächste Mal anmelden, werden der zuvor ausgewählte Mandant und das ausgewählte Abonnement mit einem Sternchen (*) neben der Nummer als Standardeinstellung markiert und blau hervorgehoben. So können Sie die EINGABETASTE drücken, um die Standardeinstellung auszuwählen, oder eine Nummer eingeben, um einen anderen Mandanten und ein anderes Abonnement auszuwählen.
No Subscription name Subscription ID Tenant name
---- ------------------------------------ ---------------------------------------- --------------
[1] Facility Services Subscription 00000000-0000-0000-0000-000000000000 Contoso
[2] * Finance Department Subscription 00000000-0000-0000-0000-000000000000 Contoso
[3] Human Resources Subscription 00000000-0000-0000-0000-000000000000 Contoso
[4] Information Technology Subscription 00000000-0000-0000-0000-000000000000 Contoso
The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Finance Department Subscription (00000000-0000-0000-0000-000000000000)'.
Select a tenant and subscription (type a number or Enter to accept default): 4
Subscription name Tenant name
------------------------------------ --------------------------
Information Technology Subscription Contoso
Befehle werden für dieses Abonnement standardmäßig ausgeführt. Verwenden Sie das Cmdlet Set-AzContext, um Ihr aktives Abonnement zu ändern. Weitere Informationen finden Sie unter Azure PowerShell-Kontextobjekte.
Konfigurieren des Standardabonnements für die Anmeldung
Um zu verhindern, dass Sie bei jeder interaktiven Anmeldung zum Auswählen eines Abonnements aufgefordert werden, verwenden Sie das Cmdlet Update-AzConfig, um Ihr Standardabonnement festzulegen, wie im folgenden Beispiel gezeigt:
Update-AzConfig -DefaultSubscriptionForLogin '<subscription name or id>'
Deaktivieren der neuen Anmeldeumgebung
Um die neue Anmeldeumgebung zu deaktivieren, verwenden Sie das Cmdlet Update-AzConfig, wie im folgenden Beispiel gezeigt:
Update-AzConfig -LoginExperienceV2 Off
Wenn die neue Anmeldeumgebung deaktiviert ist und Sie Zugriff auf mehrere Abonnements haben, werden Sie beim ersten Abonnement angemeldet, das Azure zurückgibt. Befehle werden für dieses Abonnement standardmäßig ausgeführt. Verwenden Sie das Cmdlet Set-AzContext, um Ihr aktives Abonnement für eine Sitzung zu ändern. Um Ihr aktives Abonnement zu ändern und es zwischen Sitzungen auf demselben System beizubehalten, verwenden Sie das Cmdlet Select-AzContext.
Web Account Manager (WAM)
Ab Version 12.0.0 des Az PowerShell-Moduls ist die standardmäßige Anmeldeauthentifizierungsmethode von Azure PowerShell für Windows-basierte Systeme Web Account Manager (WAM).
WAM ist eine Komponente für Windows 10+, die als Authentifizierungsbroker fungiert. Ein Authentifizierungsbroker ist eine Anwendung, die auf Ihrem System ausgeführt wird und die Authentifizierungs-Handshakes und die Tokenwartung für verbundene Konten verwaltet.
Vorteile von WAM
Die Verwendung von WAM bietet mehrere Vorteile:
- Erhöhte Sicherheit. Siehe Bedingter Zugriff: Tokenschutz (Vorschau).
- Support für Windows Hello, Richtlinien für bedingten Zugriff und FIDO-Schlüssel.
- Optimiertes einmaliges Anmelden.
- In Windows enthaltene Fehlerbehebungen und Verbesserungen.
Einschränkungen von WAM
Im derzeitigen Entwicklungsstage gibt es einige bekannte Einschränkungen für WAM:
WAM ist unter Windows 10 und höher sowie unter Windows Server 2019 und höher verfügbar. Unter Linux, macOS und früheren Windows-Versionen ist der Standard für Azure PowerShell automatisch die browserbasierte Anmeldung.
Die Verwendung von WAM zum Anmelden bei nationalen Clouds wird derzeit nicht unterstützt.
Microsoft-Konten (z. B. @outlook.com oder @live.com) müssen bei der Verwendung mit MFA den Parameter Tenant angeben.
Connect-AzAccount -Tenant 00000000-0000-0000-0000-000000000000
Deaktivieren von WAM
Um die browserbasierte Anmeldung unter Windows 10 und höher oder unter Windows Server 2019 und höher mit Az 12.0.0 und höher zu verwenden, müssen Sie WAM für die Verwendung mit Azure PowerShell deaktivieren. Verwenden Sie den folgenden Befehl, um WAM zu deaktivieren und zur browserbasierten Anmeldung zurückzukehren (die Standardmethode vor Az 12.0.0).
Update-AzConfig -EnableLoginByWam $false
Browserbasierte Anmeldung
Browserbasierte Anmeldung ist die standardmäßige interaktive Anmeldung für Linux-, macOS- und Windows-Systeme, die älter als Windows 10 oder Windows Server 2019 sind. Ab Version 12.0.0 des Az PowerShell-Moduls müssen Sie WAM für Azure PowerShell deaktivieren, um die browserbasierte Anmeldung auf Windows-basierten Systemen zu verwenden (Standardmethode vor Az 12.0.0).
Wenn Sie sich interaktiv mit dem Cmdlet Connect-AzAccount anmelden, öffnet die browserbasierte Anmeldung den Standardwebbrowser, um eine Azure-Anmeldeseite zu laden. Melden Sie sich im Browser mit Ihren Azure-Anmeldeinformationen an.
Wenn Azure PowerShell Ihren Standardbrowser öffnen kann, wird der Autorisierungscodeflow initiiert und der Standardbrowser geöffnet, um eine Azure-Anmeldeseite zu laden. Andernfalls wird der Gerätecodeflow initiiert, der Sie anweist, eine Browserseite unter microsoft.com/devicelogin zu öffnen und den Code einzugeben, der in Ihrer PowerShell-Sitzung angezeigt wird.
Gerätecodeauthentifizierung
Wenn Web Account Manager oder ein Webbrowser nicht verfügbar ist oder nicht geöffnet werden kann, können Sie den Gerätecodeflow erzwingen, indem Sie den Parameter UseDeviceAuthentication angeben.
Connect-AzAccount -UseDeviceAuthentication
Anmelden bei einem anderen Mandanten
Wenn Ihr Konto mehr als einem Mandanten zugeordnet ist, muss bei der Verbindungsherstellung für die Anmeldung der Parameter Tenant verwendet werden. Dieser Parameter funktioniert mit jedem Anmeldeverfahren. Beim Anmelden kann dieser Parameterwert entweder die Azure-Objekt-ID des Mandanten (Mandanten-ID) oder der vollqualifizierte Domänenname des Mandanten sein.
Connect-AzAccount -Tenant 00000000-0000-0000-0000-000000000000
Anmelden bei einer nationalen Cloud
Nationale Clouds (auch als souveräne Clouds bezeichnet) sind physisch isolierte Instanzen von Azure, um sicherzustellen, dass die Anforderungen an die Datenhaltung, Souveränität und Compliance innerhalb geografischer Grenzen eingehalten werden. Legen Sie die Umgebung für Konten in einer nationalen Cloud fest, wenn Sie sich mit dem Parameter Environment anmelden. Dieser Parameter funktioniert mit jedem Anmeldeverfahren. Wenn sich Ihr Konto beispielsweise in Azure China 21Vianet befindet, verwenden Sie den folgenden Befehl:
Connect-AzAccount -Environment AzureChinaCloud
Sie können eine Liste der verfügbaren nationalen Cloudumgebungen abrufen, indem Sie den folgenden Befehl ausführen:
Get-AzEnvironment | Select-Object -Property Name
Weitere Informationen
Azure PowerShell