Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sicherheit und Verwaltung Open PowerShell unterstützt mehrere Authentifizierungsmethoden. Beim Schreiben von Skripts für die Automatisierung wird empfohlen, ein Zugriffstoken mit den erforderlichen Berechtigungen zu verwenden. Indem Sie die Anmeldeberechtigungen für Ihren Anwendungsfall so weit wie möglich einschränken, tragen Sie zur Sicherheit Ihrer Azure-Ressourcen bei.
Interaktives Anmelden
Um sich interaktiv anzumelden, verwenden Sie das Cmdlet Connect-SecMgmtAccount .
Connect-SecMgmtAccount
Wenn Sie dieses Cmdlet ausführen, wird ein Browser geöffnet, in dem Sie sich authentifizieren können. Wenn das System, das Sie zum Herstellen einer Verbindung verwenden, keinen Browser aufweist, wird Ihnen ein Code bereitgestellt. Kopieren Sie zur Authentifizierung diesen Code, und fügen Sie ihn https://microsoft.com/devicelogin in einen Browser ein.
Wichtig
Die Autorisierung von Anmeldeinformationen für Benutzername/Kennwort wurde in PowerShell für Sicherheit und Verwaltung open aufgrund der Sicherheitsanforderungen des Partners entfernt. Wenn Sie die Autorisierung von Anmeldeinformationen zu Automatisierungszwecken verwenden, implementieren Sie stattdessen das Sichere Anwendungsmodell , damit Sie sich mit einem Zugriffstoken authentifizieren können, das mithilfe eines Aktualisierungstokens generiert wird.
Anmelden mit einem Dienstprinzipal
Dienstprinzipale sind nicht interaktive Azure-Konten. Wie bei anderen Benutzerkonten auch, werden die Berechtigungen mit Azure Active Directory verwaltet. Indem für einen Dienstprinzipal nur die benötigten Berechtigungen gewährt werden, bleibt die Sicherheit Ihrer Automatisierungsskripts gewahrt.
Verwenden Sie für die Anmeldung mit einem Dienstprinzipal das Cmdlet Connect-SecMgmtAccount mit dem Argument -ServicePrincipal. Außerdem benötigen Sie den Anwendungsbezeichner des Dienstprinzipals, Anmeldeinformationen und den Mandantenbezeichner, der dem Dienstprinzipal zugeordnet ist. Wie Sie sich mit einem Dienstprinzipal anmelden, hängt davon ab, ob er für die kennwortbasierte oder zertifikatbasierte Authentifizierung konfiguriert ist.
Zertifikatbasierte Authentifizierung
Die zertifikatbasierte Authentifizierung erfordert, dass Security and Management Open PowerShell Informationen aus einem lokalen Zertifikatspeicher basierend auf einem Zertifikatfingerabdruck abrufen kann.
Connect-SecMgmtAccount -CertificateThumbprint '<thumbprint>' -ServicePrincipal -TenantId 'xxxx-xxxx-xxxx-xxxx'
In PowerShell 5.1 kann der Zertifikatspeicher mit den PKI-Modul verwaltet und überprüft werden. Für PowerShell Core 6.x und höher ist der Prozess komplizierter. Die folgenden Skripts zeigen, wie ein vorhandenes Zertifikat in den für PowerShell zugänglichen Zertifikatspeicher importiert wird.
Importieren eines Zertifikats in PowerShell 5.1
# Import a PFX
$credentials = Get-Credential -Message "Provide PFX private key password"
Import-PfxCertificate -FilePath <path to certificate> -Password $credentials.Password -CertStoreLocation cert:\CurrentUser\My
Importieren eines Zertifikats in PowerShell Core 6.x und höher
# Import a PFX
$storeName = [System.Security.Cryptography.X509Certificates.StoreName]::My
$storeLocation = [System.Security.Cryptography.X509Certificates.StoreLocation]::CurrentUser
$store = [System.Security.Cryptography.X509Certificates.X509Store]::new($storeName, $storeLocation)
$certPath = <path to certificate>
$credentials = Get-Credential -Message "Provide PFX private key password"
$flag = [System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($certPath, $credentials.Password, $flag)
$store.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$store.Add($Certificate)
$store.Close()
Anmelden bei einer anderen Cloud
Microsoft-Clouddienste bieten Umgebungen, die mit den regionalen Datenverarbeitungsgesetzen konform sind. Legen Sie die Umgebung für Konten in einer regionalen Cloud fest, wenn Sie sich mit dem Argument -Environment anmelden. Beispiel: Wenn sich Ihr Konto in der Cloud in China befindet:
Connect-SecMgmtAccount -Environment AzureChinaCloud
Mit dem folgenden Befehl wird eine Liste mit den verfügbaren Umgebungen abgerufen:
Get-PartnerEnvironment | Select-Object Name