Partager via


S’authentifier auprès d’Azure à l’aide d’Azure CLI

Azure CLI prend en charge plusieurs méthodes d’authentification. Pour sécuriser vos ressources Azure, limitez les autorisations de connexion pour votre cas d’usage.

Se connecter à Azure avec Azure CLI

Il existe quatre options d’authentification lors de l’utilisation d’Azure CLI :

Méthode d’authentification Avantage
Azure Cloud Shell Azure Cloud Shell vous connecte automatiquement, ce qui est la façon la plus simple de commencer.
Se connecter de manière interactive Cette option est bonne lors de l’apprentissage des commandes Azure CLI et de l’exécution localement d’Azure CLI. Avec la commande az login , vous vous connectez via votre navigateur. La connexion interactive vous donne également un sélecteur d’abonnement pour définir automatiquement votre abonnement par défaut.
Se connecter avec une identité managée Les identités managées fournissent une identité managée Azure pour les applications à utiliser lors de la connexion aux ressources qui prennent en charge l’authentification Microsoft Entra. L’utilisation d’une identité managée élimine la nécessité de gérer les secrets, les informations d’identification, les certificats et les clés.
Se connecter à l’aide d’un principal de service Lorsque vous écrivez des scripts, l’utilisation d’un principal de service est l’approche d’authentification recommandée. Vous accordez uniquement les autorisations appropriées nécessaires à un principal de service, ce qui sécurise votre automatisation.

Authentification multifacteur (MFA)

À compter de 2025, Microsoft applique l’authentification multifacteur obligatoire pour Azure CLI et d’autres outils en ligne de commande. L’authentification multifacteur affecte uniquement les identités utilisateur Microsoft Entra ID. Il n’aura pas d’impact sur les identités de charge de travail, telles que les principaux de service et les identités managées .

Si vous utilisez az login avec un ID Entra et un mot de passe pour authentifier un script ou un processus automatisé, prévoyez maintenant de migrer vers une identité de charge de travail. Pour plus d’informations, consultez l’impact de l’authentification multifacteur sur Azure CLI dans les scénarios d’automatisation.

Rechercher ou modifier votre abonnement actuel

Une fois connecté, les commandes CLI s’exécutent sur votre abonnement par défaut. Si vous avez plusieurs abonnements, modifiez votre abonnement par défaut à l’aide az account set --subscriptionde .

az account set --subscription "<subscription ID or name>"

Pour en savoir plus sur la gestion des abonnements Azure, consultez Comment gérer les abonnements Azure avec Azure CLI.

Jetons d’actualisation

Lorsque vous vous connectez avec un compte d’utilisateur, Azure CLI génère et stocke un jeton d’actualisation d’authentification. Les jetons d'accès n'étant valables que pour une courte période, un jeton d'actualisation est émis en même temps que le jeton d'accès. L’application cliente peut ensuite échanger ce jeton d’actualisation pour un nouveau jeton d’accès si nécessaire. Pour plus d’informations sur la durée de vie et l’expiration des jetons, consultez Actualiser les jetons dans la plateforme d’identités Microsoft.

Utilisez la commande az account get-access-token pour récupérer le jeton d’accès :

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Voici quelques informations supplémentaires sur les dates d’expiration des jetons d’accès :

  • Les dates d’expiration sont mises à jour dans un format pris en charge par AZURE CLI basée sur MSAL.
  • À partir d’Azure CLI 2.54.0, az account get-access-token retourne la expires_on propriété en même temps que la expiresOn propriété pour l’heure d’expiration du jeton.
  • La expires_on propriété représente un horodatage POSIX (Portable Operating System Interface) tandis que la expiresOn propriété représente une datetime locale.
  • La expiresOn propriété n’exprime pas « plier » lorsque l’heure d’été se termine. Cela peut entraîner des problèmes dans les pays ou régions où l’heure d’été est adoptée. Pour plus d'informations sur « décalage », consultez PEP 495 – Désambiguation de l’heure locale.
  • Nous vous recommandons d’utiliser la expires_on propriété pour les applications en aval, car elle utilise le code UTC (Universal Time Code).

Exemple de sortie :

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Remarque

Selon votre méthode de connexion, votre locataire peut avoir des stratégies d’accès conditionnel qui limitent votre accès à certaines ressources.

Voir aussi