Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les connexions interactives à Azure offrent une expérience utilisateur plus intuitive et flexible. Avec Azure CLI, vous pouvez vous authentifier directement auprès d’Azure via la commande az login . Cette commande est utile pour les tâches de gestion ad hoc et pour les environnements nécessitant une connexion manuelle, comme les scénarios avec l’authentification multifacteur (MFA). Cette méthode simplifie l’accès aux tests de script, à l’apprentissage et à la gestion à la volée sans avoir à préconfigurer les principaux de service ou d’autres méthodes d’authentification non interactives.
Important
À compter de 2025, Microsoft applique l’authentification multifacteur obligatoire pour Azure CLI et d’autres outils en ligne de commande. L’authentification multifacteur affecte uniquement les identités utilisateur Microsoft Entra ID. Il n’aura pas d’impact sur les identités de charge de travail, telles que les principaux de service et les identités managées .
Si vous utilisez az login avec un ID Entra et un mot de passe pour authentifier un script ou un processus automatisé, prévoyez maintenant de migrer vers une identité de charge de travail. Pour plus d’informations, consultez l’impact de l’authentification multifacteur sur Azure CLI dans les scénarios d’automatisation.
Conditions préalables
Connexion interactive
Pour vous connecter de manière interactive, utilisez la commande az login . À compter d’Azure CLI version 2.61.0, Azure CLI utilise le Gestionnaire de comptes web (WAM) sur Windows et une connexion basée sur un navigateur sur Linux et macOS par défaut.
az login
Sélecteur d’abonnement
À compter d’Azure CLI version 2.61.0, si vous avez accès à plusieurs abonnements, vous êtes invité à sélectionner un abonnement Azure au moment de la connexion, comme illustré dans l’exemple suivant.
Retrieving subscriptions for the selection...
[Tenant and subscription selection]
No Subscription name Subscription ID Tenant name
---- ------------------------------------ ---------------------------------------- --------------
[1] Facility Services Subscription 00000000-0000-0000-0000-000000000000 Contoso
[2] Finance Department Subscription 00000000-0000-0000-0000-000000000000 Contoso
[3] Human Resources Subscription 00000000-0000-0000-0000-000000000000 Contoso
[4] * Information Technology Subscription 00000000-0000-0000-0000-000000000000 Contoso
The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Information Technology Subscription' (00000000-0000-0000-0000-000000000000).
Select a subscription and tenant (Type a number or Enter for no changes): 2
Tenant: Contoso
Subscription: Finance Department Subscription (00000000-0000-0000-0000-000000000000)
[Announcements] With the new Azure CLI login experience, you can select the subscription you want to
use more easily. Learn more about it and its configuration at
https://go.microsoft.com/fwlink/?linkid=2271236
If you encounter any problems, open an issue at https://aka.ms/azclibug
La prochaine fois que vous vous connectez, le locataire et l’abonnement précédemment sélectionnés sont marqués comme étant la valeur par défaut avec un astérisque (*) en regard de son nombre. Ce marquage vous permet d’appuyer sur Entrée pour sélectionner l’abonnement par défaut.
Par défaut, les commandes s’exécutent sur l’abonnement sélectionné. Permet az account set de modifier votre abonnement à partir d’une ligne de commande à tout moment. Pour plus d’informations, consultez Comment gérer les abonnements Azure avec Azure CLI.
Voici quelques instructions sur le sélecteur d’abonnement à garder à l’esprit :
- Le sélecteur d’abonnement est disponible uniquement dans Windows, Linux ou macOS 64 bits.
- Le sélecteur d’abonnement est disponible uniquement lors de l’utilisation de la
az logincommande. - Vous n’êtes pas invité à sélectionner un abonnement lorsque vous vous connectez avec un principal de service ou une identité managée.
Si vous souhaitez désactiver la fonctionnalité de sélecteur d’abonnement, définissez la propriété de configuration core.login_experience_v2 sur off.
az config set core.login_experience_v2=off
az login
Se connecter avec le Gestionnaire de comptes web (WAM) sur Windows
À compter de la version d’Azure CLI 2.61.0, le Gestionnaire de comptes web (WAM) est la méthode d’authentification par défaut sur Windows. WAM est un composant Windows 10+ qui agit en tant que répartiteur d’authentification. Un répartiteur d’authentification est une application qui s’exécute sur l’ordinateur d’un utilisateur. Il gère les échanges d’authentification et la gestion des jetons pour les comptes connectés.
L’utilisation de WAM présente plusieurs avantages :
- Sécurité renforcée. Consultez Accès conditionnel : Protection des jetons (aperçu).
- Prise en charge de Windows Hello, des stratégies d’accès conditionnel et des clés FIDO.
- Authentification unique simplifiée.
- Correctifs de bogues et améliorations fournis avec Windows.
Si vous rencontrez un problème et que vous souhaitez revenir à la méthode d’authentification basée sur le navigateur précédente, définissez la propriété de configuration core.enable_broker_on_windows à false.
az account clear
az config set core.enable_broker_on_windows=false
az login
WAM est disponible sur Windows 10 et versions ultérieures, et sur Windows Server 2019 et versions ultérieures.
Se connecter avec un navigateur
Azure CLI est défini par défaut sur une méthode d’authentification basée sur un navigateur quand l’une des conditions suivantes est remplie :
- Le système d’exploitation est Linux, macOS ou le système d’exploitation Windows antérieur à Windows 10 ou Windows Server 2019.
- La
core.enable_broker_on_windowspropriété de configuration est définie surfalse.
Pour vous connecter avec un navigateur, procédez comme suit :
Exécutez la commande
az login.az loginSi Azure CLI peut ouvrir votre navigateur par défaut, il lance le flux de code d’autorisation et ouvre le navigateur par défaut pour charger une page de connexion Azure.
Sinon, il lance le flux de code de l’appareil et vous demande d’ouvrir une page de navigateur à https://aka.ms/devicelogin. Entrez ensuite le code affiché dans votre terminal.
Si aucun navigateur web n’est disponible ou si le navigateur web ne parvient pas à s’ouvrir, vous pouvez forcer le flux de code de l’appareil avec
az login --use-device-code.Dans le navigateur, connectez-vous avec les informations d’identification de votre compte.
Se connecter avec des informations d’identification sur la ligne de commande
Fournissez vos informations d’identification utilisateur Azure sur la ligne de commande. Vous devez utiliser cette méthode d’authentification uniquement lors de l’utilisation interactive d’Azure CLI. Pour les applications de niveau production, utilisez un principal de service ou une identité managée.
Cette approche ne fonctionne pas avec les comptes Microsoft ou ceux sur lesquels l’authentification multifacteur (MFA) est activée. Vous recevez un message authentification interactive requise.
az login --user <username> --password <password>
Important
Pour éviter d’afficher votre mot de passe dans le terminal lors de l’utilisation az login interactive, utilisez la read -s commande dans Bash.
read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS
Dans PowerShell, utilisez l’applet de commande Get-Credential.
$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password
Se connecter avec un autre locataire
Vous pouvez sélectionner un locataire pour vous connecter avec l’argument --tenant. La valeur de cet argument peut être un .onmicrosoft.com domaine ou l’ID d’objet Azure pour le locataire. Les méthodes de connexion en ligne de commande et interactives fonctionnent avec --tenant.
Dans certains environnements et à partir d’Azure CLI version 2.61.0, vous devez d’abord désactiver le sélecteur d’abonnement en définissant la core.login_experience_v2 propriété offde configuration sur .
# disable the subscription selector (v. 2.61.0 and up)
az config set core.login_experience_v2=off
# login with a tenant ID
az login --tenant 00000000-0000-0000-0000-000000000000
Pour réactiver le sélecteur d’abonnement, exécutez az config set core.login_experience_v2=on. Pour plus d'informations sur le sélecteur d'abonnement, consultez la connexion interactive .
Après vous être connecté, si vous souhaitez modifier votre locataire actif, consultez Comment modifier votre locataire actif.
Se connecter à l’aide de --scope
az login --scope https://management.core.windows.net//.default
Se déconnecter
Pour vous déconnecter d’Azure, utilisez la commande az logout .
az logout
Effacer votre cache d’abonnement
Pour mettre à jour votre liste d’abonnements, utilisez la commande az account clear . Vous devez vous reconnecter pour afficher une liste mise à jour.
az account clear
az login
L’effacement de votre cache d’abonnement n’est pas techniquement le même processus que la déconnexion d’Azure.
Toutefois, lorsque vous effacez votre cache d’abonnement, vous ne pouvez pas exécuter de commandes Azure CLI, y compris az account set, jusqu’à ce que vous vous reconnectiez.
Jetons d’actualisation
Lorsque vous vous connectez avec un compte d’utilisateur, Azure CLI génère et stocke un jeton d’actualisation d’authentification. Les jetons d'accès n'étant valables que pour une courte période, un jeton d'actualisation est émis en même temps que le jeton d'accès. L’application cliente peut ensuite échanger ce jeton d’actualisation pour un nouveau jeton d’accès si nécessaire. Pour plus d’informations sur la durée de vie et l’expiration des jetons, consultez Actualiser les jetons dans la plateforme d’identités Microsoft.
Utilisez la commande az account get-access-token pour récupérer le jeton d’accès :
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Voici quelques informations supplémentaires sur les dates d’expiration des jetons d’accès :
- Les dates d’expiration sont mises à jour dans un format pris en charge par AZURE CLI basée sur MSAL.
- À partir d’Azure CLI 2.54.0,
az account get-access-tokenretourne laexpires_onpropriété en même temps que laexpiresOnpropriété pour l’heure d’expiration du jeton. - La
expires_onpropriété représente un horodatage POSIX (Portable Operating System Interface) tandis que laexpiresOnpropriété représente une datetime locale. - La
expiresOnpropriété n’exprime pas « plier » lorsque l’heure d’été se termine. Cela peut entraîner des problèmes dans les pays ou régions où l’heure d’été est adoptée. Pour plus d'informations sur « décalage », consultez PEP 495 – Désambiguation de l’heure locale. - Nous vous recommandons d’utiliser la
expires_onpropriété pour les applications en aval, car elle utilise le code UTC (Universal Time Code).
Exemple de sortie :
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Résolution des problèmes
La connexion pour ce site n’est pas sécurisée
Lorsque votre navigateur par défaut est Microsoft Edge, vous pouvez rencontrer l’erreur suivante lors de la tentative de connexion à Azure de manière interactive avec az login: «La connexion pour ce site n’est pas sécurisée.« Pour résoudre ce problème, visitez edge://net-internals/#hsts dans Microsoft Edge. Ajoutez localhost sous « Supprimer la stratégie de sécurité de domaine », puis sélectionnez Supprimer.
L’authentification interactive est nécessaire
Vous recevez ce message lors de l’utilisation d’une identité utilisateur pour vous authentifier auprès d’Azure et l’authentification multifacteur est requise. La solution consiste à utiliser une identité de charge de travail comme un principal de service ou une identité managée pour s’authentifier auprès d’Azure.
Échec de l’authentification pour le locataire
Cette erreur se produit lorsqu’une identité utilisateur Entra unique appartient à plusieurs locataires Azure. Azure CLI parcourt les locataires auxquels vous avez accès et tente de s’authentifier. Pour vous connecter avec votre locataire de votre choix, utilisez le --tenant paramètre. Pour plus d’informations, consultez Se connecter avec un autre locataire.
Étapes suivantes
- Tutoriel : Apprendre à utiliser Azure CLI
- Obtenir des exemples et des documents publiés relatifs à Azure CLI
Collaborer avec nous sur GitHub
La source de ce contenu se trouve sur GitHub, où vous pouvez également créer et examiner les problèmes et les demandes de tirage. Pour plus d’informations, consultez notre guide du contributeur.
