Masuk ke Azure secara interaktif menggunakan Azure CLI

Login interaktif ke Azure menawarkan pengalaman pengguna yang lebih intuitif dan fleksibel. Dengan Azure CLI, Anda dapat mengautentikasi ke Azure secara langsung melalui perintah az login . Perintah ini berguna untuk tugas manajemen ad-hoc dan untuk lingkungan yang memerlukan masuk manual, seperti skenario dengan autentikasi multifaktor (MFA). Metode ini menyederhanakan akses untuk pengujian skrip, pembelajaran, dan manajemen secara langsung tanpa perlu mengonfigurasi prinsipal layanan sebelumnya atau metode autentikasi noninteraktif lainnya.

Penting

Mulai September 2025, Microsoft akan memerlukan autentikasi multifaktor (MFA) untuk Azure CLI dan alat baris perintah lainnya. Perubahan ini hanya berlaku untuk identitas pengguna ID Microsoft Entra dan tidak memengaruhi identitas beban kerja seperti perwakilan layanan atau identitas terkelola.

Jika Anda menggunakan az login nama pengguna dan kata sandi untuk mengautentikasi skrip atau alur kerja otomatis, sekarang saatnya untuk bermigrasi ke identitas beban kerja. Untuk informasi selengkapnya, lihat Dampak autentikasi multifaktor pada Azure CLI dalam skenario otomatisasi.

Prasyarat

• Instal Azure CLI

Login interaktif

Untuk masuk secara interaktif, gunakan perintah az login . Dimulai dengan Azure CLI versi 2.61.0, Azure CLI menggunakan Web Account Manager (WAM) di Windows dan login berbasis browser di Linux dan macOS secara default.

az login

Pilihan berlangganan

Dimulai dengan Azure CLI versi 2.61.0, jika Anda memiliki akses ke beberapa langganan, Anda diminta untuk memilih langganan Azure pada saat masuk, seperti yang ditunjukkan dalam contoh berikut.

Retrieving subscriptions for the selection...

[Tenant and subscription selection]

No    Subscription name                     Subscription ID                           Tenant name
----  ------------------------------------  ----------------------------------------  --------------
[1]   Facility Services Subscription        00000000-0000-0000-0000-000000000000      Contoso
[2]   Finance Department Subscription       00000000-0000-0000-0000-000000000000      Contoso
[3]   Human Resources Subscription          00000000-0000-0000-0000-000000000000      Contoso
[4] * Information Technology Subscription   00000000-0000-0000-0000-000000000000      Contoso

The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Information Technology Subscription' (00000000-0000-0000-0000-000000000000).

Select a subscription and tenant (Type a number or Enter for no changes): 2

Tenant: Contoso
Subscription: Finance Department Subscription (00000000-0000-0000-0000-000000000000)

[Announcements] With the new Azure CLI login experience, you can select the subscription you want to
use more easily. Learn more about it and its configuration at
https://go.microsoft.com/fwlink/?linkid=2271236

If you encounter any problems, open an issue at https://aka.ms/azclibug

Saat berikutnya Anda masuk, penyewa dan langganan yang dipilih sebelumnya ditandai sebagai default dengan tanda bintang (*) di samping nomornya. Penandaan ini memungkinkan Anda menekan Enter untuk memilih langganan default.

Secara bawaan, perintah dijalankan pada langganan yang dipilih. Gunakan az account set untuk mengubah langganan Anda dari baris perintah kapan saja. Untuk informasi selengkapnya, lihat Cara mengelola langganan Azure dengan Azure CLI.

Berikut adalah beberapa panduan tentang pemilih langganan yang perlu diingat:

• Pemilih langganan hanya tersedia di Windows, Linux, atau macOS 64-bit.
• Pemilih langganan hanya tersedia saat menggunakan az login perintah .
• Anda tidak diminta untuk memilih langganan ketika Anda masuk menggunakan perwakilan layanan atau identitas yang dikelola.

Jika Anda ingin menonaktifkan fitur pemilih langganan, atur properti konfigurasi core.login_experience_v2 ke off.

az config set core.login_experience_v2=off
az login

Masuk dengan Web Account Manager (WAM) di Windows

Dimulai dengan versi Azure CLI 2.61.0, Web Account Manager (WAM) adalah metode autentikasi default di Windows. WAM adalah komponen Windows 10+ yang bertindak sebagai broker autentikasi. Broker autentikasi adalah aplikasi yang berjalan pada komputer pengguna. Ini mengelola jabat tangan autentikasi dan pemeliharaan token untuk akun yang terhubung.

Menggunakan WAM memiliki beberapa manfaat:

• Keamanan yang ditingkatkan. Lihat Akses Bersyarat: Perlindungan Token (pratinjau).
• Dukungan untuk Windows Hello, kebijakan akses bersyarah, dan kunci FIDO.
• Autentikasi satu kali yang disederhanakan.
• Perbaikan bug dan penyempurnaan disertakan dengan Windows.

Jika Anda mengalami masalah dan ingin kembali ke metode autentikasi berbasis browser sebelumnya, Atur properti konfigurasi core.enable_broker_on_windows ke false.

az account clear
az config set core.enable_broker_on_windows=false
az login

WAM tersedia di Windows 10 dan yang lebih baru, dan pada Windows Server 2019 dan yang lebih baru.

Masuk dengan browser

Azure CLI default ke metode autentikasi berbasis browser saat salah satu kondisi berikut ini benar:

• Sistem operasi (OS) adalah Linux, macOS, atau OS Windows lebih lama dari Windows 10 atau Windows Server 2019.
• Properti konfigurasi core.enable_broker_on_windows diatur ke false.

Untuk masuk dengan browser, ikuti langkah-langkah berikut:

1. Jalankan perintah az login.

   az login
   

   Jika Azure CLI dapat membuka browser default Anda, azure CLI memulai alur kode otorisasi dan membuka browser default untuk memuat halaman masuk Azure.

   Jika tidak, ini memulai alur kode perangkat dan menginstruksikan Anda untuk membuka halaman browser di https://aka.ms/devicelogin. Kemudian, masukkan kode yang ditampilkan di terminal Anda.

   Jika tidak ada browser web yang tersedia atau browser web gagal dibuka, Anda dapat memaksa aliran kode perangkat dengan az login --use-device-code.

2. Masuk menggunakan kredensial akun Anda di browser.

Masuk dengan kredensial di baris perintah

Masukkan info masuk pengguna Azure Anda di baris perintah. Anda hanya boleh menggunakan metode autentikasi ini saat bekerja dengan Azure CLI secara interaktif. Untuk aplikasi tingkat produksi, gunakan prinsipal layanan atau identitas terkelola.

Pendekatan ini tidak berfungsi dengan akun atau akun Microsoft yang mengaktifkan autentikasi multifaktor (MFA). Anda menerima pesan autentikasi interaktif diperlukan .

az login --user <username> --password <password>

Penting

Untuk menghindari menampilkan kata sandi Anda di terminal saat menggunakan az login secara interaktif, gunakan read -s perintah di Bash.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

Di PowerShell, gunakan cmdlet Get-Credential.

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Masuk dengan penyewa yang berbeda

Anda dapat memilih tenant untuk log in dengan argumen --tenant. Nilai argumen ini bisa berupa .onmicrosoft.com domain atau ID objek Azure untuk penyewa. Metode masuk interaktif dan baris perintah dapat digunakan dengan --tenant.

Di lingkungan tertentu dan dimulai di Azure CLI versi 2.61.0, Anda harus menonaktifkan pemilih langganan terlebih dahulu dengan mengatur core.login_experience_v2 properti konfigurasi ke off.

# disable the subscription selector (v. 2.61.0 and up)
az config set core.login_experience_v2=off

# login with a tenant ID
az login --tenant 00000000-0000-0000-0000-000000000000

Untuk mengaktifkan kembali pemilih langganan, jalankan az config set core.login_experience_v2=on. Untuk informasi selengkapnya tentang pilihan berlangganan, lihat Masuk interaktif.

Setelah masuk, jika Anda ingin mengubah penyewa aktif Anda, lihat Cara mengubah penyewa aktif Anda.

Masuk menggunakan --scope

az login --scope https://management.core.windows.net//.default

Logout

Untuk keluar dari Azure, gunakan perintah az logout .

az logout

Menghapus cache langganan Anda

Untuk memperbarui daftar langganan Anda, gunakan perintah hapus akun az . Anda harus masuk lagi untuk melihat daftar yang diperbarui.

az account clear

az login

Menghapus cache langganan Anda tidak secara teknis proses yang sama dengan keluar dari Azure. Namun, saat menghapus cache langganan, Anda tidak dapat menjalankan perintah Azure CLI, termasuk az account set, hingga Anda masuk lagi.

Token penyegaran

Saat Anda masuk dengan akun pengguna, Azure CLI menghasilkan dan menyimpan token refresh autentikasi. Karena token akses hanya berlaku untuk waktu yang singkat, token refresh dikeluarkan pada saat yang sama token akses dikeluarkan. Aplikasi klien kemudian dapat menukar token refresh ini dengan token akses baru ketika diperlukan. Untuk informasi selengkapnya tentang masa pakai dan kedaluwarsa token, lihat Menyegarkan token di platform identitas Microsoft.

Gunakan perintah az account get-access-token untuk mengambil token akses:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Berikut adalah beberapa informasi tambahan tentang tanggal kedaluwarsa token akses:

• Tanggal kedaluwarsa diperbarui dalam format yang didukung oleh Azure CLI berbasis MSAL.
• Mulai dari Azure CLI 2.54.0, az account get-access-token mengembalikan expires_on properti bersama expiresOn properti untuk waktu kedaluwarsa token.
• Properti expires_on mewakili tanda waktu Antarmuka Sistem Operasi Portabel (POSIX) sementara expiresOn properti mewakili tanggalwaktu lokal.
• Properti expiresOn tidak menunjukkan "perubahan waktu" saat Daylight Saving Time berakhir. Hal ini dapat menyebabkan masalah di negara atau wilayah tempat Daylight Saving Time diadopsi. Untuk informasi selengkapnya tentang "fold", lihat PEP 495 – Disambiguasi Waktu Lokal.
• Sebaiknya aplikasi hilir menggunakan expires_on properti , karena menggunakan Universal Time Code (UTC).

Contoh output:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Penyelesaian Masalah

Koneksi untuk situs ini tidak aman

Saat browser default Anda adalah Microsoft Edge, Anda mungkin mengalami kesalahan berikut saat mencoba masuk ke Azure secara interaktif dengan az login: "Koneksi untuk situs ini tidak aman." Untuk mengatasi masalah ini, kunjungi edge://net-internals/#hsts di Microsoft Edge. Tambahkan localhost di bagian "Hapus kebijakan keamanan domain" dan pilih Hapus.

Autentikasi interaktif diperlukan

Anda menerima pesan ini saat menggunakan identitas pengguna untuk mengautentikasi ke Azure, dan autentikasi multifaktor diperlukan. Solusinya adalah menggunakan identitas beban kerja seperti perwakilan layanan atau identitas terkelola untuk mengautentikasi ke Azure.

Autentikasi gagal terhadap penyewa

Kesalahan ini terjadi ketika satu identitas pengguna Entra milik beberapa penyewa Azure. Azure CLI memutar secara berulang melalui tenant yang dapat Anda akses dan mencoba untuk mengautentikasi. Untuk masuk dengan tenant pilihan Anda, gunakan parameter --tenant. Untuk informasi selengkapnya, lihat Masuk dengan akun penyewa lain.

Langkah selanjutnya

• Tutorial: Pelajari cara menggunakan Azure CLI
• Temukan sampel Azure CLI dan dokumen yang dipublikasikan