Condividi tramite

azcmagent disconnect

  • Articolo

Elimina la risorsa server abilitata per Azure Arc nel cloud e reimposta la configurazione dell'agente locale. Per informazioni dettagliate sulla rimozione delle estensioni e la disconnessione e la disinstallazione dell'agente, vedere Disinstallare l'agente.

Utilizzo

azcmagent disconnect [authentication] [flags]

Esempi

Disconnettere un server usando il metodo di accesso predefinito (browser interattivo o codice del dispositivo).

azcmagent disconnect

Disconnettere un server usando un'entità servizio.

azcmagent disconnect --service-principal-id "ID" --service-principal-secret "SECRET"

Disconnettere un server se la risorsa corrispondente in Azure è già stata eliminata.

azcmagent disconnect --force-local-only

Opzioni di autenticazione

Esistono quattro modi per fornire le credenziali di autenticazione all'agente del computer connesso di Azure. Scegliere un'opzione di autenticazione e sostituire la [authentication] sezione nella sintassi di utilizzo con i flag consigliati.

Nota

L'account usato per disconnettere un server deve essere dallo stesso tenant della sottoscrizione in cui è registrato il server.

Accesso interattivo al browser (solo Windows)

Questa opzione è l'impostazione predefinita nei sistemi operativi Windows con un'esperienza desktop. La pagina di accesso viene aperta nel Web browser predefinito. Questa opzione potrebbe essere necessaria se l'organizzazione ha configurato criteri di accesso condizionale che richiedono l'accesso da computer attendibili.

Non è necessario alcun flag per usare l'account di accesso interattivo del browser.

Accesso al codice del dispositivo

Questa opzione genera un codice che è possibile usare per accedere a un Web browser in un altro dispositivo. Questa è l'opzione predefinita nelle edizioni principali di Windows Server e in tutte le distribuzioni linux. Quando si esegue il comando connect, è necessario avere 5 minuti per aprire l'URL di accesso specificato in un dispositivo connesso a Internet e completare la procedura di accesso.

Per eseguire l'autenticazione con un codice del dispositivo, usare il --use-device-code flag .

Entità servizio con segreto

Le entità servizio consentono di autenticare in modo non interattivo e vengono spesso usate per le operazioni su larga scala in cui lo stesso script viene eseguito su più server. È consigliabile fornire informazioni sull'entità servizio tramite un file di configurazione (vedere --config) per evitare di esporre il segreto in tutti i log della console. L'entità servizio deve anche essere dedicata per l'onboarding di Arc e avere il minor numero possibile di autorizzazioni, per limitare l'impatto di una credenziale rubata.

Per eseguire l'autenticazione con un'entità servizio usando un segreto, specificare l'ID applicazione, il segreto e l'ID tenant dell'entità servizio: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Entità servizio con certificato

L'autenticazione basata su certificati è un modo più sicuro per eseguire l'autenticazione usando le entità servizio. L'agente accetta sia PCKS #12 (. File PFX) e file con codifica ASCII ,ad esempio . PEM) che contiene sia le chiavi private che pubbliche. Il certificato deve essere disponibile sul disco locale e l'utente che esegue il azcmagent comando richiede l'accesso in lettura al file. I file PFX protetti da password non sono supportati.

Per eseguire l'autenticazione con un'entità servizio usando un certificato, specificare l'ID applicazione, l'ID tenant e il percorso del file di certificato dell'entità servizio: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Per altre informazioni, vedere Creare un'entità servizio per il controllo degli accessi in base al ruolo con l'autenticazione basata su certificati.

Token di accesso

I token di accesso possono essere usati anche per l'autenticazione non interattiva, ma sono di breve durata e in genere usati da soluzioni di automazione che operano su più server in un breve periodo di tempo. È possibile ottenere un token di accesso con Get-AzAccessToken o qualsiasi altro client Microsoft Entra.

Per eseguire l'autenticazione con un token di accesso, usare il --access-token [token] flag .

Flag

--access-token

Specifica il token di accesso Microsoft Entra usato per creare la risorsa server abilitata per Azure Arc in Azure. Per ulteriori informazioni consultare Opzioni di autenticazione.

-f, --force-local-only

Disconnette il server senza eliminare la risorsa in Azure. Usato principalmente se la risorsa di Azure è stata eliminata e la configurazione dell'agente locale deve essere pulita.

-i, --service-principal-id

Specifica l'ID applicazione dell'entità servizio usata per creare la risorsa server abilitata per Azure Arc. Deve essere utilizzato con --tenant-id e i --service-principal-secret flag o --service-principal-cert . Per ulteriori informazioni consultare Opzioni di autenticazione.

--service-principal-cert

Specifica il percorso di un file di certificato dell'entità servizio. Deve essere utilizzato con i --service-principal-id flag e --tenant-id . Il certificato deve includere una chiave privata e può trovarsi in un pkCS #12 (. PFX) o testo con codifica ASCII (. PEM. Formato CRT). I file PFX protetti da password non sono supportati. Per ulteriori informazioni consultare Opzioni di autenticazione.

-p, --service-principal-secret

Specifica il segreto dell'entità servizio. Deve essere utilizzato con i --service-principal-id flag e --tenant-id . Per evitare di esporre il segreto nei log della console, Microsoft consiglia di fornire il segreto dell'entità servizio in un file di configurazione. Per ulteriori informazioni consultare Opzioni di autenticazione.

--use-device-code

Generare un codice di accesso al dispositivo Microsoft Entra che può essere immesso in un Web browser in un altro computer per autenticare l'agente con Azure. Per ulteriori informazioni consultare Opzioni di autenticazione.

--user-tenant-id

ID tenant per l'account usato per connettere il server ad Azure. Questo campo è obbligatorio quando il tenant dell'account di onboarding non corrisponde al tenant desiderato per la risorsa server abilitata per Azure Arc.

Flag comuni disponibili per tutti i comandi

--config

Accetta un percorso di un file JSON o YAML contenente input al comando. Il file di configurazione deve contenere una serie di coppie chiave-valore in cui la chiave corrisponde a un'opzione della riga di comando disponibile. Ad esempio, per passare il --verbose flag, il file di configurazione sarà simile al seguente:

{
    "verbose": true
}

Se viene trovata un'opzione della riga di comando sia nella chiamata al comando che in un file di configurazione, il valore specificato nella riga di comando avrà la precedenza.

-h, --help

Ottenere la Guida per il comando corrente, inclusa la sintassi e le opzioni della riga di comando.

-j, --json

Restituire il risultato del comando nel formato JSON.

--log-stderr

Reindirizzare i messaggi di errore e dettagliati al flusso di errore standard (stderr). Per impostazione predefinita, tutto l'output viene inviato al flusso di output standard (stdout).

--no-color

Disabilitare l'output dei colori per i terminali che non supportano i colori ANSI.

-v, --verbose

Visualizzare informazioni di registrazione più dettagliate durante l'esecuzione del comando. Utile per la risoluzione dei problemi durante l'esecuzione di un comando.