az ad sp

  • リファレンス

Microsoft Entra サービス プリンシパルを管理します。

コマンド

名前 説明 Status
az ad sp create

サービス プリンシパルを作成する。

 コア GA
az ad sp create-for-rbac

サービス プリンシパルを作成し、Azure リソースへのアクセスを設定します。

 コア GA
az ad sp credential

サービス プリンシパルのパスワードまたは証明書の資格情報を管理します。

 コア GA
az ad sp credential delete

サービス プリンシパルのパスワードまたは証明書の資格情報を削除します。

 コア GA
az ad sp credential list

サービス プリンシパルのパスワードまたは証明書資格情報のメタデータを一覧表示します。 (パスワードまたは証明書の資格情報の内容は取得できません)。

 コア GA
az ad sp credential reset

サービス プリンシパルのパスワードまたは証明書の資格情報をリセットします。

 コア GA
az ad sp delete

サービス プリンシパルを削除します。

 コア GA
az ad sp list

サービス プリンシパルを一覧表示します。

 コア GA
az ad sp owner

サービス プリンシパルの所有者を管理します。

 コア GA
az ad sp owner list

サービス プリンシパルの所有者を一覧表示します。

 コア GA
az ad sp show

サービス プリンシパルの詳細を取得します。

 コア GA
az ad sp update

サービス プリンシパルを更新します。

 コア GA

az ad sp create

編集

サービス プリンシパルを作成する。

az ad sp create --id

サービス プリンシパルを作成する。 (自動生成)

az ad sp create --id 00000000-0000-0000-0000-000000000000

必須のパラメーター

--id

関連付けられているアプリケーションの識別子 URI、アプリケーション ID、またはオブジェクト ID。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc
既定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az ad sp create-for-rbac

編集

サービス プリンシパルを作成し、Azure リソースへのアクセスを設定します。

出力には、保護する必要がある資格情報が含まれます。 これらの資格情報をコードに含めないようにするか、資格情報をソース管理にチェックインしてください。 別の方法として、資格情報を使用する必要がないように、可能であればマネージド ID を使用することを検討してください。

既定では、このコマンドはサービス プリンシパルにロールを割り当てません。 --role と --scopes を使用して特定のロールを割り当て、スコープをリソースまたはリソース グループに絞り込みます。 後でこのサービス プリンシパルのロールの割り当てを作成するためにも使用 az role assignment create できます。 詳細については、 ロールの割り当てを 追加する手順を参照してください。

az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--display-name]
                         [--json-auth {false, true}]
                         [--keyvault]
                         [--role]
                         [--scopes]
                         [--years]

ロールを割り当てずに作成します。

az ad sp create-for-rbac

カスタム表示名を使用して作成します。

az ad sp create-for-rbac -n MyApp

指定したスコープで共同作成者ロールの割り当てを使用して作成します。 現在のサブスクリプション ID を取得するには、'az account show --query id --output tsv' を実行します。

az ad sp create-for-rbac -n MyApp --role Contributor --scopes /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup2

自己署名証明書を使用して作成します。

az ad sp create-for-rbac --create-cert

自己署名証明書を使用して作成し、KeyVault 内に格納します。

az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert

KeyVault で既存の証明書を使用して作成します。

az ad sp create-for-rbac --keyvault MyVault --cert CertName

省略可能のパラメーター

--cert

資格情報に使用する証明書。 一緒に --keyvault,使用する場合は、使用または作成する証明書の名前を示します。 それ以外の場合は、PEM または DER 形式のパブリック証明書文字列を指定します。 ファイルから読み込む場合に使用 @{path} します。 秘密キー情報は含めないでください。

--create-cert

資格情報に使用する自己署名証明書を作成します。 この証明書に対する読み取り/書き込みアクセス許可を持っているのは、現在の OS ユーザーだけです。 With --keyvault を使用して Key Vault に証明書を作成します。 それ以外の場合は、証明書がローカルに作成されます。

既定値: False
--display-name --name -n

サービス プリンシパルの表示名。 存在しない場合、既定値は azure-cli-%Y-%m-%d-%H-%M-%S です。サフィックスは作成時刻です。

--json-auth --sdk-auth
非推奨

オプション '--sdk-auth' は非推奨となり、今後のリリースで削除される予定です。

JSON 形式のクラウド エンドポイントと共にサービス プリンシパルの資格情報を出力します。

承認された値: false, true
--keyvault

証明書の作成または取得に使用する KeyVault の名前または ID。

--role

サービス プリンシパルのロール。

--scopes

サービス プリンシパルのロールの割り当てが適用されるスコープのスペース区切りの一覧。例: subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

--years

資格情報が有効になる年数。 既定値: 1 年。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc
既定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az ad sp delete

編集

サービス プリンシパルを削除します。

az ad sp delete --id

サービス プリンシパルを削除します。

az ad sp delete --id 00000000-0000-0000-0000-000000000000

必須のパラメーター

--id

サービス プリンシパル名またはオブジェクト ID。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc
既定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az ad sp list

編集

サービス プリンシパルを一覧表示します。

待機時間が短い場合、既定では、フィルター引数を指定するか "--all" を使用しない限り、最初の 100 のみが返されます。

az ad sp list [--all]
              [--display-name]
              [--filter]
              [--show-mine]
              [--spn]

省略可能のパラメーター

--all

大規模な組織の下で長い遅延が予想される、すべてのエンティティを一覧表示します。

--display-name

オブジェクトの表示名またはそのプレフィックス。

--filter

OData フィルター(例: --filter "displayname eq 'test' and servicePrincipalType eq 'Application')。

--show-mine

現在のユーザーが所有するエンティティを一覧表示します。

--spn

サービス プリンシパル名。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc
既定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az ad sp show

編集

サービス プリンシパルの詳細を取得します。

az ad sp show --id

appId を使用してサービス プリンシパルの詳細を取得します。

az ad sp show --id 00000000-0000-0000-0000-000000000000

ID を使用してサービス プリンシパルの詳細を取得します。

az ad sp show --id 00000000-0000-0000-0000-000000000000

識別子 URI を持つサービス プリンシパルの詳細を取得します。

az ad sp show --id api://myapp

必須のパラメーター

--id

サービス プリンシパル名またはオブジェクト ID。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc
既定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az ad sp update

編集

サービス プリンシパルを更新します。

az ad sp update --id
                [--add]
                [--force-string]
                [--remove]
                [--set]

サービス プリンシパルの更新 (自動生成)

az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All

必須のパラメーター

--id

サービス プリンシパル名またはオブジェクト ID。

省略可能のパラメーター

--add

パスとキー値のペアを指定して、オブジェクトの一覧にオブジェクトを追加します。 例: --add property.listProperty <key=value, string or JSON string>

既定値: []
--force-string

'set' または 'add' を使用する場合は、JSON に変換するのではなく、文字列リテラルを保持します。

既定値: False
--remove

リストからプロパティまたは要素を削除します。 例: --remove property.list <indexToRemove> OR --remove propertyToRemove.

既定値: []
--set

設定するプロパティ パスと値を指定して、オブジェクトを更新します。 例: --set property1.property2=<value>

既定値: []
グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc
既定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。