az ad sp

リファレンス

Microsoft Entra サービスプリンシパルを管理します。

コマンド

名前	説明	型	状態
az ad sp create	サービスプリンシパルを作成する。	コア	GA
az ad sp create-for-rbac	サービスプリンシパルを作成し、Azure リソースへのアクセスを設定します。	コア	GA
az ad sp credential	サービスプリンシパルのパスワードまたは証明書の資格情報を管理します。	コア	GA
az ad sp credential delete	サービスプリンシパルのパスワードまたは証明書の資格情報を削除します。	コア	GA
az ad sp credential list	サービスプリンシパルのパスワードまたは証明書資格情報のメタデータを一覧表示します。 (パスワードまたは証明書の資格情報の内容は取得できません)。	コア	GA
az ad sp credential reset	サービスプリンシパルのパスワードまたは証明書の資格情報をリセットします。	コア	GA
az ad sp delete	サービスプリンシパルを削除します。	コア	GA
az ad sp list	サービスプリンシパルを一覧表示します。	コア	GA
az ad sp owner	サービスプリンシパルの所有者を管理します。	コア	GA
az ad sp owner list	サービスプリンシパルの所有者を一覧表示します。	コア	GA
az ad sp show	サービスプリンシパルの詳細を取得します。	コア	GA
az ad sp update	サービスプリンシパルを更新します。	コア	GA

az ad sp create

編集

サービスプリンシパルを作成する。

az ad sp create --id

例

サービスプリンシパルを作成する。 (自動生成)

az ad sp create --id 00000000-0000-0000-0000-000000000000

必須のパラメーター

--id

関連付けられているアプリケーションの識別子 URI、アプリケーション ID、またはオブジェクト ID。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az ad sp create-for-rbac

編集

サービスプリンシパルを作成し、Azure リソースへのアクセスを設定します。

出力には、保護する必要がある資格情報が含まれます。これらの資格情報をコードに含めないようにするか、資格情報をソース管理にチェックインしてください。別の方法として、資格情報を使用する必要がないように、可能であればマネージド ID を使用することを検討してください。

既定では、このコマンドはサービスプリンシパルにロールを割り当てません。 --role と --scopes を使用して特定のロールを割り当て、スコープをリソースまたはリソースグループに絞り込みます。後でこのサービスプリンシパルのロールの割り当てを作成するためにも使用 az role assignment create できます。詳細については、ロールの割り当てを追加する手順を参照してください。

az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--display-name]
                         [--json-auth {false, true}]
                         [--keyvault]
                         [--role]
                         [--scopes]
                         [--years]

例

ロールを割り当てずに作成します。

az ad sp create-for-rbac

カスタム表示名を使用して作成します。

az ad sp create-for-rbac -n MyApp

指定したスコープで共同作成者ロールの割り当てを使用して作成します。現在のサブスクリプション ID を取得するには、'az account show --query id --output tsv' を実行します。

az ad sp create-for-rbac -n MyApp --role Contributor --scopes /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup2

自己署名証明書を使用して作成します。

az ad sp create-for-rbac --create-cert

自己署名証明書を使用して作成し、KeyVault 内に格納します。

az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert

KeyVault で既存の証明書を使用して作成します。

az ad sp create-for-rbac --keyvault MyVault --cert CertName

省略可能のパラメーター

--cert

資格情報に使用する証明書。一緒に --keyvault,使用する場合は、使用または作成する証明書の名前を示します。それ以外の場合は、PEM または DER 形式のパブリック証明書文字列を指定します。ファイルから読み込む場合に使用 @{path} します。秘密キー情報は含めないでください。

--create-cert

資格情報に使用する自己署名証明書を作成します。この証明書に対する読み取り/書き込みアクセス許可を持っているのは、現在の OS ユーザーだけです。 With --keyvault を使用して Key Vault に証明書を作成します。それ以外の場合は、証明書がローカルに作成されます。

規定値: False

--display-name --name -n

サービスプリンシパルの表示名。存在しない場合、既定値は azure-cli-%Y-%m-%d-%H-%M-%S です。サフィックスは作成時刻です。

--json-auth --sdk-auth

非推奨

オプション '--sdk-auth' は非推奨となり、今後のリリースで削除される予定です。

JSON 形式のクラウドエンドポイントと共にサービスプリンシパルの資格情報を出力します。

指定可能な値: false, true

--keyvault

証明書の作成または取得に使用する KeyVault の名前または ID。

--role

サービスプリンシパルのロール。

--scopes

サービスプリンシパルのロールの割り当てが適用されるスコープのスペース区切りの一覧。例: subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

--years

資格情報が有効になる年数。既定値: 1 年。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az ad sp delete

編集

サービスプリンシパルを削除します。

az ad sp delete --id

例

サービスプリンシパルを削除します。

az ad sp delete --id 00000000-0000-0000-0000-000000000000

必須のパラメーター

--id

サービスプリンシパル名またはオブジェクト ID。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az ad sp list

編集

サービスプリンシパルを一覧表示します。

待機時間が短い場合、既定では、フィルター引数を指定するか "--all" を使用しない限り、最初の 100 のみが返されます。

az ad sp list [--all]
              [--display-name]
              [--filter]
              [--show-mine]
              [--spn]

省略可能のパラメーター

--all

大規模な組織の下で長い遅延が予想される、すべてのエンティティを一覧表示します。

--display-name

オブジェクトの表示名またはそのプレフィックス。

--filter

OData フィルター(例: --filter "displayname eq 'test' and servicePrincipalType eq 'Application')。

--show-mine

現在のユーザーが所有するエンティティを一覧表示します。

--spn

サービスプリンシパル名。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az ad sp show

編集

サービスプリンシパルの詳細を取得します。

az ad sp show --id

例

appId を使用してサービスプリンシパルの詳細を取得します。

az ad sp show --id 00000000-0000-0000-0000-000000000000

ID を使用してサービスプリンシパルの詳細を取得します。

az ad sp show --id 00000000-0000-0000-0000-000000000000

識別子 URI を持つサービスプリンシパルの詳細を取得します。

az ad sp show --id api://myapp

必須のパラメーター

--id

サービスプリンシパル名またはオブジェクト ID。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az ad sp update

編集

サービスプリンシパルを更新します。

az ad sp update --id
                [--add]
                [--force-string]
                [--remove]
                [--set]

例

サービスプリンシパルの更新 (自動生成)

az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All

必須のパラメーター

--id

サービスプリンシパル名またはオブジェクト ID。

省略可能のパラメーター

--add

パスとキー値のペアを指定して、オブジェクトの一覧にオブジェクトを追加します。例: --add property.listProperty <key=value, string or JSON string>。

規定値: []

--force-string

'set' または 'add' を使用する場合は、JSON に変換するのではなく、文字列リテラルを保持します。

規定値: False

--remove

リストからプロパティまたは要素を削除します。例: --remove property.list <indexToRemove> OR --remove propertyToRemove.

規定値: []

--set

設定するプロパティパスと値を指定して、オブジェクトを更新します。例: --set property1.property2=<value>。

規定値: []

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

次の方法で共有

az ad sp

コマンド

az ad sp create

例

必須のパラメーター

az ad sp create-for-rbac

例

省略可能のパラメーター

az ad sp delete

例

必須のパラメーター

az ad sp list

省略可能のパラメーター

az ad sp show

例

必須のパラメーター

az ad sp update

例

必須のパラメーター

省略可能のパラメーター

その他のリソース