Azure PowerShell に対話的にサインインする

  • [アーティクル]

Azure への対話的なログインにより、より直感的で柔軟なユーザー エクスペリエンスが得られます。 Azure PowerShell を使用した対話型ログインでは、PowerShell インターフェイスを通じて Azure に直接認証できます。これは、アドホックな管理タスクや、多要素認証 (MFA) を使用するタスクなど、手動でのサインインが必要な場合に便利です。 この方法では、サービス プリンシパルやその他の非対話型の認証方法を事前構成する必要がないため、スクリプトのテスト、学習、その場での管理などのアクセスが簡素化されます。

前提条件

対話型ログイン

Azure PowerShell の既定のログイン認証方法では、サインインに Web ブラウザーとアクセス トークンを使用します。

  1. 対話型のサインインを行うには、Connect-AzAccount コマンドレットを使用します。このコマンドレットは、既定でブラウザー ベースの対話型のログイン プロンプトを使用します。

    Connect-AzAccount

    Azure PowerShell で既定のブラウザーを開くことができる場合は、認可コード フローが開始され、既定のブラウザーが開いて Azure サインイン ページが読み込まれます。 それ以外の場合は、デバイス コード フローが開始され、ブラウザー ページ microsoft.com/devicelogin を開き、PowerShell セッションに表示されたコードを入力するように指示されます。

  2. ブラウザーで Azure アカウントの資格情報を使用してサインインします。

複数のサブスクリプションにアクセスできる場合、Azure から返された最初のサブスクリプションにサインインします。 既定では、このサブスクリプションに対してコマンドが実行されます。 セッションのアクティブ サブスクリプションを変更するには、Set-AzContext コマンドレットを使用します。 アクティブなサブスクリプションを変更し、同じシステム上のセッション間で永続化するには、Select-AzContext コマンドレットを使用します。

重要

サインインしたままであれば、資格情報は複数の PowerShell セッション間で共有されます。 詳しくは、「Azure PowerShell コンテキスト オブジェクト」をご覧ください。

デバイス コード認証

Web ブラウザーが使用できない場合、または Web ブラウザーを開けない場合は、UseDeviceAuthenticationパラメーターを指定することで、ブラウザー制御の代わりにデバイス コード フローを適用できます。

Connect-AzAccount -UseDeviceAuthentication

別のテナントにサインインする

アカウントが複数のテナントに関連付けられている場合は、サインインで、接続時に Tenant パラメーターを指定する必要があります。 このパラメーターは、どのサインイン方法でも機能します。 ログイン時、テナントの Azure オブジェクト ID (テナント ID) またはテナントの完全修飾ドメイン名がこのパラメーター値になります。 現在の API の制限により、企業間 (B2B) アカウントに接続する場合は、テナント名の代わりにテナント ID を使用する必要があります。

Connect-AzAccount -Tenant '00000000-0000-0000-0000-000000000000'

各国のクラウドにサインインする

各国のクラウド (ソブリン クラウドとも呼ばれる) は、地理的な境界線内でデータ所在地、主権、コンプライアンス要件が尊重されるように設計された、物理的に隔離された Azure のインスタンスです。 各国のクラウド内のアカウントの場合は、サインインするときに Environment パラメーターで環境を設定します。 このパラメーターは、どのサインイン方法でも機能します。 たとえば、ご自身のアカウントが Azure China 21Vianet にある場合は、次のコマンドを使用します。

Connect-AzAccount -Environment AzureChinaCloud

次のコマンドを実行して、使用可能な環境の一覧を取得します。

Get-AzEnvironment | Select-Object -Property Name

Web アカウント マネージャー (WAM)

Azure PowerShell では、Web アカウント マネージャー (WAM) のプレビュー サポートが提供されるようになりました。 WAM は、認証ブローカーとして機能する Windows 10 以降のコンポーネントです。 認証ブローカーは、ユーザーのマシンで実行され、接続されたアカウントの認証ハンドシェイクとトークン メンテナンスを管理するアプリケーションです。

WAM を使用すると、次のような利点があります。

  • セキュリティの強化。 「条件付きアクセス: トークン保護 (プレビュー)」を参照してください。
  • Windows Hello、条件付きアクセス ポリシー、FIDO キーのサポート。
  • シングル サインオンの効率化。
  • バグ修正と機能強化が Windows に付属して提供される。

Note

WAM を使用したサインインは、オプトイン プレビュー機能です。

有効にすると、以前のブラウザー ベースのユーザー インターフェイスは、Windows の組み込みアプリに似たよりスムーズなエクスペリエンスに置き換えられます。 WAM を有効にするには、次のコマンドを実行します。

Update-AzConfig -EnableLoginByWam $true
Connect-AzAccount

開発の現段階では、WAM にはいくつかの既知の制限があります。

  • WAM は Windows 10 以降と Windows Server 2019 以降で使用できます。 Mac、Linux、以前のバージョンの Windows では、Azure PowerShell は既定でブラウザーに自動的に設定されます。
  • Microsoft アカウント (@outlook.com や @live.com) など) は、現在サポートされていません。 今後サポートを提供できるよう、Microsoft ID チームと取り組んでいます。

関連項目