Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Interactieve aanmeldingen bij Azure bieden een intuïtievere en flexibele gebruikerservaring. Met Azure CLI kunt u zich rechtstreeks bij Azure verifiëren via de opdracht az login . Deze opdracht is handig voor ad-hocbeheertaken en voor omgevingen waarvoor handmatige aanmelding is vereist, zoals scenario's met meervoudige verificatie (MFA). Deze methode vereenvoudigt de toegang voor scripttests, leren en on-the-fly-beheer zonder dat u vooraf service-principals of andere niet-interactieve verificatiemethoden hoeft te configureren.
Belangrijk
Vanaf september 2025 vereist Microsoft meervoudige verificatie (MFA) voor Azure CLI en andere opdrachtregelprogramma's. Deze wijziging is alleen van toepassing op gebruikersidentiteiten van Microsoft Entra ID en heeft geen invloed op workloadidentiteiten, zoals service-principals of beheerde identiteiten.
Als u een gebruikersnaam en wachtwoord gebruikt az login
om scripts of geautomatiseerde werkstromen te verifiëren, is het nu tijd om te migreren naar een workloadidentiteit. Zie De impact van meervoudige verificatie op Azure CLI in automatiseringsscenario's voor meer informatie.
Vereiste voorwaarden
Interactieve aanmelding
Gebruik de opdracht az login om u interactief aan te melden. Vanaf Azure CLI versie 2.61.0 maakt Azure CLI standaard gebruik van Web Account Manager (WAM) in Windows en een browsergebaseerde aanmelding op Linux en macOS.
az login
Abonnementkiezer
Vanaf Azure CLI versie 2.61.0, als u toegang hebt tot meerdere abonnementen, wordt u gevraagd om een Azure-abonnement te selecteren op het moment van aanmelden, zoals wordt weergegeven in het volgende voorbeeld.
Retrieving subscriptions for the selection...
[Tenant and subscription selection]
No Subscription name Subscription ID Tenant name
---- ------------------------------------ ---------------------------------------- --------------
[1] Facility Services Subscription 00000000-0000-0000-0000-000000000000 Contoso
[2] Finance Department Subscription 00000000-0000-0000-0000-000000000000 Contoso
[3] Human Resources Subscription 00000000-0000-0000-0000-000000000000 Contoso
[4] * Information Technology Subscription 00000000-0000-0000-0000-000000000000 Contoso
The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Information Technology Subscription' (00000000-0000-0000-0000-000000000000).
Select a subscription and tenant (Type a number or Enter for no changes): 2
Tenant: Contoso
Subscription: Finance Department Subscription (00000000-0000-0000-0000-000000000000)
[Announcements] With the new Azure CLI login experience, you can select the subscription you want to
use more easily. Learn more about it and its configuration at
https://go.microsoft.com/fwlink/?linkid=2271236
If you encounter any problems, open an issue at https://aka.ms/azclibug
De volgende keer dat u zich aanmeldt, worden de eerder geselecteerde tenant en het abonnement gemarkeerd als de standaardwaarde met een sterretje (*
) naast het nummer. Met deze markering kunt u op Enter drukken om het standaardabonnement te selecteren.
Opdrachten worden standaard uitgevoerd voor het geselecteerde abonnement. Gebruik az account set
om uw abonnement vanaf een commandoregel op elk gewenst moment te wijzigen. Zie Azure-abonnementen beheren met de Azure CLI voor meer informatie.
Hier volgen enkele richtlijnen voor de abonnementskiezer om rekening mee te houden:
- De abonnementkiezer is alleen beschikbaar in 64-bits Windows, Linux of macOS.
- De abonnementskiezer is alleen beschikbaar wanneer u de
az login
opdracht gebruikt. - U wordt niet gevraagd om een abonnement te selecteren wanneer u zich aanmeldt met een service-principal of beheerde identiteit.
Als u de functie abonnementkiezer wilt uitschakelen, stelt u de configuratie-eigenschap core.login_experience_v2 in op off
.
az config set core.login_experience_v2=off
az login
Aanmelden met Web Account Manager (WAM) in Windows
Vanaf Azure CLI versie 2.61.0 is Web Account Manager (WAM) de standaardverificatiemethode in Windows. WAM is een Windows 10+-onderdeel dat fungeert als verificatiebroker. Een verificatiebroker is een toepassing die wordt uitgevoerd op de computer van een gebruiker. Het beheert de verificatiehandhakes en tokenonderhoud voor verbonden accounts.
Het gebruik van WAM heeft verschillende voordelen:
- Verbeterde beveiliging. Zie Voorwaardelijke toegang: Beveiliging van tokens (preview).
- Ondersteuning voor Windows Hello, beleid voor voorwaardelijke toegang en FIDO-sleutels.
- Gestroomlijnde eenmalige aanmelding.
- Opgeloste fouten en verbeteringen die worden geleverd met Windows.
Als u een probleem ondervindt en wilt terugkeren naar de vorige verificatiemethode op basis van een browser, stelt u de configuratie-eigenschap core.enable_broker_on_windows in op false
.
az account clear
az config set core.enable_broker_on_windows=false
az login
WAM is beschikbaar in Windows 10 en hoger en op Windows Server 2019 en hoger.
Aanmelden met een browser
Azure CLI wordt standaard ingesteld op een verificatiemethode op basis van een browser wanneer aan een van de volgende voorwaarden wordt voldaan:
- Het besturingssysteem (OS) is Linux, macOS of het Windows-besturingssysteem is ouder dan Windows 10 of Windows Server 2019.
- De
core.enable_broker_on_windows
configuratie-eigenschap is ingesteld opfalse
.
Volg deze stappen om u aan te melden met een browser:
Voer de
az login
opdracht uit.az login
Als Azure CLI uw standaardbrowser kan openen, wordt de autorisatiecodestroom gestart en wordt de standaardbrowser geopend om een Azure-aanmeldingspagina te laden.
Anders wordt de apparaatcodeprocedure gestart en krijgt u de instructie om een browserpagina te openen op https://aka.ms/devicelogin. Voer vervolgens de code in die wordt weergegeven in uw terminal.
Als er geen webbrowser beschikbaar is of de webbrowser niet kan worden geopend, kunt u de stroom van apparaatcode forceren met
az login --use-device-code
.Meldt u zich in de browser aan met uw accountreferenties.
Aanmelden met inloggegevens op de commandoregel
Geef uw Azure-gebruikersreferenties op de opdrachtregel op. U moet deze verificatiemethode alleen gebruiken wanneer u interactief met de Azure CLI werkt. Gebruik voor toepassingen op productieniveau een service-principal of beheerde identiteit.
Deze benadering werkt niet met Microsoft-accounts of -accounts waarvoor meervoudige verificatie (MFA) is ingeschakeld. U ontvangt een interactieve verificatiemelding.
az login --user <username> --password <password>
Belangrijk
Als u wilt voorkomen dat uw wachtwoord in de terminal wordt weergegeven wanneer u interactief gebruikt az login
, gebruikt u de read -s
opdracht in Bash.
read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS
Gebruik de Get-Credential
cmdlet in PowerShell.
$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password
Aanmelden met een andere tenant
U kunt een tenant selecteren om u aan te melden met het argument --tenant
. De waarde van dit argument kan een .onmicrosoft.com
domein of de Azure-object-id voor de tenant zijn. Zowel interactieve als opdrachtregel aanmeldingsmethoden werken met --tenant
.
In bepaalde omgevingen en vanaf Azure CLI versie 2.61.0 moet u de abonnementkiezer eerst uitschakelen door de core.login_experience_v2
configuratie-eigenschap in te stellen op off
.
# disable the subscription selector (v. 2.61.0 and up)
az config set core.login_experience_v2=off
# login with a tenant ID
az login --tenant 00000000-0000-0000-0000-000000000000
Als u de abonnementskiezer opnieuw wilt inschakelen, voert u de opdracht uit az config set core.login_experience_v2=on
. Zie Interactieve aanmelding voor meer informatie over de abonnementkiezer.
Als u na het aanmelden uw actieve tenant wilt wijzigen, raadpleegt u Hoe u uw actieve tenant wijzigt.
Aanmelden met --scope
az login --scope https://management.core.windows.net//.default
Afmelden
Gebruik de az-afmeldingsopdracht om u af te melden bij Azure.
az logout
Uw abonnementscache wissen
Gebruik de opdracht az account clear om uw abonnementslijst bij te werken. U moet zich opnieuw aanmelden om een bijgewerkte lijst weer te geven.
az account clear
az login
Het wissen van uw abonnementscache is technisch gezien niet hetzelfde als het afmelden bij Azure.
Wanneer u de abonnementscache wist, kunt u echter geen Azure CLI-opdrachten, inclusief az account set
, uitvoeren totdat u opnieuw inlogt.
Vernieuwen van tokens
Wanneer u zich aanmeldt met een gebruikersaccount, genereert en slaat Azure CLI een verificatievernieuwingstoken op. Omdat toegangstokens slechts een korte periode geldig zijn, wordt er een vernieuwingstoken uitgegeven op hetzelfde moment dat het toegangstoken wordt uitgegeven. De clienttoepassing kan dit vernieuwingstoken vervolgens uitwisselen voor een nieuw toegangstoken wanneer dat nodig is. Zie Tokens vernieuwen in het Microsoft Identity Platform voor meer informatie over de levensduur en vervaldatum van tokens.
Gebruik de opdracht az account get-access-token om het toegangstoken op te halen:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Hier volgen enkele aanvullende informatie over vervaldatums voor toegangstokens:
- Vervaldatums worden bijgewerkt in een indeling die wordt ondersteund door azure CLI op basis van MSAL.
- Vanaf Azure CLI 2.54.0 retourneert
az account get-access-token
deexpires_on
eigenschap samen met deexpiresOn
eigenschap voor de vervaltijd van het token. - De
expires_on
eigenschap vertegenwoordigt een POSIX-tijdstempel (Portable Operating System Interface), terwijl deexpiresOn
eigenschap een lokale datum/tijd vertegenwoordigt. - De
expiresOn
eigenschap drukt niet "samengevouwen" uit wanneer de zomertijd eindigt. Dit kan problemen veroorzaken in landen of regio's waar zomertijd wordt aangenomen. Zie PEP 495 – Local Time Disambiguation voor meer informatie over "fold". - We raden downstreamtoepassingen aan om de
expires_on
eigenschap te gebruiken, omdat deze gebruikmaakt van de Universal Time Code (UTC).
Voorbeelduitvoer:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Probleemoplossingsproces
De verbinding voor deze site is niet beveiligd
Wanneer uw standaardbrowser Microsoft Edge is, kan het zijn dat de volgende fout optreedt wanneer u zich interactief probeert aan te melden bij Azure met az login
: 'De verbinding voor deze site is niet beveiligd." Ga naar edge://net-internals/#hsts in Microsoft Edge om dit probleem op te lossen. Voeg localhost
onder 'Domeinbeveiligingsbeleid verwijderen' toe en selecteer Verwijderen.
Interactieve verificatie is vereist
U ontvangt dit bericht wanneer u een gebruikersidentiteit gebruikt voor verificatie bij Azure en meervoudige verificatie is vereist. De oplossing is het gebruik van een workload-id , zoals een service-principal of beheerde identiteit voor verificatie bij Azure.
Verificatie is mislukt voor tenant
Deze fout treedt op wanneer één Entra-gebruikersidentiteit deel uitmaakt van meerdere Azure-tenants. Azure CLI doorloopt de tenants waartoe u toegang hebt en probeert te authenticeren. Gebruik de --tenant
parameter om u aan te melden met uw tenant naar keuze. Zie Aanmelden met een andere tenant voor meer informatie.
Volgende stappen
- Zelfstudie: Meer informatie over het gebruik van de Azure CLI
- Zoek Azure CLI-voorbeelden en gepubliceerde documenten