Interactief aanmelden bij Azure PowerShell
Interactieve aanmeldingen bij Azure bieden een intuïtievere en flexibele gebruikerservaring. Met interactieve aanmelding met Azure PowerShell kunnen gebruikers zich rechtstreeks via de PowerShell-interface verifiëren bij Azure. Dit is handig voor ad-hocbeheertaken en voor omgevingen waarvoor handmatige aanmelding is vereist, zoals omgevingen met meervoudige verificatie (MFA). Deze methode vereenvoudigt de toegang voor scripttests, leren en on-the-fly-beheer zonder dat u vooraf service-principals of andere niet-inactieve verificatiemethoden hoeft te configureren.
Vereisten
Interactieve aanmelding
De standaardmethode voor aanmeldingsverificatie van Azure PowerShell maakt gebruik van een webbrowser en toegangstoken om u aan te melden.
Als u zich interactief wilt aanmelden, gebruikt u de
Connect-AzAccount
cmdlet, die standaard een interactieve aanmeldingsprompt op basis van een browser gebruikt.Connect-AzAccount
Als Azure PowerShell uw standaardbrowser kan openen, wordt de autorisatiecodestroom gestart en wordt de standaardbrowser geopend om een Azure-aanmeldingspagina te laden. Anders wordt de apparaatcodestroom gestart waarmee u een browserpagina op microsoft.com/devicelogin opent en de code invoert die wordt weergegeven in uw PowerShell-sessie.
Meld u aan met uw Azure-accountreferenties in de browser.
Als u toegang hebt tot meerdere abonnementen, bent u aangemeld bij het eerste abonnement dat Azure retourneert. Opdrachten worden standaard uitgevoerd voor dit abonnement. Gebruik de Set-AzContext
cmdlet om uw actieve abonnement voor een sessie te wijzigen. Als u uw actieve abonnement wilt wijzigen en het tussen sessies op hetzelfde systeem wilt behouden, gebruikt u de Select-AzContext
cmdlet.
Belangrijk
Uw referenties worden gedeeld tussen verschillende PowerShell-sessies, zolang u aangemeld blijft. Zie Azure PowerShell-contextobjecten voor meer informatie.
Verificatie van apparaatcode
Als er geen webbrowser beschikbaar is of niet kan worden geopend, kunt u de apparaatcodestroom afdwingen in plaats van een browserbesturingselement door de parameter UseDeviceAuthentication op te geven.
Connect-AzAccount -UseDeviceAuthentication
Aanmelden met een andere tenant
Als uw account is gekoppeld aan meer dan één tenant, moet de tenantparameter worden opgegeven wanneer u verbinding maakt. Deze parameter werkt in combinatie met alle aanmeldingsmethoden. Tijdens het aanmelden kan de waarde van deze parameter het Azure-object-id van de tenant (tenant-id) of de volledig gekwalificeerde domeinnaam van de tenant zijn. Vanwege beperkingen van de huidige API moet u een tenant-id gebruiken in plaats van een tenantnaam wanneer u verbinding maakt met een B2B-account (Business-to-Business).
Connect-AzAccount -Tenant '00000000-0000-0000-0000-000000000000'
Aanmelden bij een nationale cloud
Nationale clouds (ook wel soevereine clouds genoemd) zijn fysiek geïsoleerde exemplaren van Azure die zijn ontworpen om ervoor te zorgen dat gegevenslocatie, soevereiniteit en nalevingsvereisten binnen geografische grenzen worden nageleefd. Voor accounts in een nationale cloud stelt u de omgeving in wanneer u zich aanmeldt met de parameter Omgeving . Deze parameter werkt in combinatie met alle aanmeldingsmethoden. Als uw account zich bijvoorbeeld in Azure China 21Vianet bevindt, gebruikt u de volgende opdracht:
Connect-AzAccount -Environment AzureChinaCloud
U kunt een lijst met beschikbare omgevingen ophalen door de volgende opdracht uit te voeren:
Get-AzEnvironment | Select-Object -Property Name
Web Account Manager (WAM)
Azure PowerShell biedt nu preview-ondersteuning voor Web Account Manager (WAM). WAM is een Windows 10+-onderdeel dat fungeert als verificatiebroker. Een verificatiebroker is een toepassing die wordt uitgevoerd op de computer van een gebruiker die de verificatiehanddruk- en tokenonderhoud voor verbonden accounts beheert.
Het gebruik van WAM biedt verschillende voordelen:
- Verbeterde beveiliging. Zie Voorwaardelijke toegang: Beveiliging van tokens (preview).
- Ondersteuning voor Windows Hello, beleid voor voorwaardelijke toegang en FIDO-sleutels.
- Gestroomlijnde eenmalige aanmelding.
- Opgeloste fouten en verbeteringen die worden geleverd met Windows.
Notitie
Aanmelden met WAM is een preview-functie voor aanmelden.
Zodra deze optie is ingeschakeld, wordt de vorige gebruikersinterface op basis van een browser vervangen door een soepelere ervaring die vergelijkbaar is met ingebouwde Windows-apps. Voer de volgende opdrachten uit om WAM in te schakelen.
Update-AzConfig -EnableLoginByWam $true
Connect-AzAccount
In de huidige ontwikkelingsfase zijn er enkele bekende beperkingen voor WAM:
- WAM is beschikbaar in Windows 10 en hoger en op Windows Server 2019 en hoger. In Mac, Linux en eerdere versies van Windows wordt Azure PowerShell automatisch standaard ingesteld op een browser.
- Microsoft-accounts (bijvoorbeeld @outlook.com of @live.com) worden momenteel niet ondersteund. We werken samen met het Microsoft Identity-team om de ondersteuning later mee te nemen.