Połączenie na platformę Azure przy użyciu połączenia usługi Azure Resource Manager

  • Artykuł

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Połączenie usługi Azure Resource Manager umożliwia łączenie się z zasobami platformy Azure za pośrednictwem uwierzytelniania jednostki usługi lub tożsamości usługi zarządzanej platformy Azure. Jeśli używasz połączenia usługi Resource Manager, możesz użyć potoku do wdrożenia w zasobie platformy Azure, takiego jak aplikacja usługi aplikacja systemu Azure Service bez uwierzytelniania za każdym razem.

Istnieje wiele opcji nawiązywania połączenia z platformą Azure przy użyciu połączeń usługi Azure Resource Manager:

  • Jednostka usługi lub tożsamość zarządzana z federacją tożsamości obciążenia
  • Jednostka usługi z wpisem tajnym
  • Tożsamość zarządzana przypisana przez agenta

Aby dowiedzieć się więcej na temat innych typów połączeń oraz ogólnych informacji na temat tworzenia i używania połączeń, zobacz Połączenia usług dla kompilacji i wydań.

Tworzenie połączenia usługi Azure Resource Manager korzystającego z federacji tożsamości obciążenia

Federacja tożsamości obciążenia używa Połączenie OpenID (OIDC) do uwierzytelniania w chronionych zasobach firmy Microsoft bez używania wpisów tajnych.

Zalecamy użycie tego podejścia, jeśli w twoim scenariuszu spełnione są wszystkie następujące elementy:

  • Masz rolę Właściciel subskrypcji platformy Azure.
  • Nie łączysz się z usługą Azure Stack ani z chmurą platformy Azure Government.
  • Wszystkie zadania rozszerzeń witryny Marketplace, których używasz, są aktualizowane w celu obsługi federacji tożsamości obciążenia.

Tworzenie nowego połączenia usługi federacyjnej tożsamości obciążenia

  1. W projekcie usługi Azure DevOps przejdź do pozycji Połączenia usługi Ustawienia>projektu.

    Aby uzyskać więcej informacji, zobacz Otwieranie ustawień projektu.

  2. Wybierz pozycję Nowe połączenie z usługą, a następnie wybierz pozycję Azure Resource Manager.

    Zrzut ekranu przedstawiający wybieranie typu połączenia usługi tożsamości obciążenia.

  3. Wybierz pozycję Federacja tożsamości obciążenia (automatyczna).

    Zrzut ekranu przedstawiający wybieranie typu połączenia usługi tożsamości obciążenia.

  4. Określ następujące parametry:

    Parametr Opis
    Subskrypcja Wybierz istniejącą subskrypcję platformy Azure. Jeśli nie są wyświetlane żadne subskrypcje lub wystąpienia platformy Azure, zobacz Rozwiązywanie problemów z połączeniami usługi Azure Resource Manager.
    Grupa zasobów Pozostaw wartość pustą, aby umożliwić użytkownikom dostęp do wszystkich zasobów zdefiniowanych w ramach subskrypcji. Aby ograniczyć dostęp użytkowników do zasobów, wprowadź nazwę grupy zasobów. Użytkownicy mogą następnie uzyskiwać dostęp tylko do zasobów zdefiniowanych dla tej grupy zasobów.
    Nazwa połączenia z usługą Wymagany. Nazwa używana do odwoływania się do tego połączenia usługi we właściwościach zadania. Nie jest to nazwa subskrypcji platformy Azure.

  5. Po utworzeniu nowego połączenia z usługą skopiuj nazwę połączenia i wklej ją w kodzie jako wartość .azureSubscription

  6. Aby wdrożyć w określonym zasobie platformy Azure, zadanie wymaga dodatkowych danych dotyczących tego zasobu. Przejdź do zasobu w witrynie Azure Portal, a następnie skopiuj dane do kodu. Aby na przykład wdrożyć aplikację internetową, skopiuj nazwę aplikacji usługi aplikacja systemu Azure Service i wklej ją w kodzie jako wartość .WebAppName

Konwertowanie istniejącego połączenia usługi Azure Resource Manager w celu korzystania z federacji tożsamości obciążenia

Możesz szybko przekonwertować istniejące połączenie usługi Azure Resource Manager, aby użyć federacji tożsamości obciążenia do uwierzytelniania zamiast jednostki usługi. Jeśli połączenie usługi spełnia następujące wymagania, możesz użyć narzędzia konwersji połączenia z usługą w usłudze Azure DevOps:

  • Usługa Azure DevOps pierwotnie utworzyła połączenie z usługą. Jeśli ręcznie utworzysz połączenie z usługą, nie możesz przekonwertować połączenia z usługą przy użyciu narzędzia konwersji połączenia z usługą, ponieważ usługa Azure DevOps nie ma uprawnień do modyfikowania własnych poświadczeń.
  • Tylko jeden projekt używa połączenia z usługą. Nie można konwertować połączeń między usługa projektów.

Aby przekonwertować połączenie usługi:

  1. W projekcie usługi Azure DevOps przejdź do pozycji Połączenia usługi Ustawienia>projektu.

    Aby uzyskać więcej informacji, zobacz Otwieranie ustawień projektu.

  2. Wybierz połączenie z usługą, które chcesz przekonwertować, aby używać tożsamości obciążenia.

  3. Wybierz pozycję Konwertuj.

    Zrzut ekranu przedstawiający wybieranie konwersji dla poświadczeń federacyjnych.

    Jeśli masz istniejące poświadczenia jednostki usługi z wygasłym wpisem tajnym, zobaczysz inną opcję konwersji.

    Zrzut ekranu przedstawiający opcję konwersji na używanie poświadczeń federacyjnych w przypadku wygaśnięcia certyfikatu.

  4. Wybierz ponownie pozycję Konwertuj , aby potwierdzić, że chcesz utworzyć nowe połączenie usługi.

    Konwersja może potrwać kilka minut. Jeśli chcesz przywrócić połączenie, musisz przywrócić je w ciągu siedmiu dni.

Konwertowanie wielu połączeń usługi Azure Resource Manager za pomocą skryptu

Użyj skryptu, aby zaktualizować wiele połączeń usług jednocześnie, aby teraz używać federacji tożsamości obciążenia do uwierzytelniania.

Ten przykładowy skrypt programu PowerShell wymaga dwóch parametrów: organizacja usługi Azure DevOps (przykład: https://dev.azure.com/fabrikam-tailspin) i projekt Usługi Azure DevOps (przykład: Space game web agent). Następnie skrypt pobiera skojarzone połączenia usług dla projektu i organizacji usługi Azure DevOps. Zostanie wyświetlony monit o potwierdzenie, że chcesz przekonwertować każde skojarzone połączenie usługi, które nie korzysta z federacji tożsamości obciążenia. Jeśli potwierdzisz, skrypt używa interfejsu API REST usługi Azure DevOps do aktualizowania każdego połączenia z usługą, aby teraz używać federacji tożsamości obciążenia. Skrypt wymaga uruchomienia programu PowerShell 7.3 lub nowszego oraz interfejsu wiersza polecenia platformy Azure. Zapisz skrypt w pliku ps1 i uruchom go przy użyciu programu PowerShell 7.

#!/usr/bin/env pwsh
<# 
.SYNOPSIS 
    Convert multiple Azure Resource Manager service connection(s) to use Workload identity federation

.LINK
    https://aka.ms/azdo-rm-workload-identity-conversion

.EXAMPLE
    ./convert_azurerm_service_connection_to_oidc_simple.ps1 -Project <project> -OrganizationUrl https://dev.azure.com/<organization>
#> 

#Requires -Version 7.3

param ( 
    [parameter(Mandatory=$true,HelpMessage="Name of the Azure DevOps Project")]
    [string]
    [ValidateNotNullOrEmpty()]
    $Project,

    [parameter(Mandatory=$true,HelpMessage="Url of the Azure DevOps Organization")]
    [uri]
    [ValidateNotNullOrEmpty()]
    $OrganizationUrl
) 
$apiVersion = "7.1"
$PSNativeCommandArgumentPassing = "Standard" 

#-----------------------------------------------------------
# Log in to Azure
$azdoResource = "499b84ac-1321-427f-aa17-267ca6975798" # application id of Azure DevOps 
az login --allow-no-subscriptions --scope ${azdoResource}/.default
$OrganizationUrl = $OrganizationUrl.ToString().Trim('/')

#-----------------------------------------------------------
# Retrieve the service connection
$getApiUrl = "${OrganizationUrl}/${Project}/_apis/serviceendpoint/endpoints?authSchemes=ServicePrincipal&type=azurerm&includeFailed=false&includeDetails=true&api-version=${apiVersion}"
az rest --resource $azdoResource -u "${getApiUrl} " -m GET --query "sort_by(value[?authorization.scheme=='ServicePrincipal' && data.creationMode=='Automatic' && !(isShared && serviceEndpointProjectReferences[0].projectReference.name!='${Project}')],&name)" -o json `
        | Tee-Object -Variable rawResponse | ConvertFrom-Json | Tee-Object -Variable serviceEndpoints | Format-List | Out-String | Write-Debug
if (!$serviceEndpoints -or ($serviceEndpoints.count-eq 0)) {
    Write-Warning "No convertible service connections found"
    exit 1
}

foreach ($serviceEndpoint in $serviceEndpoints) {
    # Prompt user to confirm conversion
    $choices = @(
        [System.Management.Automation.Host.ChoiceDescription]::new("&Convert", "Converting service connection '$($serviceEndpoint.name)'...")
        [System.Management.Automation.Host.ChoiceDescription]::new("&Skip", "Skipping service connection '$($serviceEndpoint.name)'...")
        [System.Management.Automation.Host.ChoiceDescription]::new("&Exit", "Exit script")
    )
    $prompt = $serviceEndpoint.isShared ? "Convert shared service connection '$($serviceEndpoint.name)'?" : "Convert service connection '$($serviceEndpoint.name)'?"
    $decision = $Host.UI.PromptForChoice([string]::Empty, $prompt, $choices, $serviceEndpoint.isShared ? 1 : 0)

    if ($decision -eq 0) {

        Write-Host "$($choices[$decision].HelpMessage)"
    } elseif ($decision -eq 1) {
        Write-Host "$($PSStyle.Formatting.Warning)$($choices[$decision].HelpMessage)$($PSStyle.Reset)"
        continue 
    } elseif ($decision -ge 2) {
        Write-Host "$($PSStyle.Formatting.Warning)$($choices[$decision].HelpMessage)$($PSStyle.Reset)"
        exit 
    }

    # Prepare request body
    $serviceEndpoint.authorization.scheme = "WorkloadIdentityFederation"
    $serviceEndpoint.data.PSObject.Properties.Remove('revertSchemeDeadline')
    $serviceEndpoint | ConvertTo-Json -Depth 4 | Write-Debug
    $serviceEndpoint | ConvertTo-Json -Depth 4 -Compress | Set-Variable serviceEndpointRequest
    $putApiUrl = "${OrganizationUrl}/${Project}/_apis/serviceendpoint/endpoints/$($serviceEndpoint.id)?operation=ConvertAuthenticationScheme&api-version=${apiVersion}"
    # Convert service connection
    az rest -u "${putApiUrl} " -m PUT -b $serviceEndpointRequest --headers content-type=application/json --resource $azdoResource -o json `
            | ConvertFrom-Json | Set-Variable updatedServiceEndpoint

    $updatedServiceEndpoint | ConvertTo-Json -Depth 4 | Write-Debug
    if (!$updatedServiceEndpoint) {
        Write-Debug "Empty response"
        Write-Error "Failed to convert service connection '$($serviceEndpoint.name)'"
        exit 1
    }
    Write-Host "Successfully converted service connection '$($serviceEndpoint.name)'"
}

Przywracanie istniejącego połączenia usługi Azure Resource Manager, które używa klucza tajnego jednostki usługi

Możesz przywrócić przekonwertowane automatyczne połączenie usługi z jego wpisem tajnym przez siedem dni. Po siedmiu dniach ręcznie utwórz nowy wpis tajny.

Jeśli ręcznie utworzysz i przekonwertujesz połączenie z usługą, nie możesz przywrócić połączenia z usługą przy użyciu narzędzia konwersji połączenia z usługą, ponieważ usługa Azure DevOps nie ma uprawnień do modyfikowania własnych poświadczeń.

Aby przywrócić połączenie z usługą:

  1. W projekcie usługi Azure DevOps przejdź do pozycji Połączenia usługi Pipelines>Service.

  2. Wybierz istniejące połączenie usługi, aby przywrócić.

  3. Wybierz pozycję Przywróć konwersję do oryginalnego schematu.

    Zrzut ekranu przedstawiający wybór przywracania dla poświadczeń federacyjnych.

  4. Wybierz ponownie pozycję Przywróć , aby potwierdzić wybór.

Tworzenie połączenia usługi Azure Resource Manager korzystającego z wpisu tajnego jednostki usługi

Zalecamy użycie tego podejścia, jeśli w twoim scenariuszu spełnione są wszystkie następujące elementy:

  • Zalogowałeś się jako właściciel organizacji usługi Azure Pipelines i subskrypcji platformy Azure.
  • Nie musisz jeszcze bardziej ograniczać uprawnień dla zasobów platformy Azure, do których użytkownicy uzyskują dostęp za pośrednictwem połączenia z usługą.
  • Nie łączysz się z usługą Azure Stack ani z chmurą platformy Azure Government.
  • Nie nawiązujesz połączenia z usługi Azure DevOps Server 2019 lub starszych wersji serwera Team Foundation Server.

Aby utworzyć połączenie z usługą:

  1. W projekcie usługi Azure DevOps przejdź do pozycji Połączenia usługi Ustawienia>projektu.

    Na serwerze Team Foundation Server wybierz ikonę Ustawienia na górnym pasku menu, aby przejść do strony Usługi.

    Aby uzyskać więcej informacji, zobacz Otwieranie ustawień projektu.

  2. Wybierz pozycję Nowe połączenie z usługą, a następnie wybierz pozycję Azure Resource Manager.

    Zrzut ekranu przedstawiający wybieranie typu połączenia z usługą.

  3. Wprowadź lub wybierz następujące parametry:

    Parametr Opis
    Nazwa połączenia Wymagany. Nazwa używana do odwoływania się do tego połączenia usługi we właściwościach zadania. Nie jest to nazwa subskrypcji platformy Azure.
    Poziom zakresu Wybierz pozycję Subskrypcja lub Grupa zarządzania. Grupy zarządzania to kontenery, które ułatwiają zarządzanie dostępem, zasadami i zgodnością w wielu subskrypcjach.
    Subskrypcja W przypadku wybrania pozycji Subskrypcja dla zakresu wybierz istniejącą subskrypcję platformy Azure. Jeśli nie są wyświetlane żadne subskrypcje lub wystąpienia platformy Azure, zobacz Rozwiązywanie problemów z połączeniami usługi Azure Resource Manager.
    Grupa zarządzania Jeśli wybierzesz grupę zarządzania dla zakresu, wybierz istniejącą grupę zarządzania platformy Azure. Aby uzyskać więcej informacji, zobacz Tworzenie grup zarządzania.
    Grupa zasobów Pozostaw wartość pustą, aby umożliwić użytkownikom dostęp do wszystkich zasobów zdefiniowanych w ramach subskrypcji. Aby ograniczyć dostęp użytkowników do zasobów, wprowadź nazwę grupy zasobów. Użytkownicy mogą następnie uzyskiwać dostęp tylko do zasobów zdefiniowanych dla tej grupy zasobów.

  4. Po utworzeniu nowego połączenia z usługą:

    • Jeśli używasz edytora klasycznego, wybierz nazwę połączenia przypisaną w ustawieniu subskrypcji platformy Azure potoku.
    • Jeśli używasz pliku YAML, skopiuj nazwę połączenia do kodu jako wartość .azureSubscription

  5. Aby wdrożyć w określonym zasobie platformy Azure, dodaj więcej informacji o zasobie do zadania:

    • Jeśli używasz edytora klasycznego, wybierz dane, które chcesz dodać do zadania. Na przykład wybierz nazwę usługi App Service.
    • Jeśli używasz pliku YAML, przejdź do zasobu w witrynie Azure Portal. Skopiuj potrzebne dane i wklej je do kodu zadania. Aby na przykład wdrożyć aplikację internetową, skopiuj nazwę aplikacji usługi App Service i wklej ją jako wartość WebAppName w zadaniu YAML zadania.

Uwaga

Gdy zastosujesz to podejście, usługa Azure DevOps łączy się z identyfikatorem Microsoft Entra ID i tworzy rejestrację aplikacji z wpisem tajnym, który jest ważny przez trzy miesiące. Po wygaśnięciu połączenia z usługą identyfikator Entra firmy Microsoft wyświetla następujący monit: certyfikat lub wpis tajny wkrótce wygasa. Utwórz nowy. W tym scenariuszu należy odświeżyć połączenie usługi.

Aby odświeżyć połączenie z usługą, w portalu usługi Azure DevOps edytuj połączenie, a następnie wybierz pozycję Weryfikuj. Po zapisaniu edycji połączenie z usługą jest ważne przez kolejne trzy miesiące.

Zalecamy używanie federacji tożsamości obciążenia zamiast tworzenia wpisu tajnego. Jeśli używasz federacji tożsamości obciążenia, nie musisz obracać wpisów tajnych, a rejestracja aplikacji zachowuje zamierzony cel. Aby rozpocząć korzystanie z federacji tożsamości obciążenia, przejdź do strony szczegółów połączenia usługi i wybierz pozycję Konwertuj. Połączenie z usługą jest konwertowane w celu używania federacji tożsamości obciążenia zamiast wpisu tajnego. Aby uzyskać więcej informacji, zobacz Konwertowanie istniejącego połączenia usługi Azure Resource Manager w celu korzystania z federacji tożsamości obciążenia.

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z połączeniem usługi Azure Resource Manager.

Jeśli masz problemy z użyciem tej metody (np. brak subskrypcji wyświetlanych na liście rozwijanej) lub jeśli chcesz jeszcze bardziej ograniczyć uprawnienia użytkowników, możesz zamiast tego użyć jednostki usługi lub maszyny wirtualnej z tożsamością usługi zarządzanej.

Tworzenie połączenia usługi Azure Resource Manager korzystającego z istniejącej jednostki usługi

  1. Jeśli chcesz użyć wstępnie zdefiniowanego zestawu uprawnień dostępu i nie masz jeszcze zdefiniowanej jednostki usługi w tym celu, wykonaj jedną z tych samouczków, aby utworzyć nową jednostkę usługi:

  2. W projekcie usługi Azure DevOps przejdź do pozycji Połączenia usługi Ustawienia>projektu.

    Na serwerze Team Foundation Server wybierz ikonę Ustawienia na górnym pasku menu, aby przejść do strony Usługi.

    Aby uzyskać więcej informacji, zobacz Otwieranie ustawień projektu.

  3. Wybierz pozycję Nowe połączenie z usługą, a następnie wybierz pozycję Azure Resource Manager.

    Zrzut ekranu przedstawiający wybieranie typu połączenia z usługą.

  4. Wybierz opcję Jednostka usługi (ręcznie), a następnie wprowadź szczegóły jednostki usługi.

    Zrzut ekranu przedstawiający otwieranie pełnej wersji okna dialogowego usługi.

  5. W polu nazwa Połączenie ion wprowadź nazwę wyświetlaną, która ma być używana do odwoływania się do tego połączenia z usługą.

  6. W polu Środowisko wybierz nazwę środowiska (Azure Cloud, Azure Stack lub Azure Government Cloud).

  7. Jeśli nie wybierzesz usługi Azure Cloud, wprowadź adres URL środowiska. W przypadku usługi Azure Stack adres URL środowiska jest podobny do https://management.local.azurestack.external.

  8. W obszarze Poziom zakresu wybierz zakres połączenia:

    • W przypadku wybrania pozycji Subskrypcja wybierz istniejącą subskrypcję platformy Azure. Jeśli nie są wyświetlane żadne subskrypcje lub wystąpienia platformy Azure, zobacz Rozwiązywanie problemów z połączeniami usługi Azure Resource Manager.
    • W przypadku wybrania pozycji Grupa zarządzania wybierz istniejącą grupę zarządzania platformy Azure. Aby uzyskać więcej informacji, zobacz Tworzenie grup zarządzania.

  9. W oknie dialogowym Subskrypcja platformy Azure wprowadź następujące informacje dotyczące jednostki usługi:

    • Identyfikator subskrypcji
    • Nazwa subskrypcji
    • Identyfikator jednostki usługi
    • Klucz klienta jednostki usługi lub, jeśli został wybrany certyfikat, wprowadź zawartość zarówno certyfikatu, jak i sekcji klucza prywatnego w pliku *.pem .
    • Identyfikator dzierżawy

    Te informacje można uzyskać, pobierając i uruchamiając skrypt programu Azure PowerShell. Po wyświetleniu monitu wprowadź nazwę subskrypcji, hasło, rolę (opcjonalnie) oraz typ chmury, taki jak Chmura platformy Azure (wartość domyślna), Azure Stack lub Chmura platformy Azure Dla instytucji rządowych.

  10. Wybierz pozycję Weryfikuj połączenie , aby zweryfikować wprowadzone ustawienia.

  11. Po utworzeniu nowego połączenia z usługą:

    • Jeśli używasz połączenia z usługą w interfejsie użytkownika, wybierz nazwę połączenia przypisaną w ustawieniu subskrypcji platformy Azure potoku.
    • Jeśli używasz połączenia usługi w pliku YAML, skopiuj nazwę połączenia i wklej ją w kodzie jako wartość .azureSubscription

  12. W razie potrzeby zmodyfikuj jednostkę usługi, aby uwidocznić odpowiednie uprawnienia.

    Aby uzyskać więcej informacji na temat uwierzytelniania przy użyciu jednostki usługi, zobacz Używanie kontroli dostępu opartej na rolach w celu zarządzania dostępem do zasobów subskrypcji platformy Azure lub wpis w blogu Automatyzowanie wdrożenia grupy zasobów platformy Azure przy użyciu jednostki usługi w programie Visual Studio.

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z połączeniami usługi Azure Resource Manager.

Tworzenie połączenia usługi Azure Resource Manager z maszyną wirtualną korzystającą z tożsamości usługi zarządzanej

Uwaga

Aby użyć tożsamości usługi zarządzanej do uwierzytelniania, musisz użyć własnego agenta na maszynie wirtualnej platformy Azure.

Agentów opartych na maszynie wirtualnej platformy Azure można skonfigurować tak, aby używali tożsamości usługi zarządzanej platformy Azure w usłudze Microsoft Entra ID. W tym scenariuszu używasz tożsamości przypisanej przez system (jednostki usługi), aby udzielić agentom opartym na maszynie wirtualnej platformy Azure dostępu do dowolnego zasobu platformy Azure obsługującego identyfikator entra firmy Microsoft, takiego jak wystąpienie usługi Azure Key Vault, zamiast utrwalać poświadczenia w usłudze Azure DevOps dla połączenia.

  1. W projekcie usługi Azure DevOps przejdź do pozycji Połączenia usługi Ustawienia>projektu.

    Na serwerze Team Foundation Server wybierz ikonę Ustawienia na górnym pasku menu, aby przejść do strony Usługi.

    Aby uzyskać więcej informacji, zobacz Otwieranie ustawień projektu.

  2. Wybierz pozycję Nowe połączenie z usługą, a następnie wybierz pozycję Azure Resource Manager.

    Zrzut ekranu przedstawiający wybieranie typu połączenia z usługą.

  3. Wybierz opcję Uwierzytelnianie tożsamości zarządzanej.

    Zrzut ekranu przedstawiający przejście do ustawień tożsamości usługi zarządzanej.

  4. W polu nazwa Połączenie ion wprowadź nazwę wyświetlaną, która ma być używana podczas odwoływania się do tego połączenia z usługą.

  5. W polu Środowisko wybierz nazwę środowiska (Azure Cloud, Azure Stack lub Azure Government Cloud).

  6. W oknie dialogowym połączenia wprowadź następujące wartości z subskrypcji:

    • Identyfikator subskrypcji
    • Nazwa subskrypcji
    • Identyfikator dzierżawy

  7. Po utworzeniu nowego połączenia z usługą:

    • Jeśli używasz połączenia z usługą w interfejsie użytkownika, wybierz nazwę połączenia przypisaną w ustawieniu subskrypcji platformy Azure potoku.
    • Jeśli używasz połączenia usługi w pliku YAML, skopiuj nazwę połączenia do kodu jako wartość .azureSubscription

  8. Upewnij się, że maszyna wirtualna (agent) ma odpowiednie uprawnienia.

    Jeśli na przykład kod musi wywołać usługę Azure Resource Manager, przypisz maszynę wirtualną odpowiednią rolę przy użyciu kontroli dostępu opartej na rolach (RBAC) w usłudze Microsoft Entra ID.

    Aby uzyskać więcej informacji, zobacz Jak używać tożsamości zarządzanych dla zasobów platformy Azure? i Użyj kontroli dostępu opartej na rolach, aby zarządzać dostępem do zasobów subskrypcji platformy Azure.

Aby uzyskać więcej informacji na temat procesu, zobacz Rozwiązywanie problemów z połączeniami usługi Azure Resource Manager.

Połączenie do chmury platformy Azure Government

Aby uzyskać informacje na temat nawiązywania połączenia z chmurą platformy Azure Government, zobacz Połączenie z usługi Azure Pipelines (Azure Government Cloud).

Nawiązywanie połączenia z usługą Azure Stack

Aby uzyskać informacje na temat nawiązywania połączenia z usługą Azure Stack, zobacz następujące artykuły:

Pomoc i obsługa techniczna