Compartilhar via

desconexão do azcmagent

  • Artigo

Exclui o recurso de servidor habilitado para Azure Arc na nuvem e redefine a configuração do agente local. Para obter informações detalhadas sobre como remover extensões e desconectar e desinstalar o agente, consulte desinstalar o agente.

Uso

azcmagent disconnect [authentication] [flags]

Exemplos

Desconecte um servidor usando o método de login padrão (navegador interativo ou código do dispositivo).

azcmagent disconnect

Desconecte um servidor usando uma entidade de serviço.

azcmagent disconnect --service-principal-id "ID" --service-principal-secret "SECRET"

Desconecte um servidor se o recurso correspondente no Azure já tiver sido excluído.

azcmagent disconnect --force-local-only

Opções de autenticação

Há quatro maneiras de fornecer credenciais de autenticação para o agente do computador conectado do Azure. Escolha uma opção de autenticação e substitua a [authentication] seção na sintaxe de uso pelos sinalizadores recomendados.

Observação

A conta usada para desconectar um servidor deve ser do mesmo locatário que a assinatura em que o servidor está registrado.

Login interativo do navegador (somente Windows)

Essa opção é o padrão em sistemas operacionais Windows com uma experiência de desktop. A página de login é aberta em seu navegador da Web padrão. Essa opção poderá ser necessária se sua organização tiver configurado políticas de acesso condicional que exigem que você faça logon de computadores confiáveis.

Nenhum sinalizador é necessário para usar o login interativo do navegador.

Login do código do dispositivo

Essa opção gera um código que pode ser usado para fazer login em um navegador da Web em outro dispositivo. Essa é a opção padrão nas edições principais do Windows Server e em todas as distribuições do Linux. Depois de executar o comando connect, você terá 5 minutos para abrir a URL de login especificada em um dispositivo conectado à Internet e concluir o fluxo de login.

Para autenticar com um código de dispositivo, use o --use-device-code sinalizador.

Entidade de serviço com segredo

As entidades de serviço permitem que você se autentique de forma não interativa e geralmente são usadas para operações em escala em que o mesmo script é executado em vários servidores. É recomendável que você forneça informações da entidade de serviço por meio de um arquivo de configuração (consulte --config) para evitar expor o segredo em qualquer log do console. A entidade de serviço também deve ser dedicada à integração do Arc e ter o mínimo de permissões possível, para limitar o impacto de uma credencial roubada.

Para autenticar com uma entidade de serviço usando um segredo, forneça a ID do aplicativo, o segredo e a ID do locatário da entidade de serviço: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Entidade de serviço com certificado

A autenticação baseada em certificado é uma maneira mais segura de autenticar usando entidades de serviço. O agente aceita ambos os arquivos PCKS #12 (. PFX) e arquivos codificados em ASCII (como arquivos . PEM) que contêm as chaves privadas e públicas. O certificado deve estar disponível no disco local e o usuário que executa o azcmagent comando precisa de acesso de leitura ao arquivo. Não há suporte para arquivos PFX protegidos por senha.

Para autenticar com uma entidade de serviço usando um certificado, forneça a ID do aplicativo, a ID do locatário e o caminho para o arquivo de certificado da entidade de serviço: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Para obter mais informações, consulte criar uma entidade de serviço para RBAC com autenticação baseada em certificado.

Token de acesso

Os tokens de acesso também podem ser usados para autenticação não interativa, mas são de curta duração e normalmente usados por soluções de automação que operam em vários servidores em um curto período de tempo. Você pode obter um token de acesso com Get-AzAccessToken ou qualquer outro cliente do Microsoft Entra.

Para autenticar com um token de acesso, use o --access-token [token] sinalizador.

Sinalizadores

--access-token

Especifica o token de acesso do Microsoft Entra usado para criar o recurso de servidor habilitado para Azure Arc no Azure. Para mais informações, consulte opções de autenticação.

-f, --force-local-only

Desconecta o servidor sem excluir o recurso no Azure. Usado principalmente se o recurso do Azure foi excluído e a configuração do agente local precisa ser limpa.

-i, --service-principal-id

Especifica a ID do aplicativo da entidade de serviço usada para criar o recurso de servidor habilitado para Azure Arc no Azure. Deve ser usado com os --tenant-id sinalizadores e ou --service-principal-cert or--service-principal-secret. Para mais informações, consulte opções de autenticação.

--service-principal-cert

Especifica o caminho para um arquivo de certificado de entidade de serviço. Deve ser usado com os --service-principal-id sinalizadores e --tenant-id . O certificado deve incluir uma chave privada e pode estar em um PKCS #12 (. PFX) ou texto codificado em ASCII (. PEM. CRT). Não há suporte para arquivos PFX protegidos por senha. Para mais informações, consulte opções de autenticação.

-p, --service-principal-secret

Especifica o segredo da entidade de serviço. Deve ser usado com os --service-principal-id sinalizadores e --tenant-id . Para evitar expor o segredo nos logs do console, a Microsoft recomenda fornecer o segredo da entidade de serviço em um arquivo de configuração. Para mais informações, consulte opções de autenticação.

--use-device-code

Gere um código de logon do dispositivo Microsoft Entra que pode ser inserido em um navegador da Web em outro computador para autenticar o agente com o Azure. Para mais informações, consulte opções de autenticação.

--user-tenant-id

A ID do locatário da conta usada para conectar o servidor ao Azure. Esse campo é necessário quando o locatário da conta de integração não é o mesmo que o locatário desejado para o recurso de servidor habilitado para Azure Arc.

Sinalizadores comuns disponíveis para todos os comandos

--config

Usa um caminho para um arquivo JSON ou YAML que contém entradas para o comando. O arquivo de configuração deve conter uma série de pares de chave-valor em que a chave corresponde a uma opção de linha de comando disponível. Por exemplo, para passar o --verbose sinalizador, o arquivo de configuração ficaria assim:

{
    "verbose": true
}

Se uma opção de linha de comando for encontrada na chamada de comando e em um arquivo de configuração, o valor especificado na linha de comando terá precedência.

-h, --help

Obtenha ajuda para o comando atual, incluindo sua sintaxe e opções de linha de comando.

-j, --json

Imprima o resultado do comando no formato JSON.

--log-stderr

Redirecione mensagens de erro e detalhadas para o fluxo de erro padrão (stderr). Por padrão, toda a saída é enviada para o fluxo de saída padrão (stdout).

--no-color

Desative a saída de cores para terminais que não suportam cores ANSI.

-v, --verbose

Mostre informações de log mais detalhadas enquanto o comando é executado. Útil para solucionar problemas ao executar um comando.