Entrar no Azure PowerShell interativamente

Os logons interativos no Azure oferecem uma experiência de usuário mais intuitiva e flexível. O logon interativo com o Azure PowerShell permite que os usuários se autentiquem no Azure diretamente por meio da interface do PowerShell, o que é útil para tarefas de gerenciamento ad hoc e para ambientes que exigem entrada manual, como aqueles com autenticação multifator (MFA). Esse método simplifica o acesso para teste de script, aprendizado e gerenciamento de forma dinâmica sem a necessidade de configurar previamente entidades de serviço ou outros métodos de autenticação não-interativos.

Importante

A partir do início de 2025, as entradas do Azure PowerShell usando identidades de usuário da ID do Microsoft Entra para autenticação exigem MFA (autenticação multifator). Para obter mais informações, consulte Planejando a autenticação multifator obrigatória para o Azure e outros portais de administração.

Pré-requisitos

• Instale a versão mais recente do módulo do Az PowerShell.

Logon interativo

Para entrar interativamente, use o cmdlet Connect-AzAccount. Ao iniciar com o módulo do Az PowerShell versão 12.0.0, os sistemas Windows usam o WAM (Gerenciador de Contas Web) e os sistemas do Linux e macOS usam logon baseado em navegador por padrão.

Connect-AzAccount

• Para saber mais sobre o WAM, consulte oWAM (Gerenciador de Contas Web)
• Para saber mais sobre o logon baseado em navegador, consulte oLogon baseado em navegador

Experiência de logon

Ao iniciar com o módulo do Az PowerShell versão 12.0.0, caso tenha acesso a várias assinaturas, será solicitado que você selecione uma assinatura do Azure com a qual fazer logon, conforme mostrado no exemplo a seguir.

Please select the account you want to login with.

Retrieving subscriptions for the selection...
WARNING: To override which subscription Connect-AzAccount selects by default, use
`Update-AzConfig -DefaultSubscriptionForLogin 00000000-0000-0000-0000-000000000000`.
Go to https://go.microsoft.com/fwlink/?linkid=2200610 for more information.
[Tenant and subscription selection]

No    Subscription name                     Subscription ID                           Tenant name
----  ------------------------------------  ----------------------------------------  --------------
[1]   Facility Services Subscription        00000000-0000-0000-0000-000000000000      Contoso
[2]   Finance Department Subscription       00000000-0000-0000-0000-000000000000      Contoso
[3]   Human Resources Subscription          00000000-0000-0000-0000-000000000000      Contoso
[4]   Information Technology Subscription   00000000-0000-0000-0000-000000000000      Contoso

Select a tenant and subscription: 2

Subscription name                       Tenant name
------------------------------------    --------------------------
Finance Department Subscription         Contoso

[Announcements]
With the new Azure PowerShell login experience, you can select the subscription you want to use more easily.
Learn more about it and its configuration at https://go.microsoft.com/fwlink/?linkid=2271236.
Share your feedback regarding your experience with `Connect-AzAccount` at: https://aka.ms/azloginfeedback

If you encounter any problem, please open an issue at: https://aka.ms/azpsissue

Subscription name                      Tenant
-----------------                      ------
Finance Department Subscription        Contoso

Na próxima vez que você fizer logon, o locatário e a assinatura previamente selecionados serão marcados como o padrão com um asterisco (*) ao lado de seu número e realçados em uma cor azul ciano. Isso permite pressionar Enter para selecionar o padrão ou digitar um número para selecionar um locatário e uma assinatura diferentes.

No    Subscription name                     Subscription ID                           Tenant name
----  ------------------------------------  ----------------------------------------  --------------
[1]   Facility Services Subscription        00000000-0000-0000-0000-000000000000      Contoso
[2] * Finance Department Subscription       00000000-0000-0000-0000-000000000000      Contoso
[3]   Human Resources Subscription          00000000-0000-0000-0000-000000000000      Contoso
[4]   Information Technology Subscription   00000000-0000-0000-0000-000000000000      Contoso

The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Finance Department Subscription (00000000-0000-0000-0000-000000000000)'.

Select a tenant and subscription (type a number or Enter to accept default): 4

Subscription name                       Tenant name
------------------------------------    --------------------------
Information Technology Subscription     Contoso

Por padrão, os comandos são executados para essa assinatura. Para mudar sua assinatura ativa, use o cmdlet Set-AzContext. Para obter mais informações, confira Objetos de contexto do Azure PowerShell.

Configurar sua assinatura padrão para logon

Para evitar que seja solicitado a selecionar uma assinatura sempre que você fizer logon interativamente, use o cmdlet Update-AzConfig para definir sua assinatura padrão, conforme mostrado no exemplo a seguir.

Update-AzConfig -DefaultSubscriptionForLogin '<subscription name or id>'

Desabilitar a nova experiência de logon

Para desabilitar a nova experiência de logon, use o cmdlet Update-AzConfig, conforme mostrado no exemplo a seguir.

Update-AzConfig -LoginExperienceV2 Off

Quando a nova experiência de logon estiver desabilitada e você tiver acesso a várias assinaturas, você será conectado à primeira assinatura retornada pelo Azure. Por padrão, os comandos são executados para essa assinatura. Para mudar sua assinatura ativa para uma sessão, use o cmdlet Set-AzContext. Para alterar sua assinatura ativa e fazer com que ela persista entre as sessões no mesmo sistema, use o cmdlet Select-AzContext.

Gerenciador de Contas da Web (WAM)

Ao iniciar com o módulo do Az PowerShell versão 12.0.0, o método de autenticação de logon padrão do Azure PowerShell para sistemas baseados no Windows é o WAM (Gerenciador de Contas Web).

O WAM é um componente do Windows 10 e superiores que atua como um agente de autenticação. Um agente de autenticação é um aplicativo executado em seu sistema que gerencia os handshakes de autenticação e a manutenção de token das contas conectadas.

Benefícios do WAM

O uso do WAM oferece vários benefícios:

• Segurança aprimorada. Confira Acesso condicional: proteção de token (versão prévia).
• Suporte para o Windows Hello, acesso condicional e chaves FIDO.
• Logon único simplificado.
• Correções de bugs e aprimoramentos fornecidos com o Windows.

Limitações do WAM

No estágio atual de desenvolvimento, há algumas limitações conhecidas do WAM:

• O WAM está disponível no Windows 10 e posterior e no Windows Server 2019 e posterior. No Linux, macOS e versões anteriores do Windows, o Azure PowerShell usa automaticamente o padrão de logon baseado em navegador.

• No momento, não há suporte para o uso do WAM para fazer logon em nuvens nacionais.

• Contas da Microsoft (por exemplo, @outlook.com ou @live.com) deve especificar o parâmetro Locatário quando usado com MFA.

  Connect-AzAccount -Tenant 00000000-0000-0000-0000-000000000000
  

Desabilitar o WAM

Para usar o logon baseado em navegador no Windows 10 e posterior ou no Windows Server 2019 e posterior com o Az 12.0.0 e superior, desabilite o WAM para uso com o Azure PowerShell. Use o comando a seguir para desabilitar o WAM e retornar ao logon baseado em navegador, o padrão antes do Az 12.0.0.

Update-AzConfig -EnableLoginByWam $false

Logon baseado em navegador

O logon baseado em navegador é o logon interativo padrão para sistemas do Linux, macOS e do Windows com mais de 10 ou Windows Server 2019. A partir do módulo do Az PowerShell versão 12.0.0, você deverá desabilitar o WAM, para que o Azure PowerShell use o logon baseado em navegador em sistemas baseados no Windows, que era o padrão antes do Az 12.0.0.

Ao entrar interativamente com o cmdlet Connect-AzAccount, o logon baseado em navegador abre o navegador da Web padrão para carregar uma página de entrada do Azure. Entre com suas credenciais de conta no navegador.

Se a CLI puder abrir seu navegador padrão, ela iniciará o fluxo do código de autorização e abrirá o navegador padrão para carregar uma página de entrada do Azure. Caso contrário, ele inicia o fluxo de código do dispositivo, que instrui você a abrir uma página do navegador com o endereço microsoft.com/devicelogin e inserir o código exibido na sessão do PowerShell.

Autenticação de código de dispositivo

Se o Gerenciador de Contas da Web ou um navegador da Web não estiver disponível ou ele não for aberto, você poderá forçar o fluxo de código do dispositivo especificando o parâmetro UseDeviceAuthentication.

Connect-AzAccount -UseDeviceAuthentication

Entrar em um locatário diferente

Se a conta estiver associada a mais de um locatário, a entrada exigirá que o parâmetro Tenant seja especificado ao se conectar. Esse parâmetro funciona com qualquer método de conexão. Ao fazer logon, esse valor de parâmetro pode ser a ID de objeto do Azure do locatário (ID do Locatário) ou o nome de domínio totalmente qualificado do locatário.

Connect-AzAccount -Tenant 00000000-0000-0000-0000-000000000000

Entrar em uma nuvem nacional

As nuvens nacionais (também conhecidas como nuvens soberanas) são instâncias fisicamente isoladas do Azure projetadas para garantir que os requisitos de residência, soberania e conformidade de dados sejam respeitados dentro dos limites geográficos. Para contas em uma nuvem regional, defina o ambiente ao entrar com o parâmetro Environment. Esse parâmetro funciona com qualquer método de conexão. Por exemplo, se sua conta estiver no Azure China 21Vianet, use o seguinte comando:

Connect-AzAccount -Environment AzureChinaCloud

Você poderá obter uma lista de ambientes de nuvens nacionais disponíveis executando o seguinte comando:

Get-AzEnvironment | Select-Object -Property Name

Confira também

• Connect-AzAccount
• Set-AzContext
• Select-AzContext
• Update-AzConfig