Partilhar via


az ad sp

Gerencie entidades de serviço do Microsoft Entra.

Comandos

Name Description Tipo Estado
az ad sp create

Crie uma entidade de serviço.

Principal GA
az ad sp create-for-rbac

Crie uma entidade de serviço e configure seu acesso aos recursos do Azure.

Principal GA
az ad sp credential

Gerencie a senha ou as credenciais de certificado de uma entidade de serviço.

Principal GA
az ad sp credential delete

Exclua a senha ou as credenciais de certificado de uma entidade de serviço.

Principal GA
az ad sp credential list

Liste os metadados de senha ou credencial de certificado de uma entidade de serviço. (O conteúdo da senha ou credencial de certificado não pode ser recuperado.)

Principal GA
az ad sp credential reset

Redefina a senha ou as credenciais de certificado de uma entidade de serviço.

Principal GA
az ad sp delete

Exclua uma entidade de serviço.

Principal GA
az ad sp list

Listar entidades de serviço.

Principal GA
az ad sp owner

Gerencie os proprietários da entidade de serviço.

Principal GA
az ad sp owner list

Listar proprietários de entidade de serviço.

Principal GA
az ad sp show

Obtenha os detalhes de uma entidade de serviço.

Principal GA
az ad sp update

Atualize uma entidade de serviço.

Principal GA

az ad sp create

Crie uma entidade de serviço.

az ad sp create --id

Exemplos

Crie uma entidade de serviço. (gerado automaticamente)

az ad sp create --id 00000000-0000-0000-0000-000000000000

Parâmetros Obrigatórios

--id

Uri do identificador, id do aplicativo ou id do objeto do aplicativo associado.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
valor predefinido: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az ad sp create-for-rbac

Crie uma entidade de serviço e configure seu acesso aos recursos do Azure.

A saída inclui credenciais que você deve proteger. Certifique-se de que não inclui estas credenciais no seu código nem regista as credenciais no seu controlo de código fonte. Como alternativa, considere o uso de identidades gerenciadas, se disponíveis, para evitar a necessidade de usar credenciais.

Por padrão, esse comando não atribui nenhuma função à entidade de serviço. Você pode usar --role e --scopes para atribuir uma função específica e restringir o escopo a um recurso ou grupo de recursos. Você também pode usar az role assignment create para criar atribuições de função para essa entidade de serviço mais tarde. Consulte as etapas para adicionar uma atribuição de função para obter mais informações.

az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--display-name]
                         [--json-auth {false, true}]
                         [--keyvault]
                         [--role]
                         [--scopes]
                         [--years]

Exemplos

Criar sem atribuição de função.

az ad sp create-for-rbac

Crie usando um nome de exibição personalizado.

az ad sp create-for-rbac -n MyApp

Crie com atribuições de função de Colaborador em escopos especificados. Para recuperar o ID da assinatura atual, execute 'az account show --query id --output tsv'.

az ad sp create-for-rbac -n MyApp --role Contributor --scopes /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup2

Crie usando um certificado autoassinado.

az ad sp create-for-rbac --create-cert

Crie usando um certificado autoassinado e armazene-o no KeyVault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert

Crie usando o certificado existente no KeyVault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName

Parâmetros Opcionais

--cert

Certificado a ser usado para credenciais. Quando usado com --keyvault,, indica o nome do certificado a ser usado ou criado. Caso contrário, forneça uma cadeia de caracteres de certificado público formatado PEM ou DER. Use @{path} para carregar a partir de um arquivo. Não inclua informações de chave privada.

--create-cert

Crie um certificado autoassinado para usar para a credencial. Somente o usuário atual do sistema operacional tem permissão de leitura/gravação para este certificado. Use com --keyvault para criar o certificado no Cofre da Chave. Caso contrário, um certificado será criado localmente.

valor predefinido: False
--display-name --name -n

Nome para exibição da entidade de serviço. Se não estiver presente, o padrão será azure-cli-%Y-%m-%d-%H-%M-%S onde o sufixo é a hora da criação.

--json-auth --sdk-auth
Preterido

A opção '--sdk-auth' foi preterida e será removida em uma versão futura.

Credencial da entidade de serviço de saída junto com pontos de extremidade de nuvem no formato JSON.

valores aceites: false, true
--keyvault

Nome ou ID de um KeyVault a ser usado para criar ou recuperar certificados.

--role

Papel da entidade de serviço.

--scopes

Lista separada por espaços dos escopos aos quais a atribuição de função da entidade de serviço se aplica. por exemplo, subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--years

Número de anos durante os quais as credenciais serão válidas. Padrão: 1 ano.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
valor predefinido: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az ad sp delete

Exclua uma entidade de serviço.

az ad sp delete --id

Exemplos

Exclua uma entidade de serviço.

az ad sp delete --id 00000000-0000-0000-0000-000000000000

Parâmetros Obrigatórios

--id

Nome da entidade de serviço ou ID do objeto.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
valor predefinido: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az ad sp list

Listar entidades de serviço.

Para latência baixa, por padrão, apenas os primeiros 100 serão retornados, a menos que você forneça argumentos de filtro ou use "--all".

az ad sp list [--all]
              [--display-name]
              [--filter]
              [--show-mine]
              [--spn]

Parâmetros Opcionais

--all

Liste todas as entidades, espere um longo atraso se estiver sob uma grande organização.

--display-name

Nome de exibição do objeto ou seu prefixo.

--filter

Filtro OData, por exemplo, --filter "displayname eq 'test' e servicePrincipalType eq 'Application'".

--show-mine

Listar entidades de propriedade do usuário atual.

--spn

Nome da entidade de serviço.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
valor predefinido: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az ad sp show

Obtenha os detalhes de uma entidade de serviço.

az ad sp show --id

Exemplos

Obtenha os detalhes de uma entidade de serviço com appId.

az ad sp show --id 00000000-0000-0000-0000-000000000000

Obtenha os detalhes de uma entidade de serviço com id.

az ad sp show --id 00000000-0000-0000-0000-000000000000

Obtenha os detalhes de uma entidade de serviço com identificador URI.

az ad sp show --id api://myapp

Parâmetros Obrigatórios

--id

Nome da entidade de serviço ou ID do objeto.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
valor predefinido: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az ad sp update

Atualize uma entidade de serviço.

az ad sp update --id
                [--add]
                [--force-string]
                [--remove]
                [--set]

Exemplos

Atualizar uma entidade de serviço (gerada automaticamente)

az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All

Parâmetros Obrigatórios

--id

Nome da entidade de serviço ou ID do objeto.

Parâmetros Opcionais

--add

Adicione um objeto a uma lista de objetos especificando um caminho e pares de valor de chave. Exemplo: --add property.listProperty <key=value, string or JSON string>.

valor predefinido: []
--force-string

Ao usar 'set' ou 'add', preserve literais de string em vez de tentar converter para JSON.

valor predefinido: False
--remove

Remova uma propriedade ou um elemento de uma lista. Exemplo: --remove property.list <indexToRemove> OR --remove propertyToRemove.

valor predefinido: []
--set

Atualize um objeto especificando um caminho de propriedade e um valor a ser definido. Exemplo: --set property1.property2=<value>.

valor predefinido: []
Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
valor predefinido: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.