Logga in på Azure PowerShell icke-interaktivt för automatiseringsscenarier

En hanterad identitet i Azure ger ett säkert och sömlöst sätt för program, tjänster och automatiseringsverktyg att komma åt Azure-resurser utan att lagra autentiseringsuppgifter i kod eller konfiguration. Till skillnad från tjänstens huvudnamn, som kräver manuell hantering av autentiseringsuppgifter, hanterar Azure automatiskt hanterade identiteter och exponerar inte känsliga hemligheter. Att använda en hanterad identitet är det bästa sättet att skriva säkra automatiseringsskript eftersom det förenklar autentiseringen och minimerar risken för läckage av autentiseringsuppgifter. Hanterade identiteter hjälper också till att automatisera hanteringsuppgifter på ett säkert sätt utan att förlita sig på användaridentiteter. Behörigheter för hanterade identiteter hanteras via Microsoft Entra, vilket säkerställer att de bara har nödvändig åtkomst till resurser, vilket förbättrar både säkerhet och underhåll.

Viktigt

Från och med början av 2025 krävs multifaktorautentisering (MFA) för att autentisera till Azure från Azure PowerShell med hjälp av en Användaridentitet för Microsoft Entra-ID. Mer information finns i Effekten av multifaktorautentisering på Azure PowerShell i automationsscenarier.

Förutsättningar

• Installera den senaste versionen av Az PowerShell-modulen.

Logga in med en hanterad identitet

Hanterade identiteter är en särskild typ av tjänsthuvudnamn som tillhandahåller Azure-tjänster med en automatiskt hanterad identitet. Att använda den här typen av identitet kräver inte lagring av autentiseringsuppgifter i konfiguration eller kod för att autentisera till någon Azure-tjänst som stöder hanterade identiteter.

Det finns två typer av hanterade identiteter:

• Systemtilldelad hanterad identitet
• Användartilldelad hanterad identitet

Hanterade identiteter är ett säkert sätt att kommunicera med andra Azure-tjänster utan att utvecklare behöver hantera autentiseringsuppgifter. De hjälper också till att minska risken för läckage av autentiseringsuppgifter.

Så här fungerar hanterade identiteter i verkliga scenarier:

• Azure hanterar automatiskt skapandet och borttagningen av de autentiseringsuppgifter som används av den hanterade identiteten.
• En Azure-tjänst som är aktiverad med en hanterad identitet kan komma åt andra tjänster på ett säkert sätt, till exempel Azure Key Vault, Azure SQL Database, Azure Blob Storage osv. med hjälp av Microsoft Entra-token.
• Den här identiteten hanteras direkt i Azure utan ytterligare etablering.

Hanterade identiteter förenklar säkerhetsmodellen genom att undvika behovet av att lagra och hantera autentiseringsuppgifter, och de spelar en avgörande roll i säkra molnåtgärder genom att minska risken för hantering av hemligheter.

Systemtilldelad hanterad identitet

Azure skapar automatiskt en systemtilldelad hanterad identitet för en Azure-tjänstinstans (till exempel en virtuell Azure-dator, App Service eller Azure Functions). När tjänstinstansen tas bort rensar Azure automatiskt autentiseringsuppgifterna och identiteten som är associerad med tjänsten.

Följande exempel ansluter med hjälp av en systemtilldelad hanterad identitet i värdmiljön. Om den körs på en virtuell dator med en tilldelad hanterad identitet kan koden logga in med den tilldelade identiteten.

Azure PowerShell

 Connect-AzAccount -Identity

Användartilldelad hanterad identitet

En användartilldelad hanterad identitet är en identitet som du skapar och hanterar i Microsoft Entra. Den kan tilldelas till en eller flera Azure-tjänstinstanser. Livscykeln för en användartilldelad hanterad identitet hanteras separat från de tjänstinstanser som den har tilldelats.

När du använder en användartilldelad hanterad identitet måste du ange parametrarna AccountId och Identity, enligt följande exempel.

Azure PowerShell

 Connect-AzAccount -Identity -AccountId <user-assigned-identity-clientId-or-resourceId>

Följande kommandon ansluter med hjälp av den hanterade identiteten för myUserAssignedIdentity. Den lägger till den användartilldelade identiteten till den virtuella datorn och ansluter sedan med hjälp av ClientId- för den användartilldelade identiteten.

Azure PowerShell

$identity = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name myUserAssignedIdentity
Get-AzVM -ResourceGroupName contoso -Name testvm | Update-AzVM -IdentityType UserAssigned -IdentityId $identity.Id
Connect-AzAccount -Identity -AccountId $identity.ClientId # Run on the virtual machine

Output

Account                              SubscriptionName TenantId                             Environment
-------                              ---------------- --------                             -----------
00000000-0000-0000-0000-000000000000 My Subscription  00000000-0000-0000-0000-000000000000 AzureCloud

Mer information finns i Konfigurera hanterade identiteter för Azure-resurser på en virtuell Azure-dator.

Logga in med tjänstens huvudnamn

Om du vill logga in med tjänstens huvudnamn använder du parametern ServicePrincipal för cmdleten Connect-AzAccount. Du behöver också följande information för tjänstens huvudnamn:

• AppId
• Inloggningsuppgifter eller åtkomst till certifikatet som används för att skapa tjänstens huvudnamn
• Tenant-ID

Hur du loggar in med tjänstens huvudnamn beror på om det är konfigurerat för certifikatbaserad eller lösenordsbaserad autentisering.

Certifikatbaserad autentisering

Information om hur du skapar ett huvudnamn för tjänsten för Azure PowerShell finns i Skapa ett Huvudnamn för Azure-tjänsten med Azure PowerShell.

Certifikatbaserad autentisering kräver att Azure PowerShell hämtar information från ett lokalt certifikatarkiv baserat på ett tumavtryck för certifikatet.

Azure PowerShell

Connect-AzAccount -ApplicationId $appId -Tenant $tenantId -CertificateThumbprint <thumbprint>

När du använder tjänstens huvudnamn i stället för ett registrerat program anger du parametern ServicePrincipal och anger tjänstens huvudnamns AppId som värde för parametern ApplicationId.

Azure PowerShell

Connect-AzAccount -ServicePrincipal -ApplicationId $servicePrincipalId -Tenant $tenantId -CertificateThumbprint <thumbprint>

I Windows PowerShell 5.1 kan certifikatarkivet hanteras och inspekteras med modulen PKI. För PowerShell 7.x och senare är processen annorlunda. Följande skript visar hur du importerar ett befintligt certifikat till certifikatarkivet som är tillgängligt för PowerShell.

Importera ett certifikat i PowerShell 7.x och senare

PowerShell

# Import a PFX
$storeName = [System.Security.Cryptography.X509Certificates.StoreName]::My
$storeLocation = [System.Security.Cryptography.X509Certificates.StoreLocation]::CurrentUser
$store = [System.Security.Cryptography.X509Certificates.X509Store]::new($storeName, $storeLocation)
$certPath = <path to certificate>
$credentials = Get-Credential -Message "Provide PFX private key password"
$flag = [System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($certPath, $credentials.Password, $flag)
$store.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$store.Add($Certificate)
$store.Close()

Importera ett certifikat i Windows PowerShell 5.1

PowerShell

# Import a PFX
$credentials = Get-Credential -Message 'Provide PFX private key password'
Import-PfxCertificate -FilePath <path to certificate> -Password $credentials.Password -CertStoreLocation cert:\CurrentUser\My

Lösenordsbaserad autentisering

Skapa ett huvudnamn för tjänsten som ska användas med exemplen i det här avsnittet. Mer information om hur du skapar tjänstens huvudnamn finns i Skapa ett Huvudnamn för Azure-tjänsten med Azure PowerShell.

Azure PowerShell

$sp = New-AzADServicePrincipal -DisplayName ServicePrincipalName

Varning

Den angivna hemligheten för tjänstens huvudnamn lagras i filen AzureRmContext.json i användarprofilen ($env:USERPROFILE\.Azure). Se till att den här katalogen har rätt skydd.

Om du vill hämta inloggningsuppgifterna för service principal som ett objekt använder du cmdleten Get-Credential. Den här cmdleten frågar efter ett användarnamn och lösenord. Använd tjänstens huvudnamns AppId för användarnamnet och konvertera dess secret till oformaterad text för lösenordet.

Azure PowerShell

# Retrieve the plain text password for use with Get-Credential in the next command.
$sp.PasswordCredentials.SecretText

$pscredential = Get-Credential -UserName $sp.AppId
Connect-AzAccount -ServicePrincipal -Credential $pscredential -Tenant $tenantId

För automatiseringsscenarier måste du skapa autentiseringsuppgifter från en tjänstehuvudmans AppId och SecretText:

Azure PowerShell

$SecureStringPwd = $sp.PasswordCredentials.SecretText | ConvertTo-SecureString -AsPlainText -Force
$pscredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $sp.AppId, $SecureStringPwd
Connect-AzAccount -ServicePrincipal -Credential $pscredential -Tenant $tenantId

Använd lämpliga metoder för lösenordslagring när du automatiserar anslutningar för serviceprincipaler.

Se även

• Skapa ett Huvudnamn för Azure-tjänsten med Azure PowerShell
• Vad är hanterade identiteter för Azure-resurser?
• Tilldela en hanterad identitet åtkomst till en resurs med hjälp av PowerShell
• Visa tjänstens huvudprincip för en hanterad identitet med hjälp av PowerShell
• Connect-AzAccount
• New-AzADServicePrincipal
• Get-Credential