你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Remove-AzADSpCredential

删除服务主体的密钥凭据或密码凭据。

语法

Remove-AzADSpCredential
      -ObjectId <String>
      [-KeyId <Guid>]
      [-DefaultProfile <PSObject>]
      [-PassThru]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzADSpCredential
      [-KeyId <Guid>]
      -ServicePrincipalName <String>
      [-DefaultProfile <PSObject>]
      [-PassThru]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzADSpCredential
      [-KeyId <Guid>]
      -DisplayName <String>
      [-DefaultProfile <PSObject>]
      [-PassThru]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzADSpCredential
      [-KeyId <Guid>]
      -ServicePrincipalObject <IMicrosoftGraphServicePrincipal>
      [-DefaultProfile <PSObject>]
      [-PassThru]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

说明

删除服务主体的密钥凭据或密码凭据。

示例

示例 1:按密钥 ID 删除服务主体凭据

Remove-AzADSpCredential -DisplayName $name -KeyId $keyid

按密钥 ID 删除服务主体凭据

示例 2:从服务主体中删除所有凭据

Get-AzADServicePrincipal -DisplayName $name | Remove-AzADSpCredential

从服务主体中删除所有凭据

参数

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-DefaultProfile

用于与 Azure 通信的凭据、帐户、租户和订阅。

Type:PSObject
Aliases:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-DisplayName

服务主体的显示名称。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-KeyId

要删除的凭据的密钥 ID。

Type:Guid
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-ObjectId

服务主体的对象 ID。

Type:String
Aliases:Id
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-PassThru

命令成功时返回 true

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-ServicePrincipalName

服务主体名称。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-ServicePrincipalObject

服务主体对象可用作管道输入。 若要构造,请参阅 SERVICEPRINCIPALOBJECT 属性的 NOTES 部分,并创建哈希表。

Type:IMicrosoftGraphServicePrincipal
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-WhatIf

显示在此 cmdlet 运行的情况下将会发生什么。 此 cmdlet 未运行。

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

输入

IMicrosoftGraphServicePrincipal

输出

Boolean

备注

别名

Remove-AzADServicePrincipalCredential

复杂参数属性

若要创建下面所述的参数,请构造包含相应属性的哈希表。 有关哈希表的信息,请运行Get-Help about_Hash_Tables。

SERVICEPRINCIPALOBJECT <IMicrosoftGraphServicePrincipal>:服务主体对象可用作管道输入。

  • [(Any) <Object>]:这表示可以将任何属性添加到此对象。
  • [DeletedDateTime <DateTime?>]:
  • [DisplayName <String>]:目录中显示的名称
  • [AccountEnabled <Boolean?>]:如果启用了服务主体帐户,则为 true;否则为 false。 支持) 中的 eq、ne、NOT $filter (。
  • [AddIn <IMicrosoftGraphAddIn[]>]:定义使用服务可用于在特定上下文中调用应用的自定义行为。 例如,可以呈现文件流的应用程序可以为其“FileHandler”功能设置 addIns 属性。 这将允许 Microsoft 365 等服务在用户正在处理的文档上下文中调用应用程序。
    • [Id <String>]:
    • [Property <IMicrosoftGraphKeyValue[]>]:
      • [Key <String>]:键。
      • [Value <String>]:值。
    • [Type <String>]:
  • [AlternativeName <String[]>]:用于按订阅检索服务主体、标识资源组和托管标识的完整资源 ID。 支持 $filter (eq、NOT、ge、le、startsWith) 。
  • [AppDescription <String>]:关联应用程序公开的说明。
  • [AppDisplayName <String>]:关联应用程序公开的显示名称。
  • [AppId <String>]:关联的应用程序的唯一标识符 (其 appId 属性) 。
  • [AppOwnerOrganizationId <String>]:包含注册应用程序的租户 ID。 这仅适用于应用程序支持的服务主体。支持 $filter (eq、ne、NOT、ge、le) 。
  • [AppRole <IMicrosoftGraphAppRole[]>]:此服务主体所表示的应用程序公开的角色。 有关详细信息,请参阅应用程序实体上的 appRoles 属性定义。 不可为 Null。
    • [AllowedMemberType <String[]>]:指定可以通过设置为 ['User']) ,将此应用角色分配给用户和组 (,或者通过设置为 ['User', 'Application'] ) 将此应用角色分配给其他应用程序的 ( (。 支持分配给其他应用程序服务主体的应用角色也称为应用程序权限。 仅应用程序实体上定义的应用角色支持“应用程序”值。
    • [Description <String>]:应用角色的说明。 当分配应用角色时,如果应用角色在许可体验期间充当应用程序权限,则会显示此情况。
    • [DisplayName <String>]:应用角色分配和许可体验中显示的权限的显示名称。
    • [Id <String>]:appRoles 集合中的唯一角色标识符。 创建新应用角色时,必须提供新的 Guid 标识符。
    • [IsEnabled <Boolean?>]:创建或更新应用角色时,必须将其设置为 true (,这是默认) 。 若要删除角色,首先必须将此属性设置为 false。 此时,可以在后续调用中删除此角色。
    • [Value <String>]:指定要包含在 ID 令牌中的角色声明中的值,以及对分配的用户或服务主体进行身份验证的访问令牌。 长度不得超过 120 个字符。 允许的字符为: ! # $ % & ' ( ) * + , - . / : ; = ? @ [ ] ^ + _ { } ~,以及范围 0-9、A-Z 和 a-z 中的字符。 不允许使用任何其他字符,包括空格字符。 可能不以 .开头。
  • [AppRoleAssignedTo <IMicrosoftGraphAppRoleAssignment[]>]:此应用或服务的应用角色分配,授予用户、组和其他服务主体。支持$expand。
    • [DeletedDateTime <DateTime?>]:
    • [DisplayName <String>]:目录中显示的名称
    • [AppRoleId <String>]:分配给主体的应用角色的标识符 (ID) 。 必须在资源应用程序的服务主体 (resourceId) 的 appRoles 属性中公开此应用角色。 如果资源应用程序未声明任何应用角色,则可以指定默认应用角色 ID 为 000000000-0000-0000-0000000000000,以指示主体分配给资源应用而不具有任何特定应用角色。 创建时需要。
    • [PrincipalId <String>]:授予应用角色的用户、组或服务主体的唯一标识符 (id) 。 创建时需要。
    • [ResourceDisplayName <String>]:要向其分配的资源应用服务主体的显示名称。
    • [ResourceId <String>]:分配的资源服务主体的唯一标识符 (id) 。 创建时需要。 仅支持$filter (eq) 。
  • [AppRoleAssignment <IMicrosoftGraphAppRoleAssignment[]>]:授予此服务主体的另一个应用或服务的应用角色分配。 支持$expand。
  • [AppRoleAssignmentRequired <Boolean?>]:指定用户或其他服务主体是否需要为此服务主体授予应用角色分配,然后用户才能登录或应用获取令牌。 默认值为 false。 不可为 Null。 支持 $filter (eq、ne、NOT) 。
  • [ClaimsMappingPolicy <IMicrosoftGraphClaimsMappingPolicy[]>]:分配给此服务主体的 claimsMappingPolicies。 支持$expand。
    • [AppliesTo <IMicrosoftGraphDirectoryObject[]>]:
      • [DeletedDateTime <DateTime?>]:
      • [DisplayName <String>]:目录中显示的名称
    • [Definition <String[]>]:包含一个 JSON 字符串的字符串集合,用于定义策略的规则和设置。 定义语法因每个派生策略类型而异。 必需。
    • [IsOrganizationDefault <Boolean?>]:如果设置为 true,则激活此策略。 同一策略类型可以有多个策略,但只能激活一个策略作为组织默认值。 可选,默认值为 false。
    • [Description <String>]:此策略的说明。
    • [DeletedDateTime <DateTime?>]:
    • [DisplayName <String>]:目录中显示的名称
  • [DelegatedPermissionClassification <IMicrosoftGraphDelegatedPermissionClassification[]>]:此服务主体表示的应用公开的委托权限的权限分类。 支持$expand。
    • [Classification <String>]:permissionClassificationType
    • [PermissionId <String>]:servicePrincipal 已发布PermissionScopes 集合中列出的委托权限的唯一标识符 (id) 。 创建时需要。 不支持$filter。
    • [PermissionName <String>]:servicePrincipal 的 publishedPermissionScopes 集合中列出的委托权限的声明值 (值) 。 不支持$filter。
  • [Description <String>]:用于提供面向服务主体的内部最终用户说明的免费文本字段。 最终用户门户(例如 MyApps)在此字段中显示应用程序说明。 允许的最大大小为 1024 个字符。 支持 $filter (eq、ne、NOT、ge、le、startsWith) 和 $search。
  • [DisabledByMicrosoftStatus <String>]:指定 Microsoft 是否已禁用已注册的应用程序。 可能的值包括:null (默认值) 、NotDisabled 和 DisabledDueToViolationOfServicesAgreement (原因可能包括可疑、滥用或恶意活动,或违反 Microsoft 服务协议) 。 支持 $filter (eq、ne、NOT) 。
  • [Endpoint <IMicrosoftGraphEndpoint[]>]:可用于发现的终结点。 Sharepoint 等服务使用租户特定的 SharePoint 终结点填充此属性,其他应用程序可以在其体验中发现和使用这些终结点。
    • [DeletedDateTime <DateTime?>]:
    • [DisplayName <String>]:目录中显示的名称
  • [FederatedIdentityCredentials <IMicrosoftGraphFederatedIdentityCredential[]>]:
    • [Audience <String[]>]:列出可在外部令牌中显示的访问群体。 此字段是必需的,默认为“api://AzureADTokenExchange”。 它说,Microsoft 标识平台应该接受在传入令牌的 aud 索赔中。 此值表示外部标识提供者中的 Azure AD,并且跨标识提供者没有固定值 - 可能需要在标识提供者中创建新的应用程序注册,以充当此令牌的受众。 必需。
    • [Description <String>]:未验证的联合标识凭据的用户提供的说明。 可选。
    • [Issuer <String>]:外部标识提供者的 URL,必须与要交换的外部令牌的颁发者声明匹配。 颁发者和使用者的值的组合在应用上必须是唯一的。 必需。
    • [Name <String>]:是联合标识凭据的唯一标识符,该凭据的字符限制为 120 个字符,并且必须友好 URL。 它在创建后就不可变。 必需。 不可为 Null。 支持 $filter (eq) 。
    • [Subject <String>]:必需。 外部标识提供者中外部软件工作负荷的标识符。 与受众值一样,它没有固定格式,因为每个标识提供者都使用自己的格式-有时是 GUID,有时是冒号分隔标识符,有时是任意字符串。 此处的值必须与提供给 Azure AD 的令牌中的子声明匹配。 颁发者和使用者的组合在应用上必须是唯一的。 支持 $filter (eq) 。
  • [HomeRealmDiscoveryPolicy <IMicrosoftGraphHomeRealmDiscoveryPolicy[]>]:分配给此服务主体的 homeRealmDiscoveryPolicies。 支持$expand。
    • [AppliesTo <IMicrosoftGraphDirectoryObject[]>]:
    • [Definition <String[]>]:包含一个 JSON 字符串的字符串集合,用于定义策略的规则和设置。 定义语法因每个派生策略类型而异。 必需。
    • [IsOrganizationDefault <Boolean?>]:如果设置为 true,则激活此策略。 同一策略类型可以有多个策略,但只能激活一个策略作为组织默认值。 可选,默认值为 false。
    • [Description <String>]:此策略的说明。
    • [DeletedDateTime <DateTime?>]:
    • [DisplayName <String>]:目录中显示的名称
  • [Homepage <String>]:应用程序的主页或登陆页。
  • [Info <IMicrosoftGraphInformationalUrl>]:informationalUrl
  • [KeyCredentials <IMicrosoftGraphKeyCredential[]>]:与服务主体关联的密钥凭据的集合。 不可为 Null。 支持 $filter (eq、NOT、ge、le) 。
    • [CustomKeyIdentifier <Byte[]>]:自定义密钥标识符
    • [DisplayName <String>]:键的友好名称。 可选。
    • [EndDateTime <DateTime?>]:凭据过期的日期和时间。时间戳类型表示使用 ISO 8601 格式的日期和时间信息,并且始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z
    • [Key <Byte[]>]:密钥凭据的值。 应为 base 64 编码值。
    • [KeyId <String>]:密钥的唯一标识符 (GUID) 。
    • [StartDateTime <DateTime?>]:凭据生效的日期和时间。时间戳类型表示使用 ISO 8601 格式的日期和时间信息,并且始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z
    • [Type <String>]:密钥凭据的类型;例如,“Symmetric”。
    • [Usage <String>]:一个字符串,描述可以使用密钥的用途;例如,“Verify”。
  • [LoginUrl <String>]:指定服务提供商将用户重定向到 Azure AD 进行身份验证的 URL。 Azure AD 使用 URL 从 Microsoft 365 或 Azure AD 我的应用启动应用程序。 空时,Azure AD 对配置了基于 SAML 的单一登录的应用程序执行 IdP 发起的登录。 用户从 Microsoft 365、Azure AD 我的应用 或 Azure AD SSO URL 启动应用程序。
  • [LogoutUrl <String>]:指定 Microsoft 授权服务将使用的 URL,以使用 OpenId Connect 前端通道、后通道或 SAML 注销协议注销用户。
  • [Note <String>]:用于捕获有关服务主体的信息的免费文本字段,通常用于操作目的。 允许的最大大小为 1024 个字符。
  • [NotificationEmailAddress <String[]>]:指定 Azure AD 在活动证书接近到期日期时发送通知的电子邮件地址列表。 这仅适用于用于为 Azure AD 库应用程序颁发的 SAML 令牌签名的证书。
  • [Oauth2PermissionScope <IMicrosoftGraphPermissionScope[]>]:应用程序公开的委托权限。 有关详细信息,请参阅应用程序实体 API 属性上的 oauth2PermissionScopes 属性。 不可为 Null。
    • [AdminConsentDescription <String>]:委派权限的说明,旨在由管理员代表所有用户授予权限。 此文本显示在租户范围的管理员同意体验中。
    • [AdminConsentDisplayName <String>]:权限的标题,旨在由管理员代表所有用户授予权限。
    • [Id <String>]:资源应用程序定义的委派权限集合中的唯一委托权限标识符。
    • [IsEnabled <Boolean?>]:创建或更新权限时,此属性必须设置为 true (,这是默认) 。 若要删除权限,首先必须将此属性设置为 false。 此时,可以在后续调用中删除该权限。
    • [Origin <String>]:
    • [Type <String>]:指定是否应将此委派权限视为安全,以便非管理员用户代表自己同意,还是需要管理员才能同意权限。 这是默认行为,但每个客户都可以选择通过允许、限制或限制用户同意此委派权限来自定义其组织中的行为 (。)
    • [UserConsentDescription <String>]:委派权限的说明,旨在由代表自己授予权限的用户读取。 此文本显示在用户仅代表自己同意的同意体验中。
    • [UserConsentDisplayName <String>]:权限的标题,旨在由代表自己授予权限的用户读取。 此文本显示在用户仅代表自己同意的同意体验中。
    • [Value <String>]:指定要包含在 scp (范围中的值) 访问令牌中的声明。 长度不得超过 120 个字符。 允许的字符为: ! # $ % & ' ( ) * + , - . / : ; = ? @ [ ] ^ + _ { } ~,以及范围 0-9、A-Z 和 a-z 中的字符。 不允许使用任何其他字符,包括空格字符。 可能不以 .开头。
  • [PasswordCredentials <IMicrosoftGraphPasswordCredential[]>]:与服务主体关联的密码凭据集合。 不可为 Null。
    • [CustomKeyIdentifier <Byte[]>]:请勿使用。
    • [DisplayName <String>]:密码的友好名称。 可选。
    • [EndDateTime <DateTime?>]:密码过期的日期和时间使用 ISO 8601 格式表示,并且始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 可选。
    • [KeyId <String>]:密码的唯一标识符。
    • [StartDateTime <DateTime?>]:密码生效的日期和时间。 时间戳类型表示使用 ISO 8601 格式的日期和时间信息,并且始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 可选。
  • [PreferredSingleSignOnMode <String>]:指定为此应用程序配置的单一登录模式。 Azure AD 使用首选的单一登录模式从 Microsoft 365 或 Azure AD 我的应用启动应用程序。 支持的值是密码、saml、notSupported 和 oidc。
  • [PreferredTokenSigningKeyThumbprint <String>]:仅供内部使用。 请不要编写或依赖于此属性。 可能会在将来的版本中删除。
  • [ReplyUrl <String[]>]:将用户令牌发送到的 URL 以与关联的应用程序登录,或 OAuth 2.0 授权代码和访问令牌发送到关联的应用程序的重定向 URI。 不可为 Null。
  • [SamlSingleSignOnSetting <IMicrosoftGraphSamlSingleSignOnSettings>]:samlSingleSignOnSettings
    • [(Any) <Object>]:这表示可以将任何属性添加到此对象。
    • [RelayState <String>]:服务提供商在完成单一登录流后会重定向到的相对 URI。
  • [ServicePrincipalName <String[]>]:包含从关联的应用程序复制的 identifiersUris 列表。 可以将其他值添加到混合应用程序。 这些值可用于标识 Azure AD 中此应用公开的权限。 例如,客户端应用可以指定一个资源 URI,该 URI 基于此属性的值来获取访问令牌,这是“aud”声明中返回的 URI。对于多值属性的筛选器表达式,需要任何运算符。 不可为 Null。 支持 $filter (eq、NOT、ge、le、startsWith) 。
  • [ServicePrincipalType <String>]:标识服务主体是否表示应用程序或托管标识。 这是 Azure AD 在内部设置的。 对于表示应用程序的服务主体,此主体设置为应用程序。 对于表示托管标识的服务主体,此标识设置为 ManagedIdentity。
  • [Tag <String[]>]:可用于对服务主体进行分类和标识的自定义字符串。 不可为 Null。 支持 $filter (eq、NOT、ge、le、startsWith) 。
  • [TokenEncryptionKeyId <String>]:指定 keyCredentials 集合中公钥的 keyId。 配置后,Azure AD 会颁发使用此属性指定的密钥加密的此应用程序的令牌。 接收加密令牌的应用程序代码必须使用匹配的私钥来解密令牌,然后才能将其用于登录用户。
  • [TokenIssuancePolicy <IMicrosoftGraphTokenIssuancePolicy[]>]:分配给此服务主体的 tokenIssuancePolicies。 支持$expand。
    • [AppliesTo <IMicrosoftGraphDirectoryObject[]>]:
    • [Definition <String[]>]:包含一个 JSON 字符串的字符串集合,用于定义策略的规则和设置。 定义语法因每个派生策略类型而异。 必需。
    • [IsOrganizationDefault <Boolean?>]:如果设置为 true,则激活此策略。 同一策略类型可以有多个策略,但只能激活一个策略作为组织默认值。 可选,默认值为 false。
    • [Description <String>]:此策略的说明。
    • [DeletedDateTime <DateTime?>]:
    • [DisplayName <String>]:目录中显示的名称
  • [TokenLifetimePolicy <IMicrosoftGraphTokenLifetimePolicy[]>]:分配给此服务主体的 tokenLifetimePolicies。 支持$expand。
    • [AppliesTo <IMicrosoftGraphDirectoryObject[]>]:
    • [Definition <String[]>]:包含一个 JSON 字符串的字符串集合,用于定义策略的规则和设置。 定义语法因每个派生策略类型而异。 必需。
    • [IsOrganizationDefault <Boolean?>]:如果设置为 true,则激活此策略。 同一策略类型可以有多个策略,但只能激活一个策略作为组织默认值。 可选,默认值为 false。
    • [Description <String>]:此策略的说明。
    • [DeletedDateTime <DateTime?>]:
    • [DisplayName <String>]:目录中显示的名称
  • [TransitiveMemberOf <IMicrosoftGraphDirectoryObject[]>]: