共用方式為


az ad sp

管理 Microsoft Entra 服務主體。

命令

名稱 Description 類型 狀態
az ad sp create

建立服務主體。

核心 GA
az ad sp create-for-rbac

建立服務主體,並設定其對 Azure 資源的存取。

核心 GA
az ad sp credential

管理服務主體的密碼或憑證認證。

核心 GA
az ad sp credential delete

刪除服務主體的密碼或憑證認證。

核心 GA
az ad sp credential list

列出服務主體的密碼或憑證認證元數據。 (無法擷取密碼或憑證認證的內容。

核心 GA
az ad sp credential reset

重設服務主體的密碼或憑證認證。

核心 GA
az ad sp delete

刪除服務主體。

核心 GA
az ad sp list

列出服務主體。

核心 GA
az ad sp owner

管理服務主體擁有者。

核心 GA
az ad sp owner list

列出服務主體擁有者。

核心 GA
az ad sp show

取得服務主體的詳細數據。

核心 GA
az ad sp update

更新服務主體。

核心 GA

az ad sp create

建立服務主體。

az ad sp create --id

範例

建立服務主體。 ( 自動產生 )

az ad sp create --id 00000000-0000-0000-0000-000000000000

必要參數

--id

相關聯應用程式的識別碼 URI、應用程式識別碼或物件識別碼。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az ad sp create-for-rbac

建立服務主體,並設定其對 Azure 資源的存取。

輸出包含您必須保護的認證。 請確定您未在程式代碼中包含這些認證,或將認證簽入原始檔控制。 或者,如果有的話,請考慮使用 受控識別 ,以避免需要使用認證。

根據預設,此命令不會將任何角色指派給服務主體。 您可以使用 --role 和 --scopes 來指派特定角色,並將範圍縮小至資源或資源群組。 您稍後也可以使用 az role assignment create 來建立此服務主體的角色指派。 如需詳細資訊,請參閱 新增角色指派 的步驟。

az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--display-name]
                         [--json-auth {false, true}]
                         [--keyvault]
                         [--role]
                         [--scopes]
                         [--years]

範例

建立不含角色指派。

az ad sp create-for-rbac

使用自定義顯示名稱建立。

az ad sp create-for-rbac -n MyApp

使用指定範圍上的參與者角色指派建立。 若要擷取目前的訂用帳戶標識碼,請執行 'az account show --query id --output tsv'。

az ad sp create-for-rbac -n MyApp --role Contributor --scopes /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup2

使用自我簽署憑證建立。

az ad sp create-for-rbac --create-cert

使用自我簽署憑證建立,並將它儲存在 KeyVault 中。

az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert

在 KeyVault 中使用現有的憑證建立。

az ad sp create-for-rbac --keyvault MyVault --cert CertName

選擇性參數

--cert

要用於認證的憑證。 搭配 --keyvault,使用 時,表示要使用的憑證名稱或建立。 否則,請提供 PEM 或 DER 格式化的公用憑證字串。 使用 @{path} 從檔案載入。 請勿包含私鑰資訊。

--create-cert

建立要用於認證的自我簽署憑證。 只有目前的OS使用者具有此憑證的讀取/寫入許可權。 使用 搭配 --keyvault 在 金鑰保存庫 中建立憑證。 否則,將會在本機建立憑證。

預設值: False
--display-name --name -n

服務主體的顯示名稱。 如果不存在,則預設為 azure-cli-%Y-%m-%d-%H-%M-%S,其中後綴是建立時間。

--json-auth --sdk-auth
已被取代

選項 '--sdk-auth' 已被取代,將在未來的版本中移除。

輸出服務主體認證以及 JSON 格式的雲端端點。

接受的值: false, true
--keyvault

用來建立或擷取憑證之KeyVault的名稱或標識碼。

--role

服務主體的角色。

--scopes

服務主體角色指派所套用的範圍空間分隔清單。例如,subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

--years

認證有效年份。 默認值:1 年。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az ad sp delete

刪除服務主體。

az ad sp delete --id

範例

刪除服務主體。

az ad sp delete --id 00000000-0000-0000-0000-000000000000

必要參數

--id

服務主體名稱或物件識別碼。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az ad sp list

列出服務主體。

針對低延遲,預設只會傳回前 100 個,除非您提供篩選自變數或使用 “--all”。

az ad sp list [--all]
              [--display-name]
              [--filter]
              [--show-mine]
              [--spn]

選擇性參數

--all

列出所有實體,如果大型組織下,預期會有長時間延遲。

--display-name

對象的顯示名稱或其前置詞。

--filter

OData 篩選,例如 --filter “displayname eq 'test' and servicePrincipalType eq 'Application'”。

--show-mine

列出目前用戶所擁有的實體。

--spn

服務主體名稱。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az ad sp show

取得服務主體的詳細數據。

az ad sp show --id

範例

使用 appId 取得服務主體的詳細數據。

az ad sp show --id 00000000-0000-0000-0000-000000000000

取得標識碼為的服務主體詳細數據。

az ad sp show --id 00000000-0000-0000-0000-000000000000

取得標識碼 URI 的服務主體詳細數據。

az ad sp show --id api://myapp

必要參數

--id

服務主體名稱或物件識別碼。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az ad sp update

更新服務主體。

az ad sp update --id
                [--add]
                [--force-string]
                [--remove]
                [--set]

範例

更新服務主體 (自動產生)

az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All

必要參數

--id

服務主體名稱或物件識別碼。

選擇性參數

--add

藉由指定路徑和索引鍵值組,將物件加入物件清單。 範例:--add property.listProperty <key=value, string or JSON string>

預設值: []
--force-string

使用 'set' 或 'add' 時,請保留字串常值,而不是嘗試轉換成 JSON。

預設值: False
--remove

從清單中移除屬性或專案。 範例: --remove property.list <indexToRemove>--remove propertyToRemove

預設值: []
--set

指定要設定的屬性路徑和值,以更新物件。 範例:--set property1.property2=<value>

預設值: []
全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。