Azure CLI 支援數種驗證方法。 若要保護您的 Azure 資源安全,請限制使用案例的登入許可權。
使用 Azure CLI 登入 Azure
使用 Azure CLI 時有四個驗證選項:
| 驗證方法 | 優勢 |
|---|---|
| Azure Cloud Shell | Azure Cloud Shell 會自動登入您,這是最簡單的使用方式。 |
| 以互動方式登入 | 當學習 Azure CLI 命令並在本機執行 Azure CLI 時,此選項是很好的選擇。 使用 az login 命令,您可以透過瀏覽器登入。 互動式登入也會提供訂用帳戶選取器,以自動設定您的預設訂用帳戶。 |
| 使用受控識別登入 | 受控識別 提供 Azure 受控識別,讓應用程式在連線到支援Microsoft Entra 驗證的資源時使用。 使用受控識別不需要管理秘密、認證、憑證和金鑰。 |
| 使用服務主體登入 | 當您撰寫文本時,使用 服務主體 是建議的驗證方法。 您可以只授與服務主體所需的適當許可權,以保護您的自動化。 |
多重要素驗證 (MFA)
從 2025 年 9 月開始,Microsoft需要 Azure CLI 和其他命令行工具的多重要素驗證 (MFA)。 這項變更僅適用於Microsoft Entra ID 使用者身分識別 ,且不會影響工作負載身分識別,例如 服務主體 或 受控識別。
如果您使用 az login 使用者名稱和密碼來驗證腳本或自動化工作流程,現在是移轉至工作負載身分識別的時候。 如需詳細資訊,請參閱 自動化案例中的多重要素驗證對 Azure CLI 的影響。
尋找或變更您目前的訂用帳戶
登入之後,CLI 命令會針對預設訂用帳戶執行。 如果您有多個訂用帳戶,請使用 az account set --subscription變更預設訂用帳戶。
az account set --subscription "<subscription ID or name>"
若要深入瞭解如何管理 Azure 訂用帳戶,請參閱 如何使用 Azure CLI 管理 Azure 訂用帳戶。
重新整理令牌
當您使用使用者帳戶登入時,Azure CLI 會產生並儲存驗證重新整理令牌。 由於存取令牌的有效時間很短,因此會在發出存取令牌的同時發出更新令牌。 接著客戶端應用程式可以視需要使用此重新整理令牌兌換新的存取令牌。 如需令牌存留期和到期的詳細資訊,請參閱 在Microsoft身分識別平臺中重新整理令牌。
使用 az account get-access-token 命令來擷取存取令牌:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
以下是有關存取令牌到期日的其他一些資訊:
- 到期日會以 MSAL 型 Azure CLI 支援的格式進行更新。
- 從 Azure CLI 2.54.0 開始,
az account get-access-token傳回expires_on屬性以及用於令牌到期時間的expiresOn屬性。 -
expires_on屬性代表可攜式操作系統介面 (POSIX) 時間戳,而expiresOn屬性則代表本機日期時間。 - 當日光節約時間結束時,
expiresOn屬性不會顯示「折疊」狀態。 這可能會導致採用日光節約時間的國家/地區發生問題。 如需了解「折疊」的技術背景,請參閱PEP 495 – 本地時間消歧義。 - 我們建議下游應用程式使用
expires_on屬性,因為它使用通用時間代碼 (UTC)。
範例輸出:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
備註
根據您的登入方法,您的租使用者可能會有 條件式存取 原則,以限制您對特定資源的存取。
另請參閱
- Azure CLI 入門速查表
- 使用 Azure CLI 管理 Azure 訂用帳戶
- 尋找 Azure CLI 範例 和 已發佈的文章。
