您已經學會如何建立、擷取及操作服務主體。 現在您已完成本教學課程,現在可以清除已建立的服務主體資源。
清除服務主體資源
拿掉本教學課程中使用的所有資源,最安全的方式是使用 az group delete。 參數 --no-wait 會防止 CLI 在刪除時封鎖。
az group delete --name myResourceGroup --no-wait
如果您想要,請使用 az ad sp delete 命令來刪除個別服務主體。
az ad sp delete --id myServicePrincipalID
針對服務主體進行疑難解答
雖然您已完成本教學課程,但您可能仍有有關本節中可回答之服務主體的問題。
權限不足
如果您的帳戶沒有建立服務主體的許可權, az ad sp create-for-rbac 則傳回包含「許可權不足而無法完成作業」的錯誤訊息。請連絡您的Microsoft Entra 系統管理員以取得 User Access Administrator 或 Role Based Access Control Administrator 許可權。
無效的租戶
如果您指定了無效的訂用帳戶標識碼,您會看到錯誤訊息「要求沒有訂用帳戶或有效的租用戶層級資源提供者」。如果使用變數,請使用Bash echo 命令來查看傳遞至參考命令的值。 使用 az account set 變更您的訂用帳戶,或 瞭解如何使用 Azure CLI 管理 Azure 訂用帳戶。
找不到資源群組
如果您指定了無效的資源組名,您會看到錯誤訊息「找不到資源組名」。如果使用變數,請使用Bash echo 命令來查看傳遞至訂用帳戶和參考命令的值。 使用 az group list 查看目前訂用帳戶的資源群組,或 瞭解如何使用 Azure CLI 管理 Azure 資源群組。
執行動作的授權
如果您的帳戶沒有指派角色的許可權,您會看到顯示錯誤訊息:「您的帳戶沒有執行 'Microsoft.Authorization/roleAssignments/write' 動作的授權。」請聯絡 Microsoft Entra 系統管理員以管理角色。
需要互動式驗證
使用密碼驗證登入時,如果您的組織需要多重要素驗證,則會出現錯誤訊息「需要互動式驗證」。 切換至憑證式驗證,或考慮使用 受控識別。
需要符合規範的裝置
如果您嘗試使用不符合組織存取原則的裝置來建立服務主體,您會收到訊息「...條件式存取原則需要符合規範的裝置...。 切換至符合您組織存取原則的計算機。
潛在的身份修改風險
az ad sp create-for-rbac和az ad app create指令可以修改現有的應用程式或服務主體,如果其他物件共用相同的顯示名稱。 顯示名稱不是唯一的,而且可能會變更,這可能會導致認證遺失或不正確的 RBAC 指派。 請改用 唯一的物件 ID 或應用程式 ID 。
