使用 Azure PowerShell 來建立 Azure 服務主體

使用 Azure 服務的自動化工具應該一律具有限制的許可權。 有別於以完整權限使用者身分登入應用程式的作法，Azure 提供服務主體。

Azure 服務主體是用來與應用程式、託管服務和自動化工具來存取 Azure 資源的身分識別。 此存取受限於指派給服務主體的角色，讓您控制哪些資源可以存取和層級。 基於安全性考慮，一律建議使用服務主體搭配自動化工具，而不是允許他們以使用者身分識別登入。

本文說明使用 Azure PowerShell 建立、取得服務主體及重設服務主體的步驟。

警告

當您使用 New-AzADServicePrincipal 命令建立服務主體時，輸出會包含您必須保護的認證。 或者，請考慮使用 受控識別 ，以避免需要使用認證。

必要條件

• 如果您選擇在本機使用 Azure PowerShell：
  • 安裝 Az PowerShell 模組。
  • 使用 Connect-AzAccount Cmdlet 連線至 Azure 帳戶。
• 如果您選擇使用 Azure Cloud Shell：
  • 請參閱 Azure Cloud Shell 概觀 以取得詳細資訊。

建立服務主體

使用 New-AzADServicePrincipal Cmdlet 建立服務主體。 建立服務主體時，您可以選擇所使用的登入驗證類型。

重要

從 Az PowerShell 模組 7.x 版開始，New-AzADServicePrincipal 預設不會再將參與者角色指派給服務主體。 若要將特定角色指派給服務主體，請參閱 新增角色指派的步驟。

注意

如果您的帳戶沒有建立服務主體的許可權， New-AzADServicePrincipal 則傳回包含「許可權不足而無法完成作業」的錯誤訊息。 請連絡 Microsoft Entra 系統管理員以建立服務主體。

在使用者設定 [使用者可以註冊應用程式 ] 設定為 [否] 的 Microsoft Entra ID 目錄中，您必須是下列其中一個 Microsoft Entra ID 內建角色的成員（其具有動作： microsoft.directory/applications/createAsOwner 或 microsoft.directory/applications/create）：

• 應用程式開發人員
• 應用程式系統管理員
• 雲端應用程式 管理員 istrator
• 全域管理員
• 混合式身分識別 管理員 istrator

如需 Microsoft Entra ID 中使用者設定的詳細資訊，請參閱 限制誰可以建立應用程式。

服務主體有兩種類型的驗證：密碼式驗證和憑證式驗證。

密碼型驗證

重要

密碼型驗證服務主體的預設角色為 參與者。 此角色具有讀取和寫入 Azure 帳戶的完整許可權。 如需管理角色指派的資訊，請參閱 管理服務主體角色。

如果沒有任何其他驗證參數，則會使用密碼型驗證，併為您建立隨機密碼。 如果您想要密碼型驗證，建議使用此方法。

$sp = New-AzADServicePrincipal -DisplayName ServicePrincipalName

傳回的物件包含 PasswordCredentials.SecretText 包含所產生密碼的屬性。 請務必將此值儲存在安全的地方，以向服務主體進行驗證。 其值 不會 顯示在控制台輸出中。 如果您遺失密碼，請 重設服務主體認證。

下列程式代碼可讓您匯出秘密：

$sp.PasswordCredentials.SecretText

從 New-AzADServicePrincipal 傳回的物件包含 Id 和 DisplayName 成員，其中任一個都可以用於使用服務主體登入。

重要

使用服務主體登入需要建立服務主體的租用戶標識碼。 若要在建立服務主體時取得作用中租使用者，請在服務主體建立后立即執行下列命令：

(Get-AzContext).Tenant.Id

憑證型驗證

重要

建立憑證式驗證服務主體時，沒有指派預設角色。 如需管理角色指派的資訊，請參閱 管理服務主體角色。

使用憑證式驗證的服務主體會使用 CertValue 參數來建立。 此參數接受公用憑證的base64編碼 ASCII 字串。 這是由 PEM 檔案或文字編碼的 CRT 或 CER 來表示。 不支援公用憑證的二進位編碼。 這些指示假設您已經有可用的憑證。

$cert = <public certificate as base64-encoded string>
$sp = New-AzADServicePrincipal -DisplayName ServicePrincipalName -CertValue $cert

從 New-AzADServicePrincipal 傳回的物件包含 Id 和 DisplayName 屬性，其中任一個都可以用於使用服務主體登入。 使用服務主體登入的用戶端也需要存取憑證的私鑰。

重要

使用服務主體登入需要建立服務主體的租用戶標識碼。 若要在建立服務主體時取得作用中租使用者，請在服務主體建立后立即執行下列命令：

(Get-AzContext).Tenant.Id

取得現有的服務主體

您可以使用 Get-AzADServicePrincipal 擷取作用中租使用者的服務主體清單。 根據預設，此命令會傳 回租使用者中的所有 服務主體。 對於大型組織，可能需要很長的時間才能傳回結果。 建議改用其中一個選擇性伺服器端篩選自變數：

• DisplayNameBeginsWith 要求具有 符合所提供值的前置詞 的服務主體。 服務主體的顯示名稱是在建立期間設定 DisplayName 的值。
• DisplayName 要求與 服務主體名稱完全相符 。

管理服務主體角色

Azure PowerShell 具有下列 Cmdlet 來管理角色指派：

• Get-AzRoleAssignment
• New-AzRoleAssignment
• Remove-AzRoleAssignment

如需角色型 存取控制 （RBAC） 和角色的詳細資訊，請參閱 RBAC：內建角色。

下列範例會新增讀者角色，並移除參與者角色：

New-AzRoleAssignment -ApplicationId <service principal application ID> -RoleDefinitionName 'Reader'
Remove-AzRoleAssignment -ObjectId <service principal object ID> -RoleDefinitionName 'Contributor'

重要

角色指派 Cmdlet 不會採用服務主體物件標識碼。 他們會擷取建立時產生的相關聯應用程式標識碼。 若要取得服務主體的應用程式識別碼，請使用 Get-AzADServicePrincipal。

注意

如果您的帳戶沒有指派角色的許可權，您會看到錯誤訊息，指出您的帳戶「沒有執行動作 』Microsoft.Authorization/roleAssignments/write'」 動作的錯誤訊息。 請連絡您的 Microsoft Entra 系統管理員以管理角色。

新增角色 不會 限制先前指派的許可權。 限制服務主體的許可權時， 應該移除參與者 角色。

您可以列出指派的角色來驗證變更：

Get-AzRoleAssignment -ServicePrincipalName ServicePrincipalName

使用服務主體登入

登入以測試新服務主體的認證和許可權。 若要使用服務主體登入，您需要 applicationId 與其相關聯的值，以及其建立依據的租使用者。

若要使用密碼以服務主體登入：

# Use the application ID as the username, and the secret as password
$credentials = Get-Credential
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant <tenant ID>

憑證式驗證要求 Azure PowerShell 可以根據憑證指紋，從本機證書存儲擷取資訊。

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

如需將憑證匯入 PowerShell 可存取之認證存放區的指示，請參閱 憑證式驗證

重設認證

如果您忘記服務主體的認證，請使用 New-AzADSpCredential 新增具有隨機密碼的新認證。 重設密碼時，此 Cmdlet 不支援使用者定義的認證。

重要

指派任何新認證之前，您可能想要移除現有的認證，以防止使用它們登入。 若要這樣做，請使用 Remove-AzADSpCredential Cmdlet：

Remove-AzADSpCredential -DisplayName ServicePrincipalName

$newCredential = New-AzADSpCredential -ServicePrincipalName ServicePrincipalName

疑難排解

如果您收到錯誤：「 New-AzADServicePrincipal：屬性 identifierUris 具有相同值的另一個對象已經存在。」，請確認具有相同名稱的服務主體不存在。

Get-AzAdServicePrincipal -DisplayName ServicePrincipalName

如果不再需要現有的服務主體，您可以使用下列範例加以移除。

Remove-AzAdServicePrincipal -DisplayName ServicePrincipalName

當您先前已為 Azure Active Directory 應用程式建立服務主體時，也可能會發生此錯誤。 如果您移除服務主體，應用程式仍可供使用。 此應用程式可防止您建立另一個具有相同名稱的服務主體。

您可以使用下列範例來確認具有相同名稱的 Microsoft Entra 應用程式不存在：

Get-AzADApplication -DisplayName ServicePrincipalName

如果具有相同名稱的應用程式存在且不再需要，則可以使用下列範例加以移除。

Remove-AzADApplication -DisplayName ServicePrincipalName

否則，請為嘗試建立的新服務主體選擇替代名稱。