Interactief aanmelden bij Azure met behulp van de Azure CLI
Interactieve aanmeldingen bij Azure bieden een intuïtievere en flexibele gebruikerservaring. Met Azure CLI kunt u zich rechtstreeks bij Azure verifiëren via de opdracht az login. Deze opdracht is handig voor ad-hocbeheertaken en voor omgevingen waarvoor handmatige aanmelding is vereist, zoals voor omgevingen met meervoudige verificatie (MFA). Deze methode vereenvoudigt de toegang voor scripttests, leren en on-the-fly-beheer zonder dat u vooraf service-principals of andere niet-interactieve verificatiemethoden hoeft te configureren.
Belangrijk
Vanaf 2025 dwingt Microsoft verplichte MFA af voor Azure CLI en andere opdrachtregelprogramma's. Zie onze blogpostvoor meer achtergrondinformatie over deze vereiste.
MFA heeft alleen invloed op Microsoft Entra ID gebruikersidentiteiten. Dit heeft geen invloed op workloadidentiteiten, zoals service-principals en beheerde identiteiten.
Als u az login gebruikt met een Entra ID en wachtwoord om een script of geautomatiseerd proces te authenticeren, moet u nu migreren naar een workloadidentiteit. Hier volgen enkele nuttige koppelingen om u te helpen bij het aanbrengen van deze wijziging:
- Planning voor verplichte meervoudige verificatie voor Azure- en andere beheerportals.
- Controleren of gebruikers zijn ingesteld voor verplichte MFA- (MultiFactor Authentication) van Microsoft Entra
- overwegingen voor implementatie voor meervoudige verificatie van Microsoft Entra
- Migreren naar Microsoft Entra multifactorauthenticatie met federaties
- Het MFA-servermigratiehulpprogramma gebruiken om te migreren naar Microsoft Entra multi-factor authentication
Vereisten
Interactieve aanmelding
Gebruik de opdracht az login om u interactief aan te melden . Vanaf Azure CLI versie 2.61.0 maakt Azure CLI standaard gebruik van Web Account Manager (WAM) in Windows en een browsergebaseerde aanmelding op Linux en macOS.
az login
Abonnementkiezer
Vanaf Azure CLI versie 2.61.0, als u toegang hebt tot meerdere abonnementen, wordt u gevraagd om een Azure-abonnement te selecteren op het moment van aanmelden, zoals wordt weergegeven in het volgende voorbeeld.
Retrieving subscriptions for the selection...
[Tenant and subscription selection]
No Subscription name Subscription ID Tenant name
---- ------------------------------------ ---------------------------------------- --------------
[1] Facility Services Subscription 00000000-0000-0000-0000-000000000000 Contoso
[2] Finance Department Subscription 00000000-0000-0000-0000-000000000000 Contoso
[3] Human Resources Subscription 00000000-0000-0000-0000-000000000000 Contoso
[4] * Information Technology Subscription 00000000-0000-0000-0000-000000000000 Contoso
The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Information Technology Subscription' (00000000-0000-0000-0000-000000000000).
Select a subscription and tenant (Type a number or Enter for no changes): 2
Tenant: Contoso
Subscription: Finance Department Subscription (00000000-0000-0000-0000-000000000000)
[Announcements]
With the new Azure CLI login experience, you can select the subscription you want to use more easily.
Learn more about it and its configuration at https://go.microsoft.com/fwlink/?linkid=2271236
If you encounter any problem, please open an issue at https://aka.ms/azclibug
De volgende keer dat u zich aanmeldt, worden de eerder geselecteerde tenant en het abonnement gemarkeerd als de standaardwaarde met een sterretje (*) naast het nummer. Met deze markering kunt u op Enter- drukken om het standaardabonnement te selecteren.
Opdrachten worden standaard uitgevoerd voor het geselecteerde abonnement. U kunt az account set gebruiken om uw abonnement op elk gewenst moment te wijzigen vanaf een opdrachtregel. Zie Azure-abonnementen beheren met de Azure CLI voor meer informatie.
Hier volgen enkele richtlijnen voor de abonnementskiezer om rekening mee te houden:
- De abonnementkiezer is alleen beschikbaar in 64-bits Windows, Linux of macOS.
- De abonnementskiezer is alleen beschikbaar wanneer u de
az loginopdracht gebruikt. - U wordt niet gevraagd om een abonnement te selecteren wanneer u zich aanmeldt met een service-principal of beheerde identiteit.
Als u de functie abonnementkiezer wilt uitschakelen, stelt u de configuratie-eigenschap core.login_experience_v2 in op off.
az config set core.login_experience_v2=off
az login
Aanmelden met Web Account Manager (WAM) in Windows
Vanaf Azure CLI-versie 2.61.0is Web Account Manager (WAM) de standaardverificatiemethode in Windows. WAM is een Windows 10+-onderdeel dat fungeert als verificatiebroker. Een verificatiebroker is een toepassing die wordt uitgevoerd op de computer van een gebruiker. Het beheert de verificatiehandhakes en tokenonderhoud voor verbonden accounts.
Het gebruik van WAM heeft verschillende voordelen:
- Verbeterde beveiliging. Zie Voorwaardelijke toegang: Beveiliging van tokens (preview).
- Ondersteuning voor Windows Hello, beleid voor voorwaardelijke toegang en FIDO-sleutels.
- Gestroomlijnde eenmalige aanmelding.
- Opgeloste fouten en verbeteringen die worden geleverd met Windows.
Als u een probleem ondervindt en wilt terugkeren naar de vorige verificatiemethode op basis van een browser, stelt u de configuratie-eigenschap core.enable_broker_on_windows in op false.
az account clear
az config set core.enable_broker_on_windows=false
az login
WAM is beschikbaar in Windows 10 en hoger en op Windows Server 2019 en hoger.
Aanmelden met een browser
De Azure CLI wordt standaard ingesteld op een verificatiemethode op basis van een browser wanneer een van de volgende voorwaarden waar is:
- Het besturingssysteem (OS) is Mac of Linux, of het Windows-besturingssysteem is ouder dan Windows 10 of Windows Server 2019.
- De
core.enable_broker_on_windowsconfiguratie-eigenschap is ingesteld opfalse.
Volg deze stappen om u aan te melden met een browser:
Voer de opdracht
az loginuit.az loginAls de Azure CLI uw standaardbrowser kan openen, wordt de autorisatiecodestroom gestart en wordt de standaardbrowser geopend om een Azure-aanmeldingspagina te laden.
Anders wordt de apparaatcodestroom gestart en wordt u geïnstrueerd om een browserpagina te openen op https://aka.ms/devicelogin. Voer vervolgens de code in die wordt weergegeven in uw terminal.
Als er geen webbrowser beschikbaar is of de webbrowser niet kan worden geopend, kunt u de stroom van apparaatcode forceren met az login --use-device-code.
Meldt u zich in de browser aan met uw accountreferenties.
Meld u aan met uw referenties op de opdrachtregel.
Geef uw Azure-gebruikersreferenties op de opdrachtregel op. Gebruik deze verificatiemethode alleen voor het leren van Azure CLI-opdrachten. Gebruik voor toepassingen op productieniveau een service-principal of beheerde identiteit.
Deze methode werkt niet met Microsoft-accounts of met accounts waarvoor verificatie in twee stappen is ingeschakeld. U ontvangt een interactieve verificatiebericht .
az login --user <username> --password <password>
Belangrijk
Gebruik de opdracht read -s onder bashom te voorkomen dat uw wachtwoord op de console wordt weergegeven wanneer u interactief az login gebruikt.
read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS
Gebruik de Get-Credential cmdlet onder PowerShell.
$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password
Aanmelden met een andere tenant
U kunt een tenant selecteren om u aan te melden met het argument --tenant. De waarde van dit argument kan een .onmicrosoft.com-domein of de Azure-object-id van de tenant zijn. Zowel interactieve als opdrachtregel aanmeldingsmethoden werken met --tenant.
In bepaalde omgevingen en vanaf Azure CLI versie 2.61.0 moet u eerst de abonnementkiezer uitschakelen door de core.login_experience_v2 configuratie-eigenschap in te stellen op off.
# disable the subscription selector (v. 2.61.0 and up)
az config set core.login_experience_v2=off
# login with a tenant ID
az login --tenant 00000000-0000-0000-0000-000000000000
Als u de abonnementskiezer opnieuw wilt inschakelen, voert u de opdracht uit az config set core.login_experience_v2=on. Zie Interactive loginvoor meer informatie over de abonnementskiezer.
Nadat u zich hebt aangemeld, kunt u lezen hoe u uw actieve tenant kunt wijzigen onder Uw actieve tenant wijzigen.
Aanmelden met --scope
az login --scope https://management.core.windows.net//.default
Afmelden
Als u de toegang tot Azure wilt verwijderen, gebruikt u de opdracht az logout .
az logout
Uw abonnementscache wissen
Gebruik de opdracht az account clear om uw abonnementslijst bij te werken. U moet zich opnieuw aanmelden om een bijgewerkte lijst weer te geven.
az account clear
az login
Het wissen van uw abonnementscache is technisch gezien niet hetzelfde als het afmelden bij Azure. Wanneer u de abonnementscache wist, kunt u echter geen Azure CLI-opdrachten, inclusief az account set, uitvoeren totdat u opnieuw inlogt.
Tokens vernieuwen
Wanneer u zich aanmeldt met een gebruikersaccount, genereert en slaat Azure CLI een verificatievernieuwingstoken op. Omdat toegangstokens slechts een korte periode geldig zijn, wordt er een vernieuwingstoken uitgegeven op hetzelfde moment dat het toegangstoken wordt uitgegeven. De clienttoepassing kan dit vernieuwingstoken vervolgens uitwisselen voor een nieuw toegangstoken wanneer dat nodig is. Zie Tokens vernieuwen in het Microsoft Identity Platform voor meer informatie over de levensduur en vervaldatum van tokens.
Gebruik de opdracht az account get-access-token om het toegangstoken op te halen:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Hier volgen enkele aanvullende informatie over vervaldatums voor toegangstokens:
- Vervaldatums worden bijgewerkt in een indeling die wordt ondersteund door azure CLI op basis van MSAL.
- Vanaf Azure CLI 2.54.0 retourneert
az account get-access-tokenu deexpires_oneigenschap naast deexpiresOneigenschap voor de verlooptijd van het token. - De
expires_oneigenschap vertegenwoordigt een POSIX-tijdstempel (Portable Operating System Interface), terwijl deexpiresOneigenschap een lokale datum/tijd vertegenwoordigt. - De
expiresOneigenschap drukt niet 'vouw' uit wanneer zomertijd eindigt. Dit kan problemen veroorzaken in landen of regio's waar zomertijd wordt aangenomen. Zie PEP 495 – Local Time Disambiguation voor meer informatie over "fold". - We raden downstreamtoepassingen aan om de
expires_oneigenschap te gebruiken, omdat deze gebruikmaakt van de Universal Time Code (UTC).
Voorbeelduitvoer:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Probleemoplossing
Wanneer uw standaardbrowser Microsoft Edge is, kan het zijn dat de volgende fout optreedt wanneer u zich interactief probeert aan te melden bij Azure met az login: 'De verbinding voor deze site is niet beveiligd." Ga naar edge://net-internals/#hsts in Microsoft Edge om dit probleem op te lossen.
Voeg localhost onder 'Domeinbeveiligingsbeleid verwijderen' toe en selecteer Verwijderen.
Zie ook
- Cheatsheet voor onboarding van Azure CLI
- Azure CLI-voorbeelden en gepubliceerde documenten zoeken
