az ad sp

Verwalten Azure Active Directory Dienstprinzipale für die Automatisierungsauthentifizierung.

Befehle

az ad sp create

Erstellen eines Dienstprinzipals

az ad sp create-for-rbac

Erstellen Sie einen Dienstprinzipal, und konfigurieren Sie seinen Zugriff auf Azure-Ressourcen.

az ad sp credential

Verwalten der Anmeldeinformationen eines Dienstprinzipals.

az ad sp credential delete

Löschen Sie die Anmeldeinformationen eines Dienstprinzipals.

az ad sp credential list

Listet die Anmeldeinformationen eines Dienstprinzipals auf.

az ad sp credential reset

Setzen Sie die Anmeldeinformationen eines Dienstprinzipals zurück.

az ad sp delete

Löscht einen Dienstprinzipal und seine Rollenzuweisungen.

az ad sp list

Auflisten von Dienstprinzipals.

az ad sp owner

Verwalten von Dienstprinzipalbesitzern.

az ad sp owner list

Auflisten von Dienstprinzipalbesitzern.

az ad sp show

Hier finden Sie die Details eines Dienstprinzipals.

az ad sp update

Aktualisieren eines Dienstprinzipals.

az ad sp create

Erstellen eines Dienstprinzipals

az ad sp create --id

Beispiele

Erstellen eines Dienstprinzipals (automatisch generiert)

az ad sp create --id 00000000-0000-0000-0000-000000000000

Erforderliche Parameter

--id

Bezeichner-URI, Anwendungs-ID oder Objekt-ID der zugeordneten Anwendung.

az ad sp create-for-rbac

Erstellen Sie einen Dienstprinzipal, und konfigurieren Sie seinen Zugriff auf Azure-Ressourcen.

Die Ausgabe enthält Anmeldeinformationen, die Sie schützen müssen. Schließen Sie diese Anmeldeinformationen nicht in Ihren Code ein, und checken Sie sie nicht in Ihre Quellcodeverwaltung ein. Verwenden Sie als Alternative ggf. verwaltete Identitäten (sofern verfügbar), um zu vermeiden, dass die Verwendung von Anmeldeinformationen erforderlich ist.

Standardmäßig weist dieser Befehl dem Dienstprinzipal im Abonnementbereich die Rolle "Mitwirkender" zu. Um das Risiko eines kompromittierten Dienstprinzipals zu verringern, verwenden Sie --skip-assignment, um das Erstellen einer Rollenzuweisung zu vermeiden. Weisen Sie dann eine spezifischere Rolle zu, und bzw. bzw. en Sie können den Bereich auf eine Ressource oder Ressourcengruppe einengen. Weitere Informationen finden Sie unter Schritte zum Hinzufügen einer Rollenzuweisung.

WARNUNG: In einer zukünftigen Version erstellt dieser Befehl STANDARDMÄßIG KEINE Rollenzuweisung "Mitwirkender". Verwenden Sie bei Bedarf das Argument --role, um explizit eine Rollenzuweisung zu erstellen.

az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--keyvault]
                         [--name]
                         [--role]
                         [--scopes]
                         [--sdk-auth {false, true}]
                         [--skip-assignment {false, true}]
                         [--years]

Beispiele

Erstellen Sie mit einer Standardrolle.

az ad sp create-for-rbac

Erstellen Sie mit einem benutzerdefinierten Namen und mit einer Standardzuweisung.

az ad sp create-for-rbac -n "MyApp"

Erstellen Sie ohne Standardzuweisung.

az ad sp create-for-rbac --skip-assignment

Erstellen Sie mit einer Rollenzuweisung "Mitwirkender" für den angegebenen Bereich.

az ad sp create-for-rbac -n "MyApp" --role Contributor --scopes /subscriptions/{SubID}/resourceGroups/{ResourceGroup1} /subscriptions/{SubID}/resourceGroups/{ResourceGroup2}

Erstellen Sie mithilfe eines selbstsigniertes Zertifikats.

az ad sp create-for-rbac --create-cert

Erstellen Sie ein selbstsigniertes Zertifikat, und speichern Sie es in KeyVault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert

Erstellen Sie mithilfe eines vorhandenen Zertifikats in KeyVault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName

Optionale Parameter

--cert

Zertifikat, das für Anmeldeinformationen verwendet werden soll.

--create-cert

Erstellen Sie ein selbstsigniertes Zertifikat, das für die Anmeldeinformationen verwendet werden soll. Nur der aktuelle Betriebssystembenutzer verfügt über Lese-/Schreibberechtigungen für dieses Zertifikat.

--keyvault

Name oder ID eines KeyVaults, der zum Erstellen oder Abrufen von Zertifikaten verwendet werden soll.

--name -n

Anzeigename des Dienstprinzipals. Wenn dies nicht der Fall ist, wird standardmäßig azure-cli-%Y-%m-%d-%H-%M-%S verwendet, wobei das Suffix der Zeitpunkt der Erstellung ist.

--role

Rolle des Dienstprinzipals.

--scopes

Durch Leerzeichen getrennte Liste der Bereiche, für die die Rollenzuweisung des Dienstprinzipals gilt. Der Standardwert ist der Stamm des aktuellen Abonnements. Beispiel: /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333/resourceGroups/myGroup, oder /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--sdk-auth

Das Ausgabeergebnis ist mit der Azure SDK-Authentifizierungsdatei kompatibel.

Zulässige Werte: false, true
--skip-assignment

Überspringen Sie die Erstellung der Standardzuweisung, die dem Dienstprinzipal den Zugriff auf Ressourcen unter dem aktuellen Abonnement ermöglicht. Wenn angegeben, werden --scopes ignoriert. Sie können später az role assignment create verwenden, um Rollenzuweisungen für diesen Dienstprinzipal zu erstellen.

Zulässige Werte: false, true
--years

Anzahl der Jahre, für die die Anmeldeinformationen gültig sind. Standardwert: 1 Jahr.

az ad sp delete

Löscht einen Dienstprinzipal und seine Rollenzuweisungen.

az ad sp delete --id

Beispiele

Löscht einen Dienstprinzipal und seine Rollenzuweisungen. (automatisch generiert)

az ad sp delete --id 00000000-0000-0000-0000-000000000000

Erforderliche Parameter

--id

Dienstprinzipalname oder Objekt-ID.

az ad sp list

Auflisten von Dienstprinzipals.

Bei geringer Latenz werden standardmäßig nur die ersten 100 zurückgegeben, es sei denn, Sie geben Filterargumente an oder verwenden "--all".

az ad sp list [--all]
              [--display-name]
              [--filter]
              [--query-examples]
              [--show-mine]
              [--spn]

Optionale Parameter

--all

Listen Sie alle Entitäten auf, und erwarten Sie eine lange Verzögerung, wenn sie in einer großen Organisation enthalten sind.

--display-name

Der Anzeigename oder das Präfix des Objekts.

--filter

OData-Filter, z.B. --filter "displayname eq 'test' and servicePrincipalType eq 'Application'".

--query-examples

Empfehlen Sie die JMESPath-Zeichenfolge. Sie können eine der Abfragen kopieren und nach dem Parameter --query in doppelte Anführungszeichen einfügen, um die Ergebnisse zu sehen. Sie können ein oder mehrere Positionsschlüsselwörter hinzufügen, damit wir basierend auf diesen Schlüsselwörtern Vorschläge machen können.

--show-mine

Listen Sie Entitäten auf, die sich im Besitz des aktuellen Benutzers befinden.

--spn

Dienstprinzipalname.

az ad sp show

Hier finden Sie die Details eines Dienstprinzipals.

az ad sp show --id
              [--query-examples]

Beispiele

Hier finden Sie die Details eines Dienstprinzipals. (automatisch generiert)

az ad sp show --id 00000000-0000-0000-0000-000000000000

Erforderliche Parameter

--id

Dienstprinzipalname oder Objekt-ID.

Optionale Parameter

--query-examples

Empfehlen Sie die JMESPath-Zeichenfolge. Sie können eine der Abfragen kopieren und nach dem Parameter --query in doppelte Anführungszeichen einfügen, um die Ergebnisse zu sehen. Sie können ein oder mehrere Positionsschlüsselwörter hinzufügen, damit wir basierend auf diesen Schlüsselwörtern Vorschläge machen können.

az ad sp update

Aktualisieren eines Dienstprinzipals.

az ad sp update --id
                [--add]
                [--force-string]
                [--remove]
                [--set]

Beispiele

Aktualisieren eines Dienstprinzipals (automatisch generiert)

az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All

Erforderliche Parameter

--id

Dienstprinzipalname oder Objekt-ID.

Optionale Parameter

--add

Fügen Sie einer Liste von -Objekten ein -Objekt hinzu, indem Sie ein Pfad- und Schlüsselwertpaar angeben. Beispiel: --add property.listProperty <key=value, string oder JSON string>.

--force-string

Wenn Sie "set" oder "add" verwenden, behalten Sie Zeichenfolgenliterale bei, anstatt zu versuchen, in JSON zu konvertieren.

--remove

Entfernen Sie eine Eigenschaft oder ein Element aus einer Liste. Beispiel: --remove property.list OR --remove propertyToRemove.

--set

Aktualisieren Sie ein -Objekt, indem Sie einen festzulegenden Eigenschaftenpfad und -wert angeben. Beispiel: --set property1.property2=.