你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
服务主体清理和故障排除
祝贺你! 你已了解如何创建、检索和使用服务主体! 完成本教程后,即可清理已创建的服务主体资源。
清理服务主体资源
删除本教程中使用的所有资源的最安全方法是使用 az group delete。 在进行删除时,可以使用 --no-wait 参数解除对 CLI 的阻止。
az group delete --name myResourceGroup --no-wait
如果需要,可以使用 az ad sp delete 命令删除各个服务主体。
az ad sp delete --id myServicePrincipalID
排查服务主体问题
虽然已完成本教程,但可能仍然对服务主体有其他问题,这些问题可以在本部分得到解答。
权限不足
如果帐户无权创建服务主体,az ad sp create-for-rbac 会返回一条错误消息,其中显示“权限不足,无法完成该操作”。请与 Microsoft Entra 管理员联系以获得 User Access Administrator 或 Role Based Access Control Administrator 权限。
租户无效
如果指定了无效的订阅 ID,会看到错误消息“请求没有订阅或有效的租户级别资源提供程序。”如果使用变量,请使用 Bash echo命令查看要传递给引用命令的值。 使用 az account set 更改订阅,或了解如何通过 Azure CLI 管理 Azure 订阅。
找不到资源组
如果指定的资源组名称无效,会看到错误消息“找不到资源组“名称”。”如果使用变量,请使用 Bash echo命令查看要同时传递给订阅和引用命令的值。 使用 az group list 查看当前订阅的资源组,或了解如何使用 Azure CLI 管理 Azure 资源组。
执行操作的授权
如果帐户无权分配角色,则将显示错误消息“你的帐户无权执行操作 'Microsoft.Authorization/roleAssignments/write'”。请与 Microsoft Entra 管理员联系以管理角色。
需要交互式身份验证
使用密码身份验证登录时,如果你的组织需要多重身份验证,则会出现错误消息“...需要交互式身份验证...”。 切换到基于证书的身份验证,或考虑使用托管标识。
需要合规的设备
如果尝试使用不符合组织访问策略的设备创建服务主体,将收到消息“...条件访问策略需要合规的设备...“。 切换到满足组织访问策略的计算机。