azcmagent connect:
Verbindet den Server mit Azure Arc, indem eine Metadatendarstellung des Servers in Azure erstellt und der mit Azure verbundene Computer-Agent zugeordnet wird. Der Befehl erfordert Informationen über den Mandanten, das Abonnement und die Ressourcengruppe, in der Sie den Server in Azure darstellen möchten, und gültige Anmeldeinformationen mit Berechtigungen zum Erstellen von Azure Arc-fähigen Serverressourcen an diesem Speicherort.
Verbrauch
azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]
Beispiele
Verbinden sie einen Server mithilfe der Standardanmeldungsmethode (interaktiver Browser oder Gerätecode).
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code
Verbinden eines Servers mithilfe eines Dienstprinzipals
azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"
Verbinden Sie einen Server mithilfe eines privaten Endpunkts und einer Anmeldemethode mit Gerätecode.
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"
Authentifizierungsoptionen
Es gibt vier Möglichkeiten, Authentifizierungsanmeldeinformationen für den mit Azure verbundenen Computer-Agent bereitzustellen. Wählen Sie eine Authentifizierungsoption aus, und ersetzen Sie den [authentication]
Abschnitt in der Verwendungssyntax durch die empfohlenen Flags.
Interaktive Browseranmeldung (nur Windows)
Diese Option ist die Standardeinstellung für Windows-Betriebssysteme mit einer Desktopumgebung. Die Anmeldeseite wird in Ihrem Standardwebbrowser geöffnet. Diese Option ist möglicherweise erforderlich, wenn Ihre Organisation Richtlinien für bedingten Zugriff konfiguriert hat, die erfordern, dass Sie sich von vertrauenswürdigen Computern anmelden müssen.
Es ist keine Kennzeichnung erforderlich, um die interaktive Browseranmeldung zu verwenden.
Gerätecodeanmeldung
Diese Option generiert einen Code, mit dem Sie sich über einen Webbrowser auf einem anderen Gerät anmelden können. Dies ist die Standardoption für Windows Server Core-Editionen und alle Linux-Distributionen. Wenn Sie den Verbindungsbefehl ausführen, haben Sie 5 Minuten Zeit, um die angegebene Anmelde-URL auf einem mit dem Internet verbundenen Gerät zu öffnen und den Anmeldevorgang abzuschließen.
Verwenden Sie das --use-device-code
Kennzeichen, um sich mit einem Gerätecode zu authentifizieren. Wenn sich das Konto, mit dem Sie sich anmelden, und das Abonnement, bei dem Sie den Server registrieren, nicht im selben Mandanten befinden, müssen Sie auch die Mandanten-ID für das Abonnement --tenant-id [tenant]
angeben.
Dienstprinzipal mit Geheimnis
Mit Dienstprinzipalen können Sie sich nicht interaktiv authentifizieren und werden häufig für bereitstellungen im großen Maßstab verwendet, bei denen dasselbe Skript auf mehreren Servern ausgeführt wird. Microsoft empfiehlt, Dienstprinzipalinformationen über eine Konfigurationsdatei bereitzustellen (siehe --config
), um zu vermeiden, dass der geheime Schlüssel in allen Konsolenprotokollen verfügbar ist. Der Dienstprinzipal sollte auch für das Arc-Onboarding vorgesehen sein und über so wenige Berechtigungen wie möglich verfügen, um die Auswirkungen einer gestohlenen Anmeldeinformationen einzuschränken.
Um sich mit einem Dienstprinzipal mithilfe eines geheimen Schlüssels zu authentifizieren, stellen Sie die Anwendungs-ID, den geheimen Schlüssel und die Mandanten-ID des Dienstprinzipals bereit: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]
Dienstprinzipal mit Zertifikat
Die zertifikatbasierte Authentifizierung ist eine sicherere Methode zur Authentifizierung mithilfe von Dienstprinzipalen. Der Agent akzeptiert beide PCKS #12 (. PFX-Dateien und ASCII-codierte Dateien (z. B. . . PEM) die sowohl die privaten als auch die öffentlichen Schlüssel enthalten. Das Zertifikat muss auf dem lokalen Datenträger verfügbar sein, und der Benutzer, der den azcmagent
Befehl ausführt, benötigt Lesezugriff auf die Datei. Kennwortgeschützte PFX-Dateien werden nicht unterstützt.
Um sich mit einem Dienstprinzipal mithilfe eines Zertifikats zu authentifizieren, stellen Sie die Anwendungs-ID des Dienstprinzipals, die Mandanten-ID und den Pfad zur Zertifikatdatei bereit: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]
Weitere Informationen finden Sie unter Erstellen eines Dienstprinzipals für RBAC mit zertifikatbasierter Authentifizierung.
Zugriffstoken
Zugriffstoken können auch für die nicht interaktive Authentifizierung verwendet werden, sind jedoch kurzlebig und werden in der Regel von Automatisierungslösungen verwendet, die mehrere Server über einen kurzen Zeitraum integrieren. Sie können ein Zugriffstoken mit Get-AzAccessToken oder einem beliebigen anderen Microsoft Entra-Client abrufen.
Verwenden Sie das --access-token [token]
Flag, um sich mit einem Zugriffstoken zu authentifizieren. Wenn sich das Konto, mit dem Sie sich anmelden, und das Abonnement, bei dem Sie den Server registrieren, nicht im selben Mandanten befinden, müssen Sie auch die Mandanten-ID für das Abonnement --tenant-id [tenant]
angeben.
Flags
--access-token
Gibt das Microsoft Entra-Zugriffstoken an, das zum Erstellen der Azure Arc-fähigen Serverressource in Azure verwendet wird. Weitere Informationen finden Sie unter Authentifizierungsoptionen.
--automanage-profile
Ressourcen-ID eines Azure Automanage Best Practices-Profils, das auf den Server angewendet wird, sobald es mit Azure verbunden ist.
Beispielwert: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction
--cloud
Gibt die Azure-Cloudinstanz an. Muss mit der --location
Kennzeichnung verwendet werden. Wenn der Computer bereits mit Azure Arc verbunden ist, ist der Standardwert die Cloud, mit der der Agent bereits verbunden ist. Andernfalls lautet der Standardwert "AzureCloud".
Unterstützte Werte:
- AzureCloud (öffentliche Regionen)
- AzureUSGovernment (Azure US Government-Regionen)
- AzureChinaCloud (Microsoft Azure betrieben von 21Vianet-Regionen)
--correlation-id
Gibt den Mechanismus an, der verwendet wird, um den Server mit Azure Arc zu verbinden. Beispielsweise enthalten Skripts, die in der Azure-Portal generiert wurden, eine GUID, die Microsoft hilft, die Nutzung dieser Erfahrung nachzuverfolgen. Dieses Kennzeichen ist optional und wird nur für Telemetriezwecke verwendet, um Ihre Erfahrung zu verbessern.
--ignore-network-check
Weist den Agent an, das Onboarding fortzusetzen, auch wenn die Netzwerküberprüfung auf erforderliche Endpunkte fehlschlägt. Sie sollten diese Option nur verwenden, wenn Sie sicher sind, dass die Ergebnisse der Netzwerküberprüfung falsch sind. In den meisten Fällen weist eine fehlerhafte Netzwerküberprüfung darauf hin, dass der Azure Connected Machine-Agent nicht ordnungsgemäß auf dem Server funktioniert.
-l
, --location
Die Azure-Region, mit der die Konnektivität überprüft werden soll. Wenn der Computer bereits mit Azure Arc verbunden ist, wird der aktuelle Bereich als Standard ausgewählt.
Stichprobenwert: Westeuropa
--private-link-scope
Gibt die Ressourcen-ID des privaten Azure Arc-Verknüpfungsbereichs an, der dem Server zugeordnet werden soll. Dieses Kennzeichen ist erforderlich, wenn Sie private Endpunkte verwenden, um den Server mit Azure zu verbinden.
-g
, --resource-group
Name der Azure-Ressourcengruppe, in der Sie die Azure Arc-fähige Serverressource erstellen möchten.
Beispielwert: HybridServers
-n
, --resource-name
Name für die Azure Arc-fähige Serverressource. Standardmäßig lautet der Ressourcenname:
- Die AWS-Instanz-ID, wenn sich der Server auf AWS befindet
- Der Hostname für alle anderen Computer
Sie können den Standardnamen mit einem Eigenen Namen außer Kraft setzen, um Namenskonflikte zu vermeiden. Nach der Auswahl kann der Name der Azure-Ressource nicht geändert werden, ohne den Agent zu trennen und erneut zu verbinden.
Wenn Sie aws-Server erzwingen möchten, den Hostnamen anstelle der Instanz-ID zu verwenden, übergeben $(hostname)
Sie die Shell, damit die Shell den aktuellen Hostnamen auswertet und dies als neuen Ressourcennamen angibt.
Beispielwert: FileServer01
-i
, --service-principal-id
Gibt die Anwendungs-ID des Dienstprinzipals an, der zum Erstellen der Azure Arc-fähigen Serverressource in Azure verwendet wird. Muss mit den --tenant-id
Und-Kennzeichnungen --service-principal-secret
oder --service-principal-cert
Flags verwendet werden. Weitere Informationen finden Sie unter Authentifizierungsoptionen.
--service-principal-cert
Gibt den Pfad zu einer Dienstprinzipalzertifikatdatei an. Muss mit den --service-principal-id
Kennzeichen verwendet --tenant-id
werden. Das Zertifikat muss einen privaten Schlüssel enthalten und kann sich in einem PKCS #12 () befinden. PFX) oder ASCII-codierter Text (. PEM. CRT)-Format. Kennwortgeschützte PFX-Dateien werden nicht unterstützt. Weitere Informationen finden Sie unter Authentifizierungsoptionen.
-p
, --service-principal-secret
Gibt den Dienstprinzipalschlüssel an. Muss mit den --service-principal-id
Kennzeichen verwendet --tenant-id
werden. Um das Verfügbarmachen des geheimen Schlüssels in Konsolenprotokollen zu vermeiden, empfiehlt Microsoft die Bereitstellung des Dienstprinzipalschlüssels in einer Konfigurationsdatei. Weitere Informationen finden Sie unter Authentifizierungsoptionen.
-s
, --subscription-id
Der Abonnementname oder die ID, in der Sie die Azure Arc-fähige Serverressource erstellen möchten.
Beispielwerte: Production, aaaaaaaa-bbbb-cccc-ddddd-ee
--tags
Durch Trennzeichen getrennte Liste von Tags, die auf die Azure Arc-fähige Serverressource angewendet werden sollen. Jedes Tag sollte im Format angegeben werden: TagName=TagValue. Wenn der Tagname oder -wert ein Leerzeichen enthält, verwenden Sie einzelne Anführungszeichen um den Namen oder Wert.
Beispielwert: Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'
-t
, --tenant-id
Die Mandanten-ID für das Abonnement, in dem Sie die Azure Arc-fähige Serverressource erstellen möchten. Diese Kennzeichnung ist beim Authentifizieren mit einem Dienstprinzipal erforderlich. Für alle anderen Authentifizierungsmethoden wird der Homemandant des Kontos, das für die Authentifizierung mit Azure verwendet wird, auch für die Ressource verwendet. Wenn die Mandanten für das Konto und das Abonnement unterschiedlich sind (Gastkonten, Lighthouse), müssen Sie die Mandanten-ID angeben, um den Mandanten zu klären, in dem sich das Abonnement befindet.
--use-device-code
Generieren Sie einen Microsoft Entra-Geräteanmeldungscode, der in einen Webbrowser auf einem anderen Computer eingegeben werden kann, um den Agent bei Azure zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierungsoptionen.
--user-tenant-id
Die Mandanten-ID für das Konto, mit dem der Server mit Azure verbunden wird. Dieses Feld ist erforderlich, wenn der Mandant des Onboarding-Kontos nicht mit dem gewünschten Mandanten für die Azure Arc-fähige Serverressource identisch ist.
Allgemeine Kennzeichnungen, die für alle Befehle verfügbar sind
--config
Verwendet einen Pfad zu einer JSON- oder YAML-Datei, die Eingaben für den Befehl enthält. Die Konfigurationsdatei sollte eine Reihe von Schlüsselwertpaaren enthalten, bei denen der Schlüssel einer verfügbaren Befehlszeilenoption entspricht. Um beispielsweise das --verbose
Flag zu übergeben, würde die Konfigurationsdatei wie folgt aussehen:
{
"verbose": true
}
Wenn eine Befehlszeilenoption sowohl im Befehlsaufruf als auch in einer Konfigurationsdatei gefunden wird, hat der in der Befehlszeile angegebene Wert Vorrang.
-h
, --help
Erhalten Sie Hilfe zum aktuellen Befehl, einschließlich seiner Syntax und Befehlszeilenoptionen.
-j
, --json
Gibt das Befehlsergebnis im JSON-Format aus.
--log-stderr
Leiten Sie Fehler- und ausführliche Nachrichten an den Standardfehlerdatenstrom (Stderr) um. Standardmäßig wird die gesamte Ausgabe an den Standardausgabedatenstrom (Stdout) gesendet.
--no-color
Deaktivieren Sie die Farbausgabe für Terminals, die KEINE ANSI-Farben unterstützen.
-v
, --verbose
Zeigen Sie detailliertere Protokollierungsinformationen an, während der Befehl ausgeführt wird. Hilfreich für die Problembehandlung beim Ausführen eines Befehls.