Freigeben über


azcmagent connect:

Verbindet den Server mit Azure Arc, indem eine Metadatendarstellung des Servers in Azure erstellt und der mit Azure verbundene Computer-Agent zugeordnet wird. Der Befehl erfordert Informationen über den Mandanten, das Abonnement und die Ressourcengruppe, in der Sie den Server in Azure darstellen möchten, und gültige Anmeldeinformationen mit Berechtigungen zum Erstellen von Azure Arc-fähigen Serverressourcen an diesem Speicherort.

Verbrauch

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

Beispiele

Verbinden sie einen Server mithilfe der Standardanmeldungsmethode (interaktiver Browser oder Gerätecode).

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

Verbinden eines Servers mithilfe eines Dienstprinzipals

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

Verbinden Sie einen Server mithilfe eines privaten Endpunkts und einer Anmeldemethode mit Gerätecode.

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

Authentifizierungsoptionen

Es gibt vier Möglichkeiten, Authentifizierungsanmeldeinformationen für den mit Azure verbundenen Computer-Agent bereitzustellen. Wählen Sie eine Authentifizierungsoption aus, und ersetzen Sie den [authentication] Abschnitt in der Verwendungssyntax durch die empfohlenen Flags.

Interaktive Browseranmeldung (nur Windows)

Diese Option ist die Standardeinstellung für Windows-Betriebssysteme mit einer Desktopumgebung. Die Anmeldeseite wird in Ihrem Standardwebbrowser geöffnet. Diese Option ist möglicherweise erforderlich, wenn Ihre Organisation Richtlinien für bedingten Zugriff konfiguriert hat, die erfordern, dass Sie sich von vertrauenswürdigen Computern anmelden müssen.

Es ist keine Kennzeichnung erforderlich, um die interaktive Browseranmeldung zu verwenden.

Gerätecodeanmeldung

Diese Option generiert einen Code, mit dem Sie sich über einen Webbrowser auf einem anderen Gerät anmelden können. Dies ist die Standardoption für Windows Server Core-Editionen und alle Linux-Distributionen. Wenn Sie den Verbindungsbefehl ausführen, haben Sie 5 Minuten Zeit, um die angegebene Anmelde-URL auf einem mit dem Internet verbundenen Gerät zu öffnen und den Anmeldevorgang abzuschließen.

Verwenden Sie das --use-device-code Kennzeichen, um sich mit einem Gerätecode zu authentifizieren. Wenn sich das Konto, mit dem Sie sich anmelden, und das Abonnement, bei dem Sie den Server registrieren, nicht im selben Mandanten befinden, müssen Sie auch die Mandanten-ID für das Abonnement --tenant-id [tenant]angeben.

Dienstprinzipal mit Geheimnis

Mit Dienstprinzipalen können Sie sich nicht interaktiv authentifizieren und werden häufig für bereitstellungen im großen Maßstab verwendet, bei denen dasselbe Skript auf mehreren Servern ausgeführt wird. Microsoft empfiehlt, Dienstprinzipalinformationen über eine Konfigurationsdatei bereitzustellen (siehe --config), um zu vermeiden, dass der geheime Schlüssel in allen Konsolenprotokollen verfügbar ist. Der Dienstprinzipal sollte auch für das Arc-Onboarding vorgesehen sein und über so wenige Berechtigungen wie möglich verfügen, um die Auswirkungen einer gestohlenen Anmeldeinformationen einzuschränken.

Um sich mit einem Dienstprinzipal mithilfe eines geheimen Schlüssels zu authentifizieren, stellen Sie die Anwendungs-ID, den geheimen Schlüssel und die Mandanten-ID des Dienstprinzipals bereit: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Dienstprinzipal mit Zertifikat

Die zertifikatbasierte Authentifizierung ist eine sicherere Methode zur Authentifizierung mithilfe von Dienstprinzipalen. Der Agent akzeptiert beide PCKS #12 (. PFX-Dateien und ASCII-codierte Dateien (z. B. . . PEM) die sowohl die privaten als auch die öffentlichen Schlüssel enthalten. Das Zertifikat muss auf dem lokalen Datenträger verfügbar sein, und der Benutzer, der den azcmagent Befehl ausführt, benötigt Lesezugriff auf die Datei. Kennwortgeschützte PFX-Dateien werden nicht unterstützt.

Um sich mit einem Dienstprinzipal mithilfe eines Zertifikats zu authentifizieren, stellen Sie die Anwendungs-ID des Dienstprinzipals, die Mandanten-ID und den Pfad zur Zertifikatdatei bereit: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Weitere Informationen finden Sie unter Erstellen eines Dienstprinzipals für RBAC mit zertifikatbasierter Authentifizierung.

Zugriffstoken

Zugriffstoken können auch für die nicht interaktive Authentifizierung verwendet werden, sind jedoch kurzlebig und werden in der Regel von Automatisierungslösungen verwendet, die mehrere Server über einen kurzen Zeitraum integrieren. Sie können ein Zugriffstoken mit Get-AzAccessToken oder einem beliebigen anderen Microsoft Entra-Client abrufen.

Verwenden Sie das --access-token [token] Flag, um sich mit einem Zugriffstoken zu authentifizieren. Wenn sich das Konto, mit dem Sie sich anmelden, und das Abonnement, bei dem Sie den Server registrieren, nicht im selben Mandanten befinden, müssen Sie auch die Mandanten-ID für das Abonnement --tenant-id [tenant]angeben.

Flags

--access-token

Gibt das Microsoft Entra-Zugriffstoken an, das zum Erstellen der Azure Arc-fähigen Serverressource in Azure verwendet wird. Weitere Informationen finden Sie unter Authentifizierungsoptionen.

--automanage-profile

Ressourcen-ID eines Azure Automanage Best Practices-Profils, das auf den Server angewendet wird, sobald es mit Azure verbunden ist.

Beispielwert: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

Gibt die Azure-Cloudinstanz an. Muss mit der --location Kennzeichnung verwendet werden. Wenn der Computer bereits mit Azure Arc verbunden ist, ist der Standardwert die Cloud, mit der der Agent bereits verbunden ist. Andernfalls lautet der Standardwert "AzureCloud".

Unterstützte Werte:

  • AzureCloud (öffentliche Regionen)
  • AzureUSGovernment (Azure US Government-Regionen)
  • AzureChinaCloud (Microsoft Azure betrieben von 21Vianet-Regionen)

--correlation-id

Gibt den Mechanismus an, der verwendet wird, um den Server mit Azure Arc zu verbinden. Beispielsweise enthalten Skripts, die in der Azure-Portal generiert wurden, eine GUID, die Microsoft hilft, die Nutzung dieser Erfahrung nachzuverfolgen. Dieses Kennzeichen ist optional und wird nur für Telemetriezwecke verwendet, um Ihre Erfahrung zu verbessern.

--ignore-network-check

Weist den Agent an, das Onboarding fortzusetzen, auch wenn die Netzwerküberprüfung auf erforderliche Endpunkte fehlschlägt. Sie sollten diese Option nur verwenden, wenn Sie sicher sind, dass die Ergebnisse der Netzwerküberprüfung falsch sind. In den meisten Fällen weist eine fehlerhafte Netzwerküberprüfung darauf hin, dass der Azure Connected Machine-Agent nicht ordnungsgemäß auf dem Server funktioniert.

-l, --location

Die Azure-Region, mit der die Konnektivität überprüft werden soll. Wenn der Computer bereits mit Azure Arc verbunden ist, wird der aktuelle Bereich als Standard ausgewählt.

Stichprobenwert: Westeuropa

--private-link-scope

Gibt die Ressourcen-ID des privaten Azure Arc-Verknüpfungsbereichs an, der dem Server zugeordnet werden soll. Dieses Kennzeichen ist erforderlich, wenn Sie private Endpunkte verwenden, um den Server mit Azure zu verbinden.

-g, --resource-group

Name der Azure-Ressourcengruppe, in der Sie die Azure Arc-fähige Serverressource erstellen möchten.

Beispielwert: HybridServers

-n, --resource-name

Name für die Azure Arc-fähige Serverressource. Standardmäßig lautet der Ressourcenname:

  • Die AWS-Instanz-ID, wenn sich der Server auf AWS befindet
  • Der Hostname für alle anderen Computer

Sie können den Standardnamen mit einem Eigenen Namen außer Kraft setzen, um Namenskonflikte zu vermeiden. Nach der Auswahl kann der Name der Azure-Ressource nicht geändert werden, ohne den Agent zu trennen und erneut zu verbinden.

Wenn Sie aws-Server erzwingen möchten, den Hostnamen anstelle der Instanz-ID zu verwenden, übergeben $(hostname) Sie die Shell, damit die Shell den aktuellen Hostnamen auswertet und dies als neuen Ressourcennamen angibt.

Beispielwert: FileServer01

-i, --service-principal-id

Gibt die Anwendungs-ID des Dienstprinzipals an, der zum Erstellen der Azure Arc-fähigen Serverressource in Azure verwendet wird. Muss mit den --tenant-id Und-Kennzeichnungen --service-principal-secret oder --service-principal-cert Flags verwendet werden. Weitere Informationen finden Sie unter Authentifizierungsoptionen.

--service-principal-cert

Gibt den Pfad zu einer Dienstprinzipalzertifikatdatei an. Muss mit den --service-principal-id Kennzeichen verwendet --tenant-id werden. Das Zertifikat muss einen privaten Schlüssel enthalten und kann sich in einem PKCS #12 () befinden. PFX) oder ASCII-codierter Text (. PEM. CRT)-Format. Kennwortgeschützte PFX-Dateien werden nicht unterstützt. Weitere Informationen finden Sie unter Authentifizierungsoptionen.

-p, --service-principal-secret

Gibt den Dienstprinzipalschlüssel an. Muss mit den --service-principal-id Kennzeichen verwendet --tenant-id werden. Um das Verfügbarmachen des geheimen Schlüssels in Konsolenprotokollen zu vermeiden, empfiehlt Microsoft die Bereitstellung des Dienstprinzipalschlüssels in einer Konfigurationsdatei. Weitere Informationen finden Sie unter Authentifizierungsoptionen.

-s, --subscription-id

Der Abonnementname oder die ID, in der Sie die Azure Arc-fähige Serverressource erstellen möchten.

Beispielwerte: Production, aaaaaaaa-bbbb-cccc-ddddd-ee

--tags

Durch Trennzeichen getrennte Liste von Tags, die auf die Azure Arc-fähige Serverressource angewendet werden sollen. Jedes Tag sollte im Format angegeben werden: TagName=TagValue. Wenn der Tagname oder -wert ein Leerzeichen enthält, verwenden Sie einzelne Anführungszeichen um den Namen oder Wert.

Beispielwert: Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'

-t, --tenant-id

Die Mandanten-ID für das Abonnement, in dem Sie die Azure Arc-fähige Serverressource erstellen möchten. Diese Kennzeichnung ist beim Authentifizieren mit einem Dienstprinzipal erforderlich. Für alle anderen Authentifizierungsmethoden wird der Homemandant des Kontos, das für die Authentifizierung mit Azure verwendet wird, auch für die Ressource verwendet. Wenn die Mandanten für das Konto und das Abonnement unterschiedlich sind (Gastkonten, Lighthouse), müssen Sie die Mandanten-ID angeben, um den Mandanten zu klären, in dem sich das Abonnement befindet.

--use-device-code

Generieren Sie einen Microsoft Entra-Geräteanmeldungscode, der in einen Webbrowser auf einem anderen Computer eingegeben werden kann, um den Agent bei Azure zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierungsoptionen.

--user-tenant-id

Die Mandanten-ID für das Konto, mit dem der Server mit Azure verbunden wird. Dieses Feld ist erforderlich, wenn der Mandant des Onboarding-Kontos nicht mit dem gewünschten Mandanten für die Azure Arc-fähige Serverressource identisch ist.

Allgemeine Kennzeichnungen, die für alle Befehle verfügbar sind

--config

Verwendet einen Pfad zu einer JSON- oder YAML-Datei, die Eingaben für den Befehl enthält. Die Konfigurationsdatei sollte eine Reihe von Schlüsselwertpaaren enthalten, bei denen der Schlüssel einer verfügbaren Befehlszeilenoption entspricht. Um beispielsweise das --verbose Flag zu übergeben, würde die Konfigurationsdatei wie folgt aussehen:

{
    "verbose": true
}

Wenn eine Befehlszeilenoption sowohl im Befehlsaufruf als auch in einer Konfigurationsdatei gefunden wird, hat der in der Befehlszeile angegebene Wert Vorrang.

-h, --help

Erhalten Sie Hilfe zum aktuellen Befehl, einschließlich seiner Syntax und Befehlszeilenoptionen.

-j, --json

Gibt das Befehlsergebnis im JSON-Format aus.

--log-stderr

Leiten Sie Fehler- und ausführliche Nachrichten an den Standardfehlerdatenstrom (Stderr) um. Standardmäßig wird die gesamte Ausgabe an den Standardausgabedatenstrom (Stdout) gesendet.

--no-color

Deaktivieren Sie die Farbausgabe für Terminals, die KEINE ANSI-Farben unterstützen.

-v, --verbose

Zeigen Sie detailliertere Protokollierungsinformationen an, während der Befehl ausgeführt wird. Hilfreich für die Problembehandlung beim Ausführen eines Befehls.