Inicio de sesión interactivo en Azure PowerShell
Los inicios de sesión interactivos en Azure ofrecen una experiencia de usuario más intuitiva y flexible. El inicio de sesión interactivo con Azure PowerShell permite a los usuarios autenticarse directamente en Azure mediante la interfaz de PowerShell, lo que resulta útil para las tareas de administración ad hoc y para entornos que requieren un inicio de sesión manual, como los que tienen autenticación multifactor (MFA). Este método simplifica el acceso a las pruebas de scripts, el aprendizaje y la administración sobre la marcha sin necesidad de configurar previamente las entidades de servicio u otros métodos de autenticación no interactivos.
Importante
A partir de principios de 2025, los inicios de sesión de Azure PowerShell mediante identidades de usuario de Id. de Microsoft Entra para la autenticación requieren autenticación multifactor (MFA). Para más información, consulte Planeamiento de la autenticación multifactor obligatoria para Azure y otros portales de administración.
Requisitos previos
Inicio de sesión interactivo
Para iniciar sesión de forma interactiva, use el cmdlet Connect-AzAccount
. A partir de la versión 12.0.0 del módulo Az PowerShell, los sistemas Windows usan el Administrador de cuentas web (WAM), mientras que los sistemas Linux y macOS usan el inicio de sesión basado en explorador de manera predeterminada.
Connect-AzAccount
- Para obtener más información sobre WAM, consulte Administrador de cuentas web (WAM).
- Para obtener más información sobre el inicio de sesión basado en explorador, consulte Inicio de sesión basado en el explorador
Experiencia de inicio de sesión
A partir de la versión 12.0.0 del módulo Az PowerShell, si tiene acceso a varias suscripciones de Azure, se le pedirá que seleccione aquella con la que quiere iniciar sesión, como se muestra en el siguiente ejemplo.
Please select the account you want to login with.
Retrieving subscriptions for the selection...
WARNING: To override which subscription Connect-AzAccount selects by default, use
`Update-AzConfig -DefaultSubscriptionForLogin 00000000-0000-0000-0000-000000000000`.
Go to https://go.microsoft.com/fwlink/?linkid=2200610 for more information.
[Tenant and subscription selection]
No Subscription name Subscription ID Tenant name
---- ------------------------------------ ---------------------------------------- --------------
[1] Facility Services Subscription 00000000-0000-0000-0000-000000000000 Contoso
[2] Finance Department Subscription 00000000-0000-0000-0000-000000000000 Contoso
[3] Human Resources Subscription 00000000-0000-0000-0000-000000000000 Contoso
[4] Information Technology Subscription 00000000-0000-0000-0000-000000000000 Contoso
Select a tenant and subscription: 2
Subscription name Tenant name
------------------------------------ --------------------------
Finance Department Subscription Contoso
[Announcements]
With the new Azure PowerShell login experience, you can select the subscription you want to use more easily.
Learn more about it and its configuration at https://go.microsoft.com/fwlink/?linkid=2271236.
Share your feedback regarding your experience with `Connect-AzAccount` at: https://aka.ms/azloginfeedback
If you encounter any problem, please open an issue at: https://aka.ms/azpsissue
Subscription name Tenant
----------------- ------
Finance Department Subscription Contoso
La próxima vez que inicie sesión, el inquilino y la suscripción seleccionados anteriormente se marcan como el valor predeterminado con un asterisco (*
) junto a su número y se resaltan en color azul cian. Esto le permite presionar Entrar para seleccionar el valor predeterminado o escribir un número para seleccionar un inquilino y una suscripción diferentes.
No Subscription name Subscription ID Tenant name
---- ------------------------------------ ---------------------------------------- --------------
[1] Facility Services Subscription 00000000-0000-0000-0000-000000000000 Contoso
[2] * Finance Department Subscription 00000000-0000-0000-0000-000000000000 Contoso
[3] Human Resources Subscription 00000000-0000-0000-0000-000000000000 Contoso
[4] Information Technology Subscription 00000000-0000-0000-0000-000000000000 Contoso
The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Finance Department Subscription (00000000-0000-0000-0000-000000000000)'.
Select a tenant and subscription (type a number or Enter to accept default): 4
Subscription name Tenant name
------------------------------------ --------------------------
Information Technology Subscription Contoso
Los comandos se ejecutan en esta suscripción de forma predeterminada. Para cambiar la suscripción activa, use el cmdlet Set-AzContext
. Para más información, consulte Objetos de contexto de Azure PowerShell.
Configuración de la suscripción predeterminada para el inicio de sesión
Para evitar que se le pida que seleccione una suscripción cada vez que inicie sesión de forma interactiva, use el cmdlet Update-AzConfig
para configurar la suscripción predeterminada, como se muestra en el ejemplo siguiente.
Update-AzConfig -DefaultSubscriptionForLogin '<subscription name or id>'
Deshabilitación de la nueva experiencia de inicio de sesión
Para deshabilitar la nueva experiencia de inicio de sesión, use el cmdlet Update-AzConfig
, como se muestra en el siguiente ejemplo.
Update-AzConfig -LoginExperienceV2 Off
Se inicia sesión en la primera suscripción que Azure devuelve si tiene acceso a más de una suscripción y la nueva experiencia de inicio de sesión está deshabilitada. Los comandos se ejecutan en esta suscripción de forma predeterminada. Para cambiar la suscripción activa dea sesión, use el cmdlet de Set-AzContext
. Para cambiar la suscripción activa y hacer que persista entre las sesiones en el mismo sistema, use el cmdlet de Select-AzContext
.
Administrador de cuentas web (WAM)
A partir de la versión 12.0.0 del módulo Az PowerShell, el método de autenticación de inicio de sesión predeterminado de Azure PowerShell para sistemas basados en Windows es Administrador de cuentas web (WAM).
WAM es un componente Windows 10+ que actúa como agente de autenticación. Un agente de autenticación es una aplicación que se ejecuta en su sistema y que administra los protocolos de enlace de autenticación y el mantenimiento de tokens para las cuentas conectadas.
Ventajas de WAM
El uso de WAM tiene varias ventajas:
- Seguridad mejorada. Consulte Acceso condicional: protección de tokens (versión preliminar).
- Compatibilidad con Windows Hello, directivas de acceso condicional y claves FIDO.
- Inicio de sesión único simplificado.
- Correcciones de errores y mejoras enviadas con Windows.
Limitaciones de WAM
En la fase actual de desarrollo, WAM presenta algunas limitaciones conocidas:
WAM está disponible en Windows 10 y versiones posteriores y en Windows Server 2019 y versiones posteriores. En Linux, macOS y versiones anteriores de Windows, Azure PowerShell tiene automáticamente como valor predeterminado el inicio de sesión basado en explorador.
Actualmente no se admite el uso de WAM para iniciar sesión en nubes nacionales.
Las cuentas Microsoft (por ejemplo, @outlook.com o @live.com) deben especificar el parámetro Tenant cuando se usan con MFA.
Connect-AzAccount -Tenant 00000000-0000-0000-0000-000000000000
Deshabilitación de WAM
Para usar el inicio de sesión basado en explorador en Windows 10 y versiones posteriores o en Windows Server 2019 y versiones posteriores con Az 12.0.0 y versiones posteriores, debe deshabilitar WAM para su uso con Azure PowerShell. Use el siguiente comando para deshabilitar WAM y volver al inicio de sesión basado en explorador, el valor predeterminado antes de Az 12.0.0.
Update-AzConfig -EnableLoginByWam $false
Inicio de sesión basado en explorador
El inicio de sesión basado en explorador es el inicio de sesión interactivo predeterminado para sistemas Linux, macOS y Windows anteriores a Windows 10 o Windows Server 2019. A partir de la versión 12.0.0 del módulo Az PowerShell, debe deshabilitar WAM para Azure PowerShell para poder usar el inicio de sesión basado en explorador en sistemas basados en Windows, que era el valor predeterminado antes de Az 12.0.0.
Al iniciar sesión de forma interactiva con el cmdlet Connect-AzAccount
, el inicio de sesión basado en explorador abre el explorador web predeterminado para cargar una página de inicio de sesión de Azure. Inicie sesión con las credenciales de su cuenta de Azure en el explorador.
Si Azure PowerShell puede abrir el explorador predeterminado, se inicia el flujo de código de autorización y se abre el explorador predeterminado para cargar una página de inicio de sesión de Azure. De lo contrario, se inicia el flujo de código de dispositivo, que le indica que abra una página del explorador en microsoft.com/devicelogin y escriba el código que se muestra en la sesión de PowerShell.
Autenticación con código de dispositivo
Si el Administrador de cuentas web o un explorador web no están disponibles o no se pueden abrir, puede forzar el flujo de código del dispositivo especificando el parámetro UseDeviceAuthentication.
Connect-AzAccount -UseDeviceAuthentication
Inicio de sesión con otro inquilino
Si su cuenta está asociada con más de un inquilino, para iniciar sesión es necesario especificar el parámetro Tenant al conectarse. Este parámetro funciona con cualquier método de inicio de sesión. Al iniciar sesión, el valor de este parámetro puede ser el identificador de objeto del inquilino de Azure (Id. de inquilino) o el nombre de dominio completo del inquilino.
Connect-AzAccount -Tenant 00000000-0000-0000-0000-000000000000
Inicio de sesión en una nube nacional
Las nubes nacionales (también conocidas como nubes soberanas) son instancias físicamente aisladas de Azure diseñadas para garantizar que se respetan los requisitos de residencia de datos, soberanía y cumplimiento dentro de los límites geográficos. Para las cuentas en una nube nacional, establezca el entorno al iniciar sesión con el parámetro Entorno. Este parámetro funciona con cualquier método de inicio de sesión. Por ejemplo, si su cuenta está en Azure China 21Vianet, use el siguiente comando:
Connect-AzAccount -Environment AzureChinaCloud
Ejecute el comando siguiente para obtener una lista de los entornos de nube nacionales disponibles:
Get-AzEnvironment | Select-Object -Property Name