Partilhar via

desconexão azcmagent

  • Artigo

Exclui o recurso de servidor habilitado para Azure Arc na nuvem e redefine a configuração do agente local. Para obter informações detalhadas sobre como remover extensões e desconectar e desinstalar o agente, consulte desinstalar o agente.

Utilização

azcmagent disconnect [authentication] [flags]

Exemplos

Desconecte um servidor usando o método de login padrão (navegador interativo ou código do dispositivo).

azcmagent disconnect

Desconecte um servidor usando uma entidade de serviço.

azcmagent disconnect --service-principal-id "ID" --service-principal-secret "SECRET"

Desconecte um servidor se o recurso correspondente no Azure já tiver sido excluído.

azcmagent disconnect --force-local-only

Opções de autenticação

Há quatro maneiras de fornecer credenciais de autenticação para o agente de máquina conectada do Azure. Escolha uma opção de autenticação e substitua a [authentication] seção na sintaxe de uso pelos sinalizadores recomendados.

Nota

A conta usada para desconectar um servidor deve ser do mesmo locatário da assinatura em que o servidor está registrado.

Login interativo do navegador (somente Windows)

Esta opção é o padrão em sistemas operacionais Windows com uma experiência de área de trabalho. A página de login é aberta no navegador da Web padrão. Esta opção poderá ser necessária se a sua organização tiver configurado políticas de acesso condicional que exijam que inicie sessão a partir de máquinas fidedignas.

Nenhum sinalizador é necessário para usar o login interativo do navegador.

Login de código do dispositivo

Essa opção gera um código que pode utilizar para fazer login num navegador da Web em outro dispositivo. Esta é a opção padrão nas edições principais do Windows Server e em todas as distribuições Linux. Ao executar o comando connect, tem 5 minutos para abrir a URL de login especificada num dispositivo conectado à Internet e concluir o fluxo de login.

Para autenticar com um código de dispositivo, use o --use-device-code sinalizador.

Principal de serviço com segredo

As entidades de serviço permitem que você se autentique de forma não interativa e geralmente são usadas para operações em escala em que o mesmo script é executado em vários servidores. É recomendável que você forneça informações da entidade de serviço por meio de um arquivo de configuração (consulte --config) para evitar expor o segredo em qualquer log do console. A entidade de serviço também deve ser dedicada à integração do Arc e ter o mínimo de permissões possível, para limitar o impacto de uma credencial roubada.

Para autenticar com uma entidade de serviço usando um segredo, forneça a ID do aplicativo, o segredo e a ID do locatário da entidade de serviço: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Entidade de serviço com certificado

A autenticação baseada em certificado é uma maneira mais segura de autenticar usando entidades de serviço. O agente aceita ambos PCKS #12 (. PFX) e arquivos codificados em ASCII (como . PEM) que contêm as chaves privada e pública. O certificado deve estar disponível no disco local e o usuário que executa o azcmagent comando precisa de acesso de leitura ao arquivo. Não há suporte para arquivos PFX protegidos por senha.

Para autenticar com uma entidade de serviço usando um certificado, forneça a ID do aplicativo, a ID do locatário e o caminho para o arquivo de certificado da entidade de serviço: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Para obter mais informações, consulte criar uma entidade de serviço para RBAC com autenticação baseada em certificado.

Token de acesso

Os tokens de acesso também podem ser usados para autenticação não interativa, mas são de curta duração e normalmente usados por soluções de automação que operam em vários servidores durante um curto período de tempo. Você pode obter um token de acesso com Get-AzAccessToken ou qualquer outro cliente Microsoft Entra.

Para autenticar com um token de acesso, use o --access-token [token] sinalizador.

Sinalizadores

--access-token

Especifica o token de acesso do Microsoft Entra usado para criar o recurso de servidor habilitado para Azure Arc no Azure. Para obter mais informações, consulte Opções de autenticação.

-f, --force-local-only

Desconecta o servidor sem excluir o recurso no Azure. Usado principalmente se o recurso do Azure foi excluído e a configuração do agente local precisa ser limpa.

-i, --service-principal-id

Especifica a ID do aplicativo da entidade de serviço usada para criar o recurso de servidor habilitado para Azure Arc no Azure. Deve ser usado com o --tenant-id e ou as --service-principal-secret --service-principal-cert bandeiras. Para obter mais informações, consulte Opções de autenticação.

--service-principal-cert

Especifica o caminho para um arquivo de certificado da entidade de serviço. Deve ser usado com as --service-principal-id bandeiras e --tenant-id . O certificado deve incluir uma chave privada e pode estar em um PKCS #12 (. PFX) ou texto codificado em ASCII (. PEM, . CRT). Não há suporte para arquivos PFX protegidos por senha. Para obter mais informações, consulte Opções de autenticação.

-p, --service-principal-secret

Especifica o segredo da entidade de serviço. Deve ser usado com as --service-principal-id bandeiras e --tenant-id . Para evitar expor o segredo nos logs do console, a Microsoft recomenda fornecer o segredo da entidade de serviço em um arquivo de configuração. Para obter mais informações, consulte Opções de autenticação.

--use-device-code

Gere um código de logon de dispositivo Microsoft Entra que pode ser inserido em um navegador da Web em outro computador para autenticar o agente com o Azure. Para obter mais informações, consulte Opções de autenticação.

--user-tenant-id

A ID do locatário da conta usada para conectar o servidor ao Azure. Este campo é obrigatório quando o locatário da conta de integração não é o mesmo que o locatário desejado para o recurso de servidor habilitado para Arco do Azure.

Sinalizadores comuns disponíveis para todos os comandos

--config

Leva um caminho para um arquivo JSON ou YAML contendo entradas para o comando. O arquivo de configuração deve conter uma série de pares chave-valor em que a chave corresponde a uma opção de linha de comando disponível. Por exemplo, para passar o --verbose sinalizador, o arquivo de configuração teria a seguinte aparência:

{
    "verbose": true
}

Se uma opção de linha de comando for encontrada na invocação de comando e em um arquivo de configuração, o valor especificado na linha de comando terá precedência.

-h, --help

Obtenha ajuda para o comando atual, incluindo suas opções de sintaxe e linha de comando.

-j, --json

Saída do resultado do comando no formato JSON.

--log-stderr

Redirecionar mensagens de erro e detalhadas para o fluxo de erro padrão (stderr). Por padrão, toda a saída é enviada para o fluxo de saída padrão (stdout).

--no-color

Desative a saída de cores para terminais que não suportam cores ANSI.

-v, --verbose

Mostrar informações de log mais detalhadas enquanto o comando é executado. Útil para solucionar problemas ao executar um comando.