Поделиться через

Войдите в Azure PowerShell в интерактивном режиме

  • Статья

Интерактивные имена входа в Azure обеспечивают более интуитивно понятный и гибкий интерфейс пользователя. Интерактивный вход с помощью Azure PowerShell позволяет пользователям аутентифицироваться в Azure непосредственно через интерфейс PowerShell, который полезен для неструктурированных задач управления и для сред, где требуется ручная аутентификация, таких как среда с многофакторной аутентификацией (MFA). Этот метод упрощает доступ к тестированию скриптов, обучению и оперативному управлению без необходимости предварительной настройки учетных записей служб или других неинтерактивных методов аутентификации.

Важный

Начиная с начала 2025 года аутентификация в Azure из Azure PowerShell с помощью удостоверения пользователя идентификатора Microsoft Entra ID потребует многофакторной проверки подлинности (MFA). Дополнительные сведения см. в статье Планирование обязательной многофакторной проверки подлинности для Azure и других порталов администрирования.

Необходимые условия

Интерактивный вход

Для интерактивного входа используйте командлет Connect-AzAccount. Начиная с модуля Az PowerShell версии 12.0.0, системы Windows используют диспетчер веб-учетных записей (WAM), а системы Linux и macOS по умолчанию используют имя входа на основе браузера.

Connect-AzAccount

Опыт входа

Начиная с модуля Az PowerShell версии 12.0.0, если у вас есть доступ к нескольким подпискам, вам будет предложено выбрать подписку Azure для входа, как показано в следующем примере.

Please select the account you want to login with.

Retrieving subscriptions for the selection...
WARNING: To override which subscription Connect-AzAccount selects by default, use
`Update-AzConfig -DefaultSubscriptionForLogin 00000000-0000-0000-0000-000000000000`.
Go to https://go.microsoft.com/fwlink/?linkid=2200610 for more information.
[Tenant and subscription selection]

No    Subscription name                     Subscription ID                           Tenant name
----  ------------------------------------  ----------------------------------------  --------------
[1]   Facility Services Subscription        00000000-0000-0000-0000-000000000000      Contoso
[2]   Finance Department Subscription       00000000-0000-0000-0000-000000000000      Contoso
[3]   Human Resources Subscription          00000000-0000-0000-0000-000000000000      Contoso
[4]   Information Technology Subscription   00000000-0000-0000-0000-000000000000      Contoso

Select a tenant and subscription: 2

Subscription name                       Tenant name
------------------------------------    --------------------------
Finance Department Subscription         Contoso

[Announcements]
With the new Azure PowerShell login experience, you can select the subscription you want to use more easily.
Learn more about it and its configuration at https://go.microsoft.com/fwlink/?linkid=2271236.
Share your feedback regarding your experience with `Connect-AzAccount` at: https://aka.ms/azloginfeedback

If you encounter any problem, please open an issue at: https://aka.ms/azpsissue

Subscription name                      Tenant
-----------------                      ------
Finance Department Subscription        Contoso

При следующем входе выбранный клиент и подписка помечаются как значения по умолчанию со звездочкой (*) рядом с его номером и выделены в синем цвете. Это позволяет нажать ВВОД, чтобы выбрать значение по умолчанию или ввести номер, чтобы выбрать другого арендатора и подписку.

No    Subscription name                     Subscription ID                           Tenant name
----  ------------------------------------  ----------------------------------------  --------------
[1]   Facility Services Subscription        00000000-0000-0000-0000-000000000000      Contoso
[2] * Finance Department Subscription       00000000-0000-0000-0000-000000000000      Contoso
[3]   Human Resources Subscription          00000000-0000-0000-0000-000000000000      Contoso
[4]   Information Technology Subscription   00000000-0000-0000-0000-000000000000      Contoso

The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Finance Department Subscription (00000000-0000-0000-0000-000000000000)'.

Select a tenant and subscription (type a number or Enter to accept default): 4

Subscription name                       Tenant name
------------------------------------    --------------------------
Information Technology Subscription     Contoso

По умолчанию команды выполняются для этой подписки. Чтобы изменить активную подписку, используйте командлет Set-AzContext. Дополнительные сведения см. в контекстных объектов Azure PowerShell.

Настройка подписки по умолчанию для входа

Чтобы запретить выбор подписки при каждом входе в систему, используйте командлет Update-AzConfig для задания подписки по умолчанию, как показано в следующем примере.

Update-AzConfig -DefaultSubscriptionForLogin '<subscription name or id>'

Отключение нового интерфейса входа

Чтобы отключить новый интерфейс входа, используйте командлет Update-AzConfig, как показано в следующем примере.

Update-AzConfig -LoginExperienceV2 Off

Если новый интерфейс входа отключен и у вас есть доступ к нескольким подпискам, вы входите в первую подписку в списке, которую возвращает Azure. Команды выполняются по умолчанию для этой подписки. Чтобы изменить активную подписку для сеанса, используйте командлет Set-AzContext. Чтобы изменить активную подписку и сохранить её между сеансами на одной и той же системе, используйте командлет Select-AzContext.

Менеджер веб-учетных записей (WAM)

Начиная с модуля Az PowerShell версии 12.0.0, метод проверки подлинности входа Azure PowerShell по умолчанию для систем windows — это диспетчер веб-учетных записей (WAM).

WAM — это компонент Windows 10+, который выступает в качестве брокера проверки подлинности. Брокер аутентификации — это приложение, работающее в вашей системе и управляющее процессами аутентификации и поддержкой токенов для подключенных учетных записей.

Преимущества WAM

Использование WAM предлагает несколько преимуществ:

  • Улучшенная безопасность. См. Условный Доступ: Защита Токенов (превью).
  • Поддержка политик windows Hello, политик условного доступа и ключей FIDO.
  • Упрощенный единый вход.
  • Исправления ошибок и улучшения, включенные в состав Windows.

Ограничения WAM

На текущем этапе разработки существует несколько известных ограничений для WAM:

  • WAM доступен в Windows 10 и более поздних версиях, а также в Windows Server 2019 и более поздних версий. В Linux, macOS и более ранних версиях Windows Azure PowerShell автоматически используется для входа в браузер.

  • Использование WAM для входа в национальные облака в настоящее время не поддерживается.

  • Учетные записи Майкрософт (например, @outlook.com или @live.com) должны указывать параметр клиента при использовании с MFA.

    Connect-AzAccount -Tenant 00000000-0000-0000-0000-000000000000

Отключение WAM

Чтобы использовать вход через браузер в Windows 10 и более поздних версиях или Windows Server 2019 с Az 12.0.0 и более поздними версиями, необходимо отключить WAM для использования с Azure PowerShell. Используйте следующую команду, чтобы отключить WAM и вернуться к входу через браузер, предустановленный вариант до Az версии 12.0.0.

Update-AzConfig -EnableLoginByWam $false

Вход на основе браузера

Имя входа на основе браузера — это интерактивное имя входа по умолчанию для систем Linux, macOS и Windows старше Windows 10 или Windows Server 2019. Начиная с модуля Az PowerShell версии 12.0.0, необходимо отключить WAM для Azure PowerShell для использования входа в браузере в системах под управлением Windows, что было по умолчанию до Az 12.0.0.

При интерактивном входе с помощью командлета Connect-AzAccount в браузере откроется веб-браузер по умолчанию для загрузки страницы входа в Azure. Войдите с помощью учетных данных учетной записи Azure в браузере.

Если Azure PowerShell может открыть браузер по умолчанию, он инициирует поток кода авторизации и открывает браузер по умолчанию для загрузки страницы входа Azure. В противном случае он инициирует поток кода устройства , который инструктирует вас открыть страницу браузера на microsoft.com/devicelogin и ввести код, отображаемый в сеансе PowerShell.

Проверка подлинности кода устройства

Если диспетчер веб-аккаунтов или веб-браузер недоступны или не открываются, можно принудительно выполнить поток кода устройства, указав параметр UseDeviceAuthentication.

Connect-AzAccount -UseDeviceAuthentication

Вход в другой клиент

Если ваша учетная запись связана с несколькими клиентами, вход требует, чтобы при подключении был указан параметр клиента. Этот параметр работает с любым методом входа. При входе в систему это значение параметра может быть идентификатором объекта Azure клиента (идентификатор клиента) или полным доменным именем клиента.

Connect-AzAccount -Tenant 00000000-0000-0000-0000-000000000000

Вход в национальное облако

Национальные облака (также известные как суверенные облака) являются физически изолированными экземплярами Azure, предназначенными для обеспечения расположения данных, суверенитета и соответствия требованиям в пределах географических границ. Для учетных записей в национальном облаке задайте среду при входе с помощью параметра среды. Этот параметр работает с любым методом входа. Например, если ваша учетная запись находится в Azure China 21Vianet, используйте следующую команду:

Connect-AzAccount -Environment AzureChinaCloud

Вы можете получить список доступных национальных облачных сред, выполнив следующую команду:

Get-AzEnvironment | Select-Object -Property Name

См. также