你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

azcmagent 断开连接

删除云中已启用 Azure Arc 的服务器资源,并重置本地代理的配置。 有关删除扩展以及断开连接和卸载代理的详细信息,请参阅卸载代理

使用情况

azcmagent disconnect [authentication] [flags]

示例

使用默认登录方法(交互式浏览器或设备代码)断开连接服务器。

azcmagent disconnect

使用服务主体断开连接服务器。

azcmagent disconnect --service-principal-id "ID" --service-principal-secret "SECRET"

如果删除了 Azure 中的相应资源,则断开连接服务器。

azcmagent disconnect --force-local-only

身份验证选项

可通过 4 种方式向 Azure Connected Machine Agent 提供身份验证凭据。 选择一个身份验证选项,并将用法语法中的 [authentication] 部分替换为建议的标志。

注意

用于断开连接服务器的帐户必须来自注册服务器的订阅所在的同一租户。

交互式浏览器登录(仅适用于 Windows)

此选项是提供桌面体验的 Windows 操作系统上的默认选项。 登录页将在默认 Web 浏览器中打开。 如果组织配置了要求从受信任计算机登录的条件访问策略,则可能需要使用此选项。

无需提供标志即可使用交互式浏览器登录。

设备代码登录

此选项会生成一个代码,你可以使用该代码在另一台设备上的 Web 浏览器中登录。 这是 Windows Server 核心版和所有 Linux 发行版的默认选项。 执行 connect 命令时,需要在 5 分钟内在已连接到 Internet 的设备上打开指定的登录 URL 并完成登录流。

若要使用设备代码进行身份验证,请使用 --use-device-code 标志。

具有机密的服务主体

服务主体允许以非交互方式进行身份验证,通常用于跨多个服务器运行同一脚本的大规模操作。 建议通过配置文件提供服务主体信息(请参阅 --config),以避免在任何控制台日志中透露机密。 此外,服务主体应该专用于 Arc 加入并拥有尽可能少的权限,以遏制凭据被盗所造成的影响。

要使用机密向服务主体进行身份验证,请提供服务主体的应用程序 ID、机密和租户 ID:--service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

具有证书的服务主体

利用基于证书的身份验证,可以更安全地使用服务主体进行身份验证。 代理接受同时包含私钥和公钥的 PCKS #12 (.PFX) 文件和 ASCII 编码的文件(如 .PEM)。 证书必须在本地磁盘上可用,并且运行 azcmagent 命令的用户需要对文件具有读取访问权限。 不支持受密码保护的 PFX 文件。

要使用证书向服务主体进行身份验证,请提供服务主体的应用程序 ID、租户 ID 和证书文件的路径:--service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

有关详细信息,请参阅使用基于证书的身份验证为 RBAC 创建服务主体

访问令牌

访问令牌也可用于非交互式身份验证,但其有效期很短,通常由多个服务器上运行的自动化解决方案短时间使用。 可以使用 Get-AzAccessToken 或任何其他 Microsoft Entra 客户端获取访问令牌。

若要使用访问令牌进行身份验证,请使用 --access-token [token] 标志。

Flags

--access-token

指定用于在 Azure 中创建已启用 Azure Arc 的服务器资源的 Microsoft Entra 访问令牌。 有关详细信息,请参阅身份验证选项

-f, --force-local-only

断开连接服务器,但不删除 Azure 中的资源。 主要在 Azure 资源已被删除且需要清理本地代理配置的情况下使用。

-i, --service-principal-id

指定用于在 Azure 中创建已启用 Azure Arc 的服务器资源的服务主体的应用程序 ID。 必须与 --tenant-id 以及 --service-principal-secret--service-principal-cert 标志一起使用。 有关详细信息,请参阅身份验证选项

--service-principal-cert

指定服务主体证书文件的路径。 必须与 --service-principal-id--tenant-id 标志一起使用。 证书必须包含私钥,并且可以采用 PKCS #12 (.PFX) 或 ASCII 编码的文本(.PEM、.CRT)格式。 不支持受密码保护的 PFX 文件。 有关详细信息,请参阅身份验证选项

-p, --service-principal-secret

指定服务主体机密。 必须与 --service-principal-id--tenant-id 标志一起使用。 为了避免在控制台日志中公开机密,Microsoft建议在配置文件中提供服务主体机密。 有关详细信息,请参阅身份验证选项

--use-device-code

生成一个 Microsoft Entra 设备登录代码,可在另一台计算机上的 Web 浏览器中输入该代码,以便在 Azure 中对代理进行身份验证。 有关详细信息,请参阅身份验证选项

--user-tenant-id

用于将服务器连接到 Azure 的帐户的租户 ID。 如果载入帐户的租户与已启用 Azure Arc 的服务器资源所需的租户不同,则需要此字段。

适用于所有命令的通用标志

--config

接受包含命令输入的 JSON 或 YAML 文件的路径。 配置文件应包含一系列键值对,其中键与可用的命令行选项匹配。 例如,若要传入 --verbose 标志,配置文件将如下所示:

{
    "verbose": true
}

如果在命令调用和配置文件中找到命令行选项,则命令行中指定的值优先。

-h, --help

获取有关当前命令的帮助,包括其语法和命令行选项。

-j, --json

以 JSON 格式输出命令结果。

--log-stderr

将错误和详细消息重定向到标准错误 (stderr) 流。 默认情况下,所有输出都发送到标准输出 (stdout) 流。

--no-color

禁用不支持 ANSI 颜色的终端的颜色输出。

-v, --verbose

在执行命令时显示更详细的日志记录信息。 用于排查运行命令时出现的问题。