你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

az ad sp

管理 Microsoft Entra 服务主体。

命令

名称 说明 类型 Status
az ad sp create

创建服务主体。

核心 GA
az ad sp create-for-rbac

创建服务主体并配置其对 Azure 资源的访问权限。

核心 GA
az ad sp credential

管理服务主体的密码或证书凭据。

核心 GA
az ad sp credential delete

删除服务主体的密码或证书凭据。

核心 GA
az ad sp credential list

列出服务主体的密码或证书凭据元数据。 (密码或证书凭据的内容不可检索。

核心 GA
az ad sp credential reset

重置服务主体的密码或证书凭据。

核心 GA
az ad sp delete

删除服务主体。

核心 GA
az ad sp list

列出服务主体。

核心 GA
az ad sp owner

管理服务主体所有者。

核心 GA
az ad sp owner list

列出服务主体所有者。

核心 GA
az ad sp show

获取服务主体的详细信息。

核心 GA
az ad sp update

更新服务主体。

核心 GA

az ad sp create

创建服务主体。

az ad sp create --id

示例

创建服务主体。 (自动生成)

az ad sp create --id 00000000-0000-0000-0000-000000000000

必需参数

--id

关联的应用程序的标识符 URI、应用程序 ID 或对象 ID。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az ad sp create-for-rbac

创建服务主体并配置其对 Azure 资源的访问权限。

输出包含你必须保护的凭据。 请确保没有将这些凭据包含在代码中,也没有将凭据签入到源代码管理中。 或者,考虑使用托管标识(如可用)以避免使用凭据。

默认情况下,此命令不会向服务主体分配任何角色。 可以使用 --role 和 --scopes 分配特定角色,并将范围缩小到资源或资源组。 稍后还可以用于 az role assignment create 为此服务主体创建角色分配。 有关详细信息,请参阅 添加角色分配 的步骤。

az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--display-name]
                         [--json-auth {false, true}]
                         [--keyvault]
                         [--role]
                         [--scopes]
                         [--years]

示例

在没有角色分配的情况下创建。

az ad sp create-for-rbac

使用自定义显示名称创建。

az ad sp create-for-rbac -n MyApp

使用指定作用域的参与者角色分配创建。 若要检索当前订阅 ID,请运行“az account show --query id --output tsv”。

az ad sp create-for-rbac -n MyApp --role Contributor --scopes /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup2

使用自签名证书创建。

az ad sp create-for-rbac --create-cert

使用自签名证书创建,并将其存储在 KeyVault 中。

az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert

在 KeyVault 中使用现有证书创建。

az ad sp create-for-rbac --keyvault MyVault --cert CertName

可选参数

--cert

用于凭据的证书。 与 一起使用 --keyvault,时,指示要使用的或创建的证书的名称。 否则,请提供 PEM 或 DER 格式的公共证书字符串。 用于 @{path} 从文件加载。 不要包含私钥信息。

--create-cert

创建用于凭据的自签名证书。 只有当前 OS 用户具有对此证书的读/写权限。 --keyvault用于在密钥库中创建证书。 否则,将在本地创建证书。

默认值: False
--display-name --name -n

服务主体的显示名称。 如果不存在,则默认为 azure-cli-%Y-%m-%d-%H-%M-%S,其中后缀是创建时间。

--json-auth --sdk-auth
已放弃

选项“--sdk-auth”已弃用,将在将来的版本中删除。

输出服务主体凭据以及 JSON 格式的云终结点。

接受的值: false, true
--keyvault

用于创建或检索证书的 KeyVault 的名称或 ID。

--role

服务主体的角色。

--scopes

服务主体的角色分配适用的范围空间分隔列表。例如,subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

--years

凭据的有效年数。 默认值:1 年。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az ad sp delete

删除服务主体。

az ad sp delete --id

示例

删除服务主体。

az ad sp delete --id 00000000-0000-0000-0000-000000000000

必需参数

--id

服务主体名称或对象 ID。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az ad sp list

列出服务主体。

对于低延迟,默认情况下,仅返回前 100 个,除非提供筛选器参数或使用“--all”。

az ad sp list [--all]
              [--display-name]
              [--filter]
              [--show-mine]
              [--spn]

可选参数

--all

列出所有实体,如果大型组织下,预期延迟较长。

--display-name

对象的显示名称或其前缀。

--filter

OData 筛选器,例如 --filter “displayname eq 'test' and servicePrincipalType eq 'Application'”。

--show-mine

列出当前用户拥有的实体。

--spn

服务主体名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az ad sp show

获取服务主体的详细信息。

az ad sp show --id

示例

使用 appId 获取服务主体的详细信息。

az ad sp show --id 00000000-0000-0000-0000-000000000000

获取 ID 为的服务主体的详细信息。

az ad sp show --id 00000000-0000-0000-0000-000000000000

获取具有标识符 URI 的服务主体的详细信息。

az ad sp show --id api://myapp

必需参数

--id

服务主体名称或对象 ID。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az ad sp update

更新服务主体。

az ad sp update --id
                [--add]
                [--force-string]
                [--remove]
                [--set]

示例

更新服务主体(自动生成)

az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All

必需参数

--id

服务主体名称或对象 ID。

可选参数

--add

通过指定路径和键值对将对象添加到对象列表。 示例:--add property.listProperty <key=value, string or JSON string>

默认值: []
--force-string

使用“set”或“add”时,保留字符串文本,而不是尝试转换为 JSON。

默认值: False
--remove

从列表中删除属性或元素。 示例: --remove property.list <indexToRemove> OR --remove propertyToRemove.

默认值: []
--set

通过指定要设置的属性路径和值来更新对象。 示例:--set property1.property2=<value>

默认值: []
全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。