Interaktive Anmeldung bei Azure PowerShell

Interaktive Anmeldungen bei Azure bieten eine intuitivere und flexiblere Benutzererfahrung. Die interaktive Anmeldung mit Azure PowerShell ermöglicht Es Benutzern, sich direkt über die PowerShell-Schnittstelle bei Azure zu authentifizieren, was für Ad-hoc-Verwaltungsaufgaben und Umgebungen hilfreich ist, die eine manuelle Anmeldung erfordern, z. B. solche mit mehrstufiger Authentifizierung (MFA). Diese Methode vereinfacht den Zugang zu Skripttests, dem Lernen und der spontanen Verwaltung, ohne dass man Dienstprinzipale oder andere nichtinteraktive Authentifizierungsmethoden vorkonfigurieren muss.

Voraussetzungen

• Installieren Sie die neueste Version des Az PowerShell-Moduls.

Interaktive Anmeldung

Verwenden Sie das Connect-AzAccount Cmdlet, um sich interaktiv anzumelden. Ab Az PowerShell-Modul Version 12.0.0 verwenden Windows-Systeme Web Account Manager (WAM) und Linux- und macOS-Systeme standardmäßig browserbasierte Anmeldung.

Connect-AzAccount

• Weitere Informationen zu WAM finden Sie unter Web Account Manager (WAM)
• Weitere Informationen zur browserbasierten Anmeldung finden Sie unter browserbasierte Anmeldung

Anmeldeerfahrung

Ab Az PowerShell-Modul, Version 12.0.0, werden Sie aufgefordert, ein Azure-Abonnement für die Anmeldung auszuwählen, wie im folgenden Beispiel gezeigt.

Please select the account you want to login with.

Retrieving subscriptions for the selection...
WARNING: To override which subscription Connect-AzAccount selects by default, use
`Update-AzConfig -DefaultSubscriptionForLogin 00000000-0000-0000-0000-000000000000`.
Go to https://go.microsoft.com/fwlink/?linkid=2200610 for more information.
[Tenant and subscription selection]

No    Subscription name                     Subscription ID                           Tenant name
----  ------------------------------------  ----------------------------------------  --------------
[1]   Facility Services Subscription        00000000-0000-0000-0000-000000000000      Contoso
[2]   Finance Department Subscription       00000000-0000-0000-0000-000000000000      Contoso
[3]   Human Resources Subscription          00000000-0000-0000-0000-000000000000      Contoso
[4]   Information Technology Subscription   00000000-0000-0000-0000-000000000000      Contoso

Select a tenant and subscription: 2

Subscription name                       Tenant name
------------------------------------    --------------------------
Finance Department Subscription         Contoso

[Announcements]
With the new Azure PowerShell login experience, you can select the subscription you want to use more easily.
Learn more about it and its configuration at https://go.microsoft.com/fwlink/?linkid=2271236.
Share your feedback regarding your experience with `Connect-AzAccount` at: https://aka.ms/azloginfeedback

If you encounter any problem, please open an issue at: https://aka.ms/azpsissue

Subscription name                      Tenant
-----------------                      ------
Finance Department Subscription        Contoso

Wenn Sie sich das nächste Mal anmelden, wird der zuvor ausgewählte Mandant und das Abonnement als Standard mit einem Sternchen (*) neben seiner Nummer markiert und in einer Zyanblaufarbe hervorgehoben. Auf diese Weise können Sie die EINGABETASTE drücken, um die Standardeinstellung auszuwählen oder eine Nummer einzugeben, um einen anderen Mandanten und ein anderes Abonnement auszuwählen.

No    Subscription name                     Subscription ID                           Tenant name
----  ------------------------------------  ----------------------------------------  --------------
[1]   Facility Services Subscription        00000000-0000-0000-0000-000000000000      Contoso
[2] * Finance Department Subscription       00000000-0000-0000-0000-000000000000      Contoso
[3]   Human Resources Subscription          00000000-0000-0000-0000-000000000000      Contoso
[4]   Information Technology Subscription   00000000-0000-0000-0000-000000000000      Contoso

The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Finance Department Subscription (00000000-0000-0000-0000-000000000000)'.

Select a tenant and subscription (type a number or Enter to accept default): 4

Subscription name                       Tenant name
------------------------------------    --------------------------
Information Technology Subscription     Contoso

Befehle werden standardmäßig für dieses Abonnement ausgeführt. Verwenden Sie das Set-AzContext Cmdlet, um Ihr aktives Abonnement zu ändern. Weitere Informationen finden Sie unter Azure PowerShell-Kontextobjekte.

Konfigurieren Ihres Standardabonnements für die Anmeldung

Um zu verhindern, dass jedes Mal, wenn Sie sich interaktiv anmelden, ein Abonnement auswählen, verwenden Sie das Update-AzConfig Cmdlet, um Ihr Standardabonnement festzulegen, wie im folgenden Beispiel gezeigt.

Update-AzConfig -DefaultSubscriptionForLogin '<subscription name or id>'

Deaktivieren der neuen Anmeldeoberfläche

Um die neue Anmeldeoberfläche zu deaktivieren, verwenden Sie das Update-AzConfig Cmdlet, wie im folgenden Beispiel gezeigt.

Update-AzConfig -LoginExperienceV2 Off

Wenn die neue Anmeldeoberfläche deaktiviert ist und Sie Zugriff auf mehrere Abonnements haben, werden Sie beim ersten Abonnement angemeldet, das Azure zurückgibt. Befehle werden standardmäßig für dieses Abonnement ausgeführt. Verwenden Sie das Set-AzContext Cmdlet, um Ihr aktives Abonnement für eine Sitzung zu ändern. Verwenden Sie das Select-AzContext Cmdlet, um Ihr aktives Abonnement zu ändern und zwischen Sitzungen im selben System beizubehalten.

Web-Kundenbetreuer (WAM)

Ab Az PowerShell-Modul Version 12.0.0 ist die Standardmäßige Anmeldeauthentifizierungsmethode von Azure PowerShell für Windows-basierte Systeme Web Account Manager (WAM).

WAM ist eine Windows 10+-Komponente, die als Authentifizierungsbroker fungiert. Ein Authentifizierungsbroker ist eine Anwendung, die auf Ihrem System ausgeführt wird, die die Authentifizierungs-Handshakes und die Tokenwartung für verbundene Konten verwaltet.

Vorteile von WAM

Die Verwendung von WAM bietet mehrere Vorteile:

• Verbesserte Sicherheit. Siehe Bedingter Zugriff: Tokenschutz (Vorschau).
• Unterstützung für Windows Hello, Richtlinien für bedingten Zugriff und FIDO-Schlüssel.
• Vereinfachte Einmalanmeldung.
• Fehlerkorrekturen und Verbesserungen, die mit Windows ausgeliefert wurden.

Einschränkungen von WAM

Im aktuellen Entwicklungsstadium gibt es einige bekannte Einschränkungen für WAM:

• WAM ist unter Windows 10 und höher und unter Windows Server 2019 und höher verfügbar. Unter Linux, macOS und früheren Versionen von Windows wird Azure PowerShell automatisch auf browserbasierte Anmeldung festgelegt.

• Die Verwendung von WAM zum Anmelden bei nationalen Clouds wird derzeit nicht unterstützt.

• Microsoft-Konten (z. B. oder @outlook.com muss den @live.com) angeben, wenn er mit MFA verwendet wird.

  Connect-AzAccount -Tenant 00000000-0000-0000-0000-000000000000
  

DEAKTIVIEREN VON WAM

Um die browserbasierte Anmeldung unter Windows 10 und höher oder unter Windows Server 2019 und höher mit Az 12.0.0 und höher zu verwenden, müssen Sie WAM für die Verwendung mit Azure PowerShell deaktivieren. Verwenden Sie den folgenden Befehl, um WAM zu deaktivieren und zur browserbasierten Anmeldung zurückzukehren, der Standardwert vor Az 12.0.0.

Update-AzConfig -EnableLoginByWam $false

Browserbasierte Anmeldung

Browserbasierte Anmeldung ist die standardmäßige interaktive Anmeldung für Linux-, macOS- und Windows-Systeme, die älter als Windows 10 oder Windows Server 2019 sind. Ab Az PowerShell-Modul, Version 12.0.0, müssen Sie WAM für Azure PowerShell deaktivieren, um browserbasierte Anmeldung auf Windows-basierten Systemen zu verwenden, die vor Az 12.0.0 die Standardeinstellung war.

Wenn Sie sich interaktiv mit dem Cmdlet anmelden, öffnet die Connect-AzAccount browserbasierte Anmeldung den Standardwebbrowser, um eine Azure-Anmeldeseite zu laden. Melden Sie sich mit Ihren Azure-Kontoanmeldeinformationen im Browser an.

Wenn Azure PowerShell Ihren Standardbrowser öffnen kann, initiiert er den Autorisierungscodefluss und öffnet den Standardbrowser zum Laden einer Azure-Anmeldeseite. Andernfalls wird der Gerätecodefluss initiiert, der Sie anweist, eine Browserseite bei microsoft.com/devicelogin zu öffnen und den code einzugeben, der in Ihrer PowerShell-Sitzung angezeigt wird.

Gerätecodeauthentifizierung

Wenn Web Account Manager oder ein Webbrowser nicht verfügbar ist oder nicht geöffnet werden kann, können Sie den Gerätecodefluss erzwingen, indem Sie den UseDeviceAuthentication-Parameter angeben.

Connect-AzAccount -UseDeviceAuthentication

Anmelden bei einem anderen Mandanten

Wenn Ihr Konto mehreren Mandanten zugeordnet ist, muss bei der Anmeldung der Parameter "Tenant " angegeben werden, wenn eine Verbindung hergestellt wird. Dieser Parameter funktioniert mit jeder Anmeldemethode. Bei der Anmeldung kann dieser Parameterwert entweder die Azure-Objekt-ID des Mandanten (Mandanten-ID) oder der vollqualifizierte Domänenname des Mandanten sein.

Connect-AzAccount -Tenant 00000000-0000-0000-0000-000000000000

Anmelden bei einer nationalen Cloud

Nationale Clouds (auch als souveräne Clouds bezeichnet) sind physisch isolierte Instanzen von Azure, um sicherzustellen, dass die Anforderungen an die Datenhaltung, Souveränität und Compliance innerhalb geografischer Grenzen eingehalten werden. Legen Sie für Konten in einer nationalen Cloud die Umgebung fest, wenn Sie sich mit dem Parameter "Environment" anmelden. Dieser Parameter funktioniert mit jeder Anmeldemethode. Wenn sich Ihr Konto beispielsweise in Azure China 21Vianet befindet, verwenden Sie den folgenden Befehl:

Connect-AzAccount -Environment AzureChinaCloud

Sie können eine Liste der verfügbaren nationalen Cloudumgebungen abrufen, indem Sie den folgenden Befehl ausführen:

Get-AzEnvironment | Select-Object -Property Name

Siehe auch

• Connect-AzAccount
• Set-AzContext
• Select-AzContext
• Update-AzConfig