Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os inícios de sessão interativos no Azure oferecem uma experiência de utilizador mais intuitiva e flexível. Com a CLI do Azure, você pode autenticar no Azure diretamente por meio do comando az login . Este comando é útil para tarefas de gerenciamento ad-hoc e para ambientes que exigem entrada manual, como cenários com autenticação multifator (MFA). Esse método simplifica o acesso para teste de script, aprendizado e gerenciamento instantâneo sem a necessidade de pré-configurar entidades de serviço ou outros métodos de autenticação não interativos.
Importante
A partir de setembro de 2025, a Microsoft exigirá autenticação multifator (MFA) para a CLI do Azure e outras ferramentas de linha de comando. Essa alteração se aplica somente às identidades de usuário do Microsoft Entra ID e não afeta as identidades de carga de trabalho, como entidades de serviço ou identidadesgerenciadas.
Se você estiver usando az login um nome de usuário e senha para autenticar scripts ou fluxos de trabalho automatizados, agora é a hora de migrar para uma identidade de carga de trabalho. Para obter mais informações, consulte O impacto da autenticação multifator na CLI do Azure em cenários de automação.
Pré-requisitos
Login interativo
Para entrar interativamente, use o comando az login . A partir da CLI do Azure versão 2.61.0, a CLI do Azure usa o Gerenciador de Contas da Web (WAM) no Windows e um logon baseado em navegador no Linux e macOS por padrão.
az login
Seletor de subscrição
A partir da CLI do Azure versão 2.61.0, se você tiver acesso a várias assinaturas, será solicitado que selecione uma assinatura do Azure no momento do login, conforme mostrado no exemplo a seguir.
Retrieving subscriptions for the selection...
[Tenant and subscription selection]
No Subscription name Subscription ID Tenant name
---- ------------------------------------ ---------------------------------------- --------------
[1] Facility Services Subscription 00000000-0000-0000-0000-000000000000 Contoso
[2] Finance Department Subscription 00000000-0000-0000-0000-000000000000 Contoso
[3] Human Resources Subscription 00000000-0000-0000-0000-000000000000 Contoso
[4] * Information Technology Subscription 00000000-0000-0000-0000-000000000000 Contoso
The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Information Technology Subscription' (00000000-0000-0000-0000-000000000000).
Select a subscription and tenant (Type a number or Enter for no changes): 2
Tenant: Contoso
Subscription: Finance Department Subscription (00000000-0000-0000-0000-000000000000)
[Announcements] With the new Azure CLI login experience, you can select the subscription you want to
use more easily. Learn more about it and its configuration at
https://go.microsoft.com/fwlink/?linkid=2271236
If you encounter any problems, open an issue at https://aka.ms/azclibug
Da próxima vez que iniciar sessão, o inquilino e a subscrição previamente selecionados serão marcados como predefinidos com um asterisco (*) junto ao respetivo número. Essa marcação permite que você pressione Enter para selecionar a assinatura padrão.
Por padrão, os comandos são executados na assinatura selecionada. Use az account set para alterar sua assinatura a partir de uma linha de comando a qualquer momento. Para obter mais informações, consulte Como gerenciar assinaturas do Azure com a CLI do Azure.
Aqui estão algumas diretrizes sobre o seletor de assinatura para ter em mente:
- O seletor de assinatura só está disponível em Windows, Linux ou macOS de 64 bits.
- O seletor de assinatura só está disponível ao usar o
az logincomando. - Você não será solicitado a selecionar uma assinatura quando estiver a fazer login com um principal de serviço ou identidade gerida.
Se quiser desativar o recurso seletor de assinatura, defina a propriedade core.login_experience_v2 configuration como off.
az config set core.login_experience_v2=off
az login
Iniciar sessão com o Gestor de Conta Web (WAM) no Windows
A partir da CLI do Azure versão 2.61.0, o Web Account Manager (WAM) é o método de autenticação padrão no Windows. O WAM é um componente do Windows 10+ que atua como um agente de autenticação. Um agente de autenticação é um aplicativo executado na máquina de um usuário. Ele gerencia os handshakes de autenticação e a manutenção de tokens para contas conectadas.
Usar o WAM tem vários benefícios:
- Segurança reforçada. Consulte Acesso condicional: proteção de token (visualização).
- Suporte para Windows Hello, políticas de acesso condicional e chaves FIDO.
- Logon único simplificado.
- Correções de bugs e melhorias fornecidas com o Windows.
Se você encontrar um problema como User cancelled the Accounts Control Operation e quiser reverter para o método de autenticação anterior baseado em navegador, defina a propriedade de configuração core.enable_broker_on_windows como false.
az account clear
az config set core.enable_broker_on_windows=false
az login
O WAM está disponível no Windows 10 e posterior, e no Windows Server 2019 e posterior.
Iniciar sessão com um navegador
A CLI do Azure assume como padrão um método de autenticação baseado em navegador quando uma das seguintes condições for verdadeira:
- O sistema operacional (SO) é Linux, macOS ou o sistema operacional Windows é anterior ao Windows 10 ou Windows Server 2019.
- A propriedade de configuração
core.enable_broker_on_windowsé definida comofalse.
Para iniciar sessão com um browser, siga estes passos:
Execute o comando
az login.az loginSe a CLI do Azure puder abrir seu navegador padrão, ela iniciará o fluxo de código de autorização e abrirá o navegador padrão para carregar uma página de entrada do Azure.
Caso contrário, ele inicia o fluxo de código do dispositivo e instrui você a abrir uma página do navegador em https://aka.ms/devicelogin. Em seguida, insira o código exibido no seu terminal.
Se nenhum navegador da Web estiver disponível ou se o navegador da Web não abrir, você poderá forçar o fluxo de código do dispositivo com
az login --use-device-code.Inicie sessão com as credenciais da sua conta no browser.
Iniciar sessão com credenciais na linha de comandos
Forneça as suas credenciais de utilizador do Azure na linha de comandos. Você só deve usar esse método de autenticação ao trabalhar com a CLI do Azure interativamente. Para aplicativos de nível de produção, use uma entidade de serviço ou identidade gerenciada.
Essa abordagem não funciona com contas da Microsoft ou contas que têm a autenticação multifator (MFA) habilitada. Você recebe uma mensagem de que é necessária a autenticação interativa.
az login --user <username> --password <password>
Importante
Para evitar exibir sua senha no terminal ao usar az login interativamente, use o read -s comando em Bash.
read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS
No PowerShell, utilize o Get-Credential cmdlet.
$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password
Iniciar sessão com um inquilino diferente
Você pode selecionar um locatário para entrar com o --tenant argumento. O valor desse argumento pode ser um .onmicrosoft.com domínio ou a ID de objeto do Azure para o locatário. Os métodos de entrada interativos e de linha de comando funcionam com --tenanto .
Em ambientes selecionados e começando na CLI do Azure versão 2.61.0, deve-se desabilitar o seletor de assinatura ao definir a propriedade de configuração core.login_experience_v2 como off.
# disable the subscription selector (v. 2.61.0 and up)
az config set core.login_experience_v2=off
# login with a tenant ID
az login --tenant 00000000-0000-0000-0000-000000000000
Para reativar o seletor de assinatura, execute az config set core.login_experience_v2=on. Para obter mais informações sobre o seletor de assinatura, consulte Login interativo.
Depois de iniciar sessão, se pretender alterar o inquilino ativo, consulte Como alterar o inquilino ativo.
Entrar usando --scope
az login --scope https://management.core.windows.net//.default
Terminar sessão
Para sair do Azure, use o comando az logout .
az logout
Limpar a cache da subscrição
Para atualizar sua lista de assinaturas, use o comando az account clear . Tem de iniciar sessão novamente para ver uma lista atualizada.
az account clear
az login
Limpar o cache da sua subscrição não é tecnicamente o mesmo processo que terminar sessão no Azure.
No entanto, quando você limpa o cache de assinatura, não pode executar comandos da CLI do Azure, incluindo az account set, até entrar novamente.
Atualizar tokens
Quando você entra com uma conta de usuário, a CLI do Azure gera e armazena um token de atualização de autenticação. Como os tokens de acesso são válidos apenas por um curto período de tempo, um token de atualização é emitido ao mesmo tempo em que o token de acesso é emitido. O aplicativo cliente pode então trocar esse token de atualização por um novo token de acesso quando necessário. Para obter mais informações sobre o tempo de vida e a expiração do token, consulte Atualizar tokens na plataforma de identidade da Microsoft.
Use o comando az account get-access-token para recuperar o token de acesso:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Aqui estão algumas informações adicionais sobre as datas de expiração do token de acesso:
- As datas de expiração são atualizadas em um formato suportado pela CLI do Azure baseada em MSAL.
- A partir do Azure CLI 2.54.0,
az account get-access-tokenretorna a propriedadeexpires_onjunto com a propriedadeexpiresOnpara o tempo de expiração do token. - A propriedade
expires_onrepresenta um carimbo de data/hora POSIX (Portable Operating System Interface), enquanto a propriedadeexpiresOnrepresenta uma data e hora local. - A
expiresOnpropriedade não expressa "dobrar" quando o horário de verão termina. Isso pode causar problemas em países ou regiões onde o horário de verão é adotado. Para obter mais informações sobre "fold", consulte PEP 495 – Desambiguação da Hora Local. - Recomendamos que os aplicativos downstream usem a
expires_onpropriedade, pois ela usa o Código de Tempo Universal (UTC).
Exemplo de saída:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Solução de problemas
A ligação a este site não é segura
Quando seu navegador padrão é o Microsoft Edge, você pode encontrar o seguinte erro ao tentar entrar no Azure interativamente com az login: "A conexão para este site não é segura." Para resolver esse problema, visite edge://net-internals/#hsts no Microsoft Edge. Adicione localhost em "Excluir política de segurança de domínio" e selecione Excluir.
A autenticação interativa é necessária
Você recebe essa mensagem ao usar uma identidade de usuário para autenticar no Azure, e a autenticação multifator é necessária. A solução é usar uma identidade de carga de trabalho como uma entidade de serviço ou identidade gerenciada para autenticar no Azure.
Falha na autenticação contra o locatário
Este erro ocorre quando uma única identidade de usuário do Entra pertence a vários locatários do Azure. A CLI do Azure percorre os locatários aos quais você tem acesso e tenta autenticar. Para iniciar sessão com o inquilino da sua escolha, utilize o --tenant parâmetro. Para obter mais informações, consulte Entrar com um inquilino diferente.
Próximos passos
- Tutorial: Aprenda a usar a CLI do Azure
- Encontre exemplos de CLI do Azure e documentos publicados
Colabore connosco no GitHub
A fonte deste conteúdo pode ser encontrada no GitHub, onde também pode criar e rever issues e pull requests. Para mais informações, consulte o nosso guia para colaboradores.
