azcmagent disconnect
クラウド内の Azure Arc 対応サーバー リソースを削除し、ローカル エージェントの構成をリセットします。 拡張機能の削除とエージェントの切断とアンインストールの詳細については、「エージェントのアンインストール」を参照してください。
使用方法
azcmagent disconnect [authentication] [flags]
例
既定のログイン方法 (対話型ブラウザーまたはデバイス コード) を使用してサーバーを切断します。
azcmagent disconnect
サービス プリンシパルを使用してサーバーを切断します。
azcmagent disconnect --service-principal-id "ID" --service-principal-secret "SECRET"
Azure 内の対応するリソースが既に削除されている場合は、サーバーを切断します。
azcmagent disconnect --force-local-only
認証オプション
Azure 接続マシン エージェントに認証資格情報を提供するには、4 つの方法があります。 認証オプションを 1 つ選び、使用法構文の [authentication] セクションを推奨フラグに置き換えます。
Note
サーバーの切断に使用されるアカウントは、サーバーが登録されているサブスクリプションと同じテナントのものである必要があります。
対話型ブラウザー ログイン (Windows のみ)
このオプションは、デスクトップ エクスペリエンスを備えた Windows オペレーティング システムの既定値です。 既定の Web ブラウザーでログイン ページが開きます。 組織で条件付きアクセス ポリシーを構成し、信頼されたマシンからログインする必要がある場合は、このオプションが必要になる場合があります。
対話型ブラウザー ログインを使用するためにフラグは必要ありません。
デバイス コード ログイン
このオプションでは、別のデバイス上の Web ブラウザーにログインするために使用できるコードが生成されます。 これは、Windows Server コア エディションとすべての Linux ディストリビューションの既定のオプションです。 接続コマンドを実行すると、インターネットに接続されたデバイスで指定されたログイン URL を開き、ログイン フローを完了するまでに 5 分かかります。
デバイス コードで認証するには、--use-device-code フラグを使用します。
シークレットを持つサービス プリンシパル
サービス プリンシパルを使うと、非対話形式で認証することができ、多くの場合、同じスクリプトが複数のサーバーで実行される大規模な操作に使用されます。 コンソール ログにシークレットが公開されないように、構成ファイル (--config を参照) を介してサービス プリンシパル情報を提供することをお勧めします。 また、サービス プリンシパルは Arc オンボード専用にし、アクセス許可をできるだけ少なくして、盗まれた資格情報の影響を制限する必要があります。
シークレットを使用してサービス プリンシパルで認証するには、サービス プリンシパルのアプリケーション ID、シークレット、テナント ID を指定します。 --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]
証明書を使用したサービス プリンシパル
証明書ベースの認証は、サービス プリンシパルを使用して認証するためのより安全な方法です。 エージェントは両方の PCKS #12 (.PFX) ファイルと ASCII でエンコードされたファイル (例: .PEM)、秘密キーと公開キーの両方が含まれています。 証明書はローカル ディスク上で使用でき、 azcmagent コマンドを実行しているユーザーはファイルへの読み取りアクセス権を持っている必要があります。 パスワードで保護された PFX ファイルはサポートされていません。
証明書を使用してサービス プリンシパルで認証するには、サービス プリンシパルのアプリケーション ID、テナント ID、および証明書ファイルへのパスを指定します。 --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]
詳細については、「 証明書ベースの認証を使用して RBAC のサービス プリンシパルを作成するを参照してください。
トークンへのアクセス
アクセス トークンは非対話型認証にも使用できますが、有効期間が短く、通常は、短時間にわたって複数のサーバーで動作するオートメーション ソリューションによって使用されます。 Get-AzAccessToken またはその他の Microsoft Entra クライアントを使用して、アクセス トークンを取得できます。
アクセス トークンで認証するには、--access-token [token] フラグを使用します。
フラグ
--access-token
Azure で Azure Arc 対応サーバー リソースを作成するために使用される Microsoft Entra アクセス トークンを指定します。 詳細については、認証オプションに関する記事を参照してください。
-f, --force-local-only
Azure でリソースを削除せずにサーバーを切断します。 主に、Azure リソースが削除され、ローカル エージェント構成をクリーンアップする必要がある場合に使用されます。
-i, --service-principal-id
Azure で Azure Arc 対応サーバー リソースを作成するために使用されるサービス プリンシパルのアプリケーション ID を指定します。 --tenant-idと、--service-principal-secretまたは--service-principal-cert フラグで使用する必要があります。 詳細については、認証オプションに関する記事を参照してください。
--service-principal-cert
サービス プリンシパル証明書ファイルへのパスを指定します。 --service-principal-id と --tenant-id フラグと共に使用する必要があります。 証明書には秘密キーを含める必要があり、PKCS #12 (.PFX) または ASCII でエンコードされたテキスト (.PEM、.CRT) 形式。 パスワードで保護された PFX ファイルはサポートされていません。 詳細については、認証オプションに関する記事を参照してください。
-p, --service-principal-secret
サービス プリンシパル シークレットを指定します。 --service-principal-id と --tenant-id フラグと共に使用する必要があります。 コンソール ログでシークレットが公開されないように、Microsoft では、構成ファイルにサービス プリンシパル シークレットを提供することをお勧めします。 詳細については、認証オプションに関する記事を参照してください。
--use-device-code
別のコンピューターの Web ブラウザーに入力して、Azure でエージェントを認証できる Microsoft Entra デバイス ログイン コードを生成します。 詳細については、認証オプションに関する記事を参照してください。
--user-tenant-id
サーバーを Azure に接続するために使用されるアカウントのテナント ID。 このフィールドは、オンボード アカウントのテナントが Azure Arc 対応サーバー リソースの目的のテナントと同じでない場合に必要です。
すべてのコマンドで使用可能な共通フラグ
--config
コマンドへの入力を含む JSON または YAML ファイルへのパスを受け取ります。 構成ファイルには、キーが使用可能なコマンド ライン オプションと一致する一連のキーと値のペアが含まれている必要があります。 たとえば、--verbose フラグを渡す場合、構成ファイルは次のようになります。
{
"verbose": true
}
コマンド呼び出しと構成ファイルの両方でコマンド ライン オプションが見つかった場合は、コマンド ラインで指定された値が優先されます。
-h, --help
構文やコマンド ライン オプションなど、現在のコマンドに関するヘルプを表示します。
-j, --json
コマンドの結果を JSON 形式で出力します。
--log-stderr
エラーと詳細メッセージを標準エラー (stderr) ストリームにリダイレクトします。 既定では、すべての出力が標準出力 (stdout) ストリームに送信されます。
--no-color
ANSI カラーをサポートしていないターミナルのカラー出力を無効にします。
-v, --verbose
コマンドの実行中に、より詳細なログ情報を表示します。 コマンドを実行するときの問題のトラブルシューティングに役立ちます。