删除云中已启用 Azure Arc 的服务器资源,并重置本地代理的配置。 有关删除扩展以及断开连接和卸载代理的详细信息,请参阅卸载代理。
注意
断开代理与 Azure Arc 启用的 Azure 本地 VM 的连接时,请仅 azcmagent disconnect --force-local-only 使用命令。 使用不带标志的 --force-local-only 命令可能会导致从 Azure 和本地删除 Azure 本地 VM。
使用情况
azcmagent disconnect [authentication] [flags]
示例
使用默认登录方法(交互式浏览器或设备代码)断开服务器的连接:
azcmagent disconnect
使用服务主体断开服务器的连接:
azcmagent disconnect --service-principal-id "ID" --service-principal-secret "SECRET"
删除 Azure 中相应资源时断开服务器的连接:
azcmagent disconnect --force-local-only
身份验证选项
可通过 4 种方式向 Azure Connected Machine Agent 提供身份验证凭据。 选择一个身份验证选项,并将用法语法中的 [authentication] 部分替换为建议的标志。
注意
用于断开连接服务器的帐户必须来自注册服务器的订阅所在的同一租户。
交互式浏览器登录 (仅限 Windows)
此选项是提供桌面体验的 Windows 操作系统上的默认选项。 登录页将在默认 Web 浏览器中打开。 如果组织配置了要求从受信任计算机登录的条件访问策略,则可能需要使用此选项。
无需提供标志即可使用交互式浏览器登录。
设备代码登录
此选项会生成一个代码,你可以使用该代码在另一台设备上的 Web 浏览器中登录。 此选项是 Windows Server 核心版本和所有 Linux 分发版上的默认值。 执行 connect 命令时,需要在 5 分钟内在已连接到 Internet 的设备上打开指定的登录 URL 并完成登录流。
若要使用设备代码进行身份验证,请使用 --use-device-code 标志。
具有机密的服务主体
服务主体允许以非交互方式进行身份验证,通常用于跨多个服务器运行同一脚本的大规模操作。 Azure 建议通过配置文件提供服务主体信息(请参阅 --config),以避免在任何控制台日志中暴露机密。 此外,服务主体应该专用于 Arc 加入并拥有尽可能少的权限,以遏制凭据被盗所造成的影响。
要使用机密向服务主体进行身份验证,请提供服务主体的应用程序 ID、机密和租户 ID:--service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]
具有证书的服务主体
利用基于证书的身份验证,可以更安全地使用服务主体进行身份验证。 代理接受同时包含私钥和公钥的 PCKS #12 (.PFX) 文件和 ASCII 编码的文件(如 .PEM)。 证书必须在本地磁盘上可用,并且运行 azcmagent 命令的用户需要对文件具有读取访问权限。 不支持受密码保护的 PFX 文件。
要使用证书向服务主体进行身份验证,请提供服务主体的应用程序 ID、租户 ID 和证书文件的路径:--service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]
有关详细信息,请参阅 将 Azure 服务主体与基于证书的身份验证配合使用。
访问令牌
访问令牌还可用于非交互式身份验证,但它们是生存期较短的。 访问令牌通常由在短时间内在多台服务器上运行的自动化解决方案使用。 可以使用任何其他Microsoft Entra 客户端获取访问令牌 Get-AzAccessToken 。
若要使用访问令牌进行身份验证,请使用 --access-token [token] 标志。
Flags
此命令支持 通用标志中所述的标志 以及本节中列出的标志。
--access-token
指定用于在 Azure 中创建已启用 Azure Arc 的服务器资源的 Microsoft Entra 访问令牌。 有关详细信息,请参阅身份验证选项。
-f,--force-local-only
断开连接服务器,但不删除 Azure 中的资源。 主要在 Azure 资源已被删除且需要清理本地代理配置的情况下使用。
-i,--service-principal-id
指定用于在 Azure 中创建已启用 Azure Arc 的服务器资源的服务主体的应用程序 ID。 必须与 --tenant-id 以及 --service-principal-secret 或 --service-principal-cert 标志一起使用。 有关详细信息,请参阅身份验证选项。
--service-principal-cert
指定服务主体证书文件的路径。 必须与 --service-principal-id 和 --tenant-id 标志一起使用。 证书必须包含私钥,并且可以采用 PKCS #12 (.PFX) 或 ASCII 编码的文本(.PEM、.CRT)格式。 不支持受密码保护的 PFX 文件。 有关详细信息,请参阅身份验证选项。
-p,--service-principal-secret
指定服务主体机密。 必须与 --service-principal-id 和 --tenant-id 标志一起使用。 为了避免在控制台日志中公开机密,Azure 建议在配置文件中提供服务主体机密。 有关详细信息,请参阅身份验证选项。
--use-device-code
生成一个 Microsoft Entra 设备登录代码,可在另一台计算机上的 Web 浏览器中输入该代码,以便在 Azure 中对代理进行身份验证。 有关详细信息,请参阅身份验证选项。
--user-tenant-id
用于将服务器连接到 Azure 的帐户的租户 ID。 当载入帐户的租户与已启用 Azure Arc 的服务器资源的所需租户不同(例如使用来宾帐户或 Azure Lighthouse 时)时,此字段是必需的