Wie stelle ich eine Verbindung mit Azure her? Ich möchte heute auch versuchen etwas Klarheit in das Thema zu bringen, wie man mit PowerShell die Azure Subscription erreicht.
Hier muss man zunächst genau unterscheiden, mit was genau man sich verbinden möchte. Je nachdem ob Azure Subscription oder Azure Active Directory.
Index
Azure Subscription vs. Azure Active Directory
Kurzum zur grundlegenden Klärung der beiden Begriffe.
- Das Azure AD ist der Identity Provider für die Azure Subscription und auch die Azure Cloud Apps.
- Die Azure Subscription (Tenant) ist mit einer Art Trust mit dem Azure AD verbunden.
Zunächst müssen wir also unterscheiden.
- Entweder: Soll eine Verbindung mit der Azure Subscription aufgebaut werden?
Dies ist notwendig, um z.B. neue virtuelle Server aufzubauen. - Oder: Soll eine Verbindung mit Azure Active Directory hergestellt werden?
Das AAD ist mit meiner Azure Subscription verbunden und wird verwendet, um z.B. Benutzer zu verwalten?
Unter dem Strich erfolgt die Verwaltung per PowerShell dann also über zwei unterschiedliche Wege.
Verbindung mit Azure Subscription (Tenant)
Unbeschadet dessen ist die Grundvoraussetzung, um eine Verbindung mit einer Azure Subscription herstellen zu können, die Installation der dafür notwendigen PowerShell Module.
Des Weiteren erfolgt die Installation der Microsoft Azure PowerShell über den WebPI Installer: LINK
Somit müssen sie zwei Komponenten aus dem Angebot des WebPI Installer installieren.
- Microsoft Azure PowerShell ist die erste.
- Microsoft Azure Cross-platform Command Line Tools ist die zweite.
Danach lassen sich die Azure cmdLets schließlich mit dem Befehl import-module azure laden.
1 |
Import-Module Azure |
Ehe eine Verbindung mit dem Tenant möglich ist, muss deshalb ein sog. „AzurePublishSettingsFile“ heruntergeladen werden. Somit startet das cmdLet „Get-AzurePublishSettingsFile“ dann automatisch einen Web Browser. Und nach der Anmeldung an der Azure Subscription kann der Download im Grunde genommen auch schon beginnen.
1 |
Get-AzurePublishSettingsFile |
Mit dem cmdLet „Import-AzurePublishSettingsFile“ wird darauf hin das SettingsFile geladen:
1 |
Import-AzurePublishSettingsFile |
Dem entsprechend ist man nun mit dem Azure Service Management verbunden.
Um den“ Azure Resource Manager“ (Azure RM) schließlich verwenden zu können, ist demnach eine andere Anmeldung notwendig.
Anmeldung Azure Resource Manager
Zur Nutzung des Azure Resource Manager (Azure RM) ist eine Anmeldung mit Benutzernamen und Passwort notwendig. Besser ausgedrückt: Hierzu wird das cmdLet Login-AzureRMAccount genutzt.
1 2 |
$cred = Get-Credential Login-AzureRmAccount -Credential $cred |
Das cmdLet Get-Credential higegen fragt zudem nach einem Benutzernamen und Passwort. Hier ist vorher ein Benutzerkonto der Azure Subscription anzugeben. Anhand der E-Mail-Adresse wird von Login-AzureRMAccount jedenfalls der richtige Tenant ausgewählt.
Achtung, hier kann hingegen nicht die zur Erstellung der Subscription genutzte Microsoft Life-ID genutzt werden. Demgemäß gibt diese Fehlermeldung dazu einen Hinweis:
Login-AzureRmAccount : -Credential parameter can only be used with Organization ID credentials.
Nutzt man schließlich einen „nicht Life-ID Account“ mit der Adresse <username>@<e-mail-suffix> .onmicrosoft.com so funktioniert die Anmeldung.
Wer jedoch versucht in diesem Kontext Benutzerkonten seines Azure AD zu pflegen, wird hier vergeblich suchen. Hier können Einstellungen von virtuellen Maschinen geändert oder neue SQL Datenbanken provisioniert werden, für die Verwaltung des Azure AD sind andere cmdLets notwendig.
Verbindung mit Azure Active Directory
Für eine Anmeldung am AAD müssen zunächst zwei zusätzliche Komponenten installiert werden.
- Microsoft Online Services-Anmeldeassistent
- Windows Azure Active Directory-Modul für Windows PowerShell
Nach der Installation können die cmdLets per Modul geladen werden:
1 |
Import-Module MSonline |
Die Anmeldung an Azure AD erfolgt nach ähnlichem Muster wie die Anmeldung an Azure RM
- Login-AzureRmAccount: Azure Resource Manager
- Connect-MsolService: Azure Active Directory
1 2 |
$cred = get-credential connect-msolservice -credential $cred |
Hier gilt die gleiche Einschränkung wie bei der Anmeldung an Azure RM. Für die Anmeldung kann indessen nicht die Microsoft Life-ID genutzt werden. Aber die Fehlermeldung ist eine andere, der Hinweis ist also eher unverständlich:
Connect-MsolService: Exception of type ‚Microsoft.Online.Administration.Automation.MicrosoftOnlineException‘ was thrown.
Nutzt man aber hierzu einen „nicht Life-ID Account“, so klappt der Login problemlos. Und es stehen auch eine Reihe „Msol“ cmdLets zur Verfügung um das Azure AD zu verwalten.
Mit dem cmdLet Get-MsolUser werden zum Beispiel auch alle Benutzerkonten des Azure Active Directory angezeigt:
1 |
Get-MsolUser |
Zusammenfassung
Demnach erfolgt die Verwaltung der Azure Subscription über einen eigenen Weg. Die Verwaltung und Verbindung mit Azure Active Directory braucht somit einen anderen.
Azure Subscription.
- Microsoft Azure PowerShell (mittels WebPI)
- AzurePublishSettingsFile
- Get-Azure* cmdLets
Azure Active Directory.
- Microsoft Online Services-Anmeldeassistent
- Microsoft Azure Active Directory Module
- Get-Msol* cmdLets
Sollten sie also weitere Fragen haben, kontaktieren sie lieber uns, ehe sie komplizierte Alternativen durcharbeiten. Genauso helfen wir ihnen mit weiteren Fragen zu Azure.
FirstAttribute AG – Ihr Microsoft Consulting Partner
Wir unterstützen Sie bei AZURE Fragen
Nehmen Sie Kontakt zu uns auf, wir hören Ihnen gern zu.
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>