清理和排查服务主体

祝贺！ 你了解了如何创建、检索和使用服务主体！ 完成本教程后，即可清理已创建的服务主体资源。

清理服务主体资源

删除本教程中使用的所有资源的最安全方法是使用 az group delete。 该 --no-wait 参数可防止 CLI 在删除过程中被阻塞。

az group delete --name myResourceGroup --no-wait

如果愿意，请使用 az ad sp delete 命令删除单个服务主体。

az ad sp delete --id myServicePrincipalID

排查服务主体问题

虽然已完成本教程，但你可能仍对本部分中可以回答的服务主体有疑问。

权限不足

如果帐户无权创建服务主体，则返回一条错误消息， az ad sp create-for-rbac 其中包含“权限不足，无法完成作”。请联系Microsoft Entra 管理员获取 User Access Administrator 或 Role Based Access Control Administrator 权限。

无效租户

如果指定了无效的订阅 ID，则会看到错误消息“请求没有订阅或有效的租户级别资源提供程序”。如果使用变量，请使用 Bash echo 命令查看传递给引用命令的值。 使用 az account set 更改订阅或 了解如何使用 Azure CLI 管理 Azure 订阅。

找不到资源组

如果指定了无效的资源组名称，则会看到错误消息“找不到资源组'name'”。如果使用变量，请使用 Bash echo 命令查看传递给订阅和引用命令的值。 使用 az group list 查看当前订阅的资源组，或 了解如何使用 Azure CLI 管理 Azure 资源组。

执行行为的授权

如果您的帐户没有分配角色的权限，则会看到一条错误消息，指出您的帐户“无权执行操作'Microsoft.Authorization/roleAssignments/write'”。请联系Microsoft Entra管理员来管理角色。

需要交互式身份验证

使用密码身份验证登录时，错误消息“...需要交互式身份验证...”如果你的组织需要多重身份验证，则会发生此情况。 切换到基于证书的身份验证，或考虑使用 托管标识。

需要符合要求的设备

如果尝试使用不符合组织访问策略的设备创建服务主体，将收到消息“...条件访问策略需要合规的设备...“。 切换到满足组织访问策略的计算机。

另请参阅

• Microsoft Entra ID 中的应用程序和服务主体对象
• 使用 Azure 门户创建服务主体
• 使用 Azure PowerShell 创建 Azure 服务主体