Dopad migrace služby Microsoft Graph na Azure CLI
Z důvodu vyřazení služby Azure Active Directory (Azure AD) Graphse základní rozhraní Active Directory Graph API nahrazuje rozhraní Microsoft Graph API v Azure CLI 2.37.0.
Zásadní změny
Informace o rozdílech v podkladovém rozhraní API a výstupních změnách způsobujících chybu JSON najdete v tématu Rozdíly mezi vlastnostmi Azure AD Graph a Microsoft Graph.
Nejvýraznější změnou je například to, že id
nahradí vlastnost objectId
ve výstupním formátu JSON objektu Graphu.
V další části jsou uvedené změny v argumentech příkazů a chování způsobujících chybu.
az ad app create/update
- Rozdělení
--reply-urls
na--web-redirect-uris
a--public-client-redirect-uris
- Nahradit
--homepage
--web-home-page-url
- Nahraďte
--available-to-other-tenants
za--sign-in-audience
- Nahraďte
--native-app
--is-fallback-public-client
- Nahraďte
--oauth2-allow-implicit-flow
--enable-access-token-issuance
- Přidejte
--enable-id-token-issuance
pro nastaveníweb/implicitGrantSettings/enableIdTokenIssuance
- Odeberte
--password
a--credential-description
. Použitíaz ad app credential reset
k tomu, aby služba Graph pro vás vytvořila heslo (https://github.com/Azure/azure-cli/issues/20675) - Přidejte
--key-display-name
pro nastaveníkeyCredential
displayName
az ad app permission grant
- Odstraňte
--expires
-
--scope
již není výchozí prouser_impersonation
a je nyní vyžadován.
az ad app credential reset
- Nahraďte
--credential-description
za--display-name
(https://github.com/Azure/azure-cli/issues/20561) - Odeberte
--password
. Bez zadání argumentů certifikátu za vás služba Graph vytvoří heslo (https://github.com/Azure/azure-cli/issues/20675)
az ad sp delete
- Tento příkaz už neodstraní odpovídající aplikaci. Použití
az ad app delete
k explicitní odstranění aplikace (https://github.com/Azure/azure-cli/issues/8467) - Tento příkaz už neodstraňuje odpovídající přiřazení rolí služebního principálu. Použijte
az role assignment delete
k explicitnímu odstranění přiřazení role (https://github.com/Azure/azure-cli/issues/20805)
az ad sp credential
- Tato skupina příkazů nyní funguje se služebním principálem, nikoli aplikací (https://github.com/Azure/azure-cli/issues/11458)
az ad sp credential reset
- Nahraďte
--name
--id
- Odeberte
--password
. Bez zadání argumentů certifikátu za vás služba Graph vytvoří heslo (https://github.com/Azure/azure-cli/issues/20675)
az ad user create
- Nahraďte
--force-change-password-next-login
--force-change-password-next-sign-in
az ad user update
- Nahradit
--force-change-password-next-login
s--force-change-password-next-sign-in
az ad group get-member-groups
- Odstraňte
--additional-properties
az ad group member add
- Odstraňte
--additional-properties
Známé problémy
- Pokud jde o obecné argumenty aktualizace, jediná podporovaná operace je
--set
na kořenové úrovni objektu Graph. Vzhledem ke změně základní infrastruktury aktuálně nefunguje použití--add
,--remove
nebo--set
na dílčích úrovních. V případě nepodporovaných scénářů můžete použítaz rest
k přímému volání rozhraní Microsoft Graph API. Příklady najdete v https://github.com/Azure/azure-cli/issues/22580. - Příkazy související s Microsoft Graphem, jako jsou
az ad
aaz role
, selžou v prostředích Azure Stack, která nepodporují Microsoft Graph. Pro prostředí Azure Stack použijte Azure CLI 2.36.0 nebo starší verze.
Instalace předchozí verze
Pokud ještě nejste připraveni na migraci, například nemáte oprávnění Microsoft Graphu, můžete dál používat verze Azure CLI <= 2.36.0. Pokud jste už nainstalovali verzi 2.37.0, můžete se vrátit k předchozí verzi podle části Instalace konkrétní verze v instalačních dokumentech (s výjimkou Homebrew, která nepodporuje instalaci předchozích verzí).
Řešení problémů
Příkaz Graph selže s AADSTS50005
nebo AADSTS53000
Váš tenant může mít zásady podmíněného přístupu, které blokují přístup k Microsoft Graphu pomocí toku kódu zařízení. V takových případech se přihlaste pomocí toku autorizačního kódu nebo služebního principála. Další informace o metodách přihlašování najdete v tématu Přihlášení pomocí Azure CLI.
Tenant Microsoftu (72f988bf-86f1-41af-91ab-2d7cd011db47) má nakonfigurované takové zásady podmíněného přístupu.
Další informace
Další informace o migraci Microsoft Graphu najdete na https://github.com/Azure/azure-cli/issues/22580.
Váš názor
Pokud máte nějaké dotazy, odpovězte na https://github.com/Azure/azure-cli/issues/22580 nebo vytvořte nový problém pomocí příkazu az feedback
.