Sdílet prostřednictvím

Dopad migrace služby Microsoft Graph na Azure CLI

  • Článek

Z důvodu vyřazení služby Azure Active Directory (Azure AD) Graphse základní rozhraní Active Directory Graph API nahrazuje rozhraní Microsoft Graph API v Azure CLI 2.37.0.

Zásadní změny

Informace o rozdílech v podkladovém rozhraní API a výstupních změnách způsobujících chybu JSON najdete v tématu Rozdíly mezi vlastnostmi Azure AD Graph a Microsoft Graph.

Nejvýraznější změnou je například to, že id nahradí vlastnost objectId ve výstupním formátu JSON objektu Graphu.

V další části jsou uvedené změny v argumentech příkazů a chování způsobujících chybu.

az ad app create/update

  • Rozdělení --reply-urls na --web-redirect-uris a --public-client-redirect-uris
  • Nahradit --homepage--web-home-page-url
  • Nahraďte --available-to-other-tenants za --sign-in-audience
  • Nahraďte --native-app--is-fallback-public-client
  • Nahraďte --oauth2-allow-implicit-flow--enable-access-token-issuance
  • Přidejte --enable-id-token-issuance pro nastavení web/implicitGrantSettings/enableIdTokenIssuance
  • Odeberte --password a --credential-description. Použití az ad app credential reset k tomu, aby služba Graph pro vás vytvořila heslo (https://github.com/Azure/azure-cli/issues/20675)
  • Přidejte --key-display-name pro nastavení keyCredentialdisplayName

az ad app permission grant

  • Odstraňte --expires
  • --scope již není výchozí pro user_impersonation a je nyní vyžadován.

az ad app credential reset

az ad sp delete

az ad sp credential

az ad sp credential reset

az ad user create

  • Nahraďte --force-change-password-next-login--force-change-password-next-sign-in

az ad user update

  • Nahradit --force-change-password-next-login s --force-change-password-next-sign-in

az ad group get-member-groups

  • Odstraňte --additional-properties

az ad group member add

  • Odstraňte --additional-properties

Známé problémy

  • Pokud jde o obecné argumenty aktualizace, jediná podporovaná operace je --set na kořenové úrovni objektu Graph. Vzhledem ke změně základní infrastruktury aktuálně nefunguje použití --add, --remove nebo --set na dílčích úrovních. V případě nepodporovaných scénářů můžete použít az rest k přímému volání rozhraní Microsoft Graph API. Příklady najdete v https://github.com/Azure/azure-cli/issues/22580.
  • Příkazy související s Microsoft Graphem, jako jsou az ad a az role, selžou v prostředích Azure Stack, která nepodporují Microsoft Graph. Pro prostředí Azure Stack použijte Azure CLI 2.36.0 nebo starší verze.

Instalace předchozí verze

Pokud ještě nejste připraveni na migraci, například nemáte oprávnění Microsoft Graphu, můžete dál používat verze Azure CLI <= 2.36.0. Pokud jste už nainstalovali verzi 2.37.0, můžete se vrátit k předchozí verzi podle části Instalace konkrétní verze v instalačních dokumentech (s výjimkou Homebrew, která nepodporuje instalaci předchozích verzí).

Řešení problémů

Příkaz Graph selže s AADSTS50005 nebo AADSTS53000

Váš tenant může mít zásady podmíněného přístupu, které blokují přístup k Microsoft Graphu pomocí toku kódu zařízení. V takových případech se přihlaste pomocí toku autorizačního kódu nebo služebního principála. Další informace o metodách přihlašování najdete v tématu Přihlášení pomocí Azure CLI.

Tenant Microsoftu (72f988bf-86f1-41af-91ab-2d7cd011db47) má nakonfigurované takové zásady podmíněného přístupu.

Další informace

Další informace o migraci Microsoft Graphu najdete na https://github.com/Azure/azure-cli/issues/22580.

Váš názor

Pokud máte nějaké dotazy, odpovězte na https://github.com/Azure/azure-cli/issues/22580 nebo vytvořte nový problém pomocí příkazu az feedback.