Impact van Microsoft Graph-migratie in Azure CLI

  • Artikel

Vanwege de afschaffing van Azure Active Directory (Azure AD) Graph, wordt de onderliggende Active Directory Graph API vervangen door Microsoft Graph API in Azure CLI 2.37.0.

Wijzigingen die fouten veroorzaken

Raadpleeg eigenschappenverschillen tussen Azure AD Graph en Microsoft Graph voor verschillen tussen de onderliggende API en de JSON-uitvoer die fouten veroorzaken.

De meest openstaande wijziging is bijvoorbeeld dat id de objectId eigenschap in de uitvoer-JSON van een Graph-object wordt vervangen.

Wijzigingen die fouten veroorzaken in het opdrachtargument en gedrag worden weergegeven in de volgende sectie.

az ad app create/update

  • Splitsen --reply-urls in --web-redirect-uris en --public-client-redirect-uris
  • Vervang --homepage door --web-home-page-url
  • Vervang --available-to-other-tenants door --sign-in-audience
  • Vervang --native-app door --is-fallback-public-client
  • Vervang --oauth2-allow-implicit-flow door --enable-access-token-issuance
  • Toevoegen --enable-id-token-issuance om in te stellen web/implicitGrantSettings/enableIdTokenIssuance
  • Verwijderen --password en --credential-description. Gebruik az ad app credential reset deze functie om graph-service een wachtwoord voor u te laten maken (https://github.com/Azure/azure-cli/issues/20675)
  • Toevoegen --key-display-name om 's in te stellen keyCredentialdisplayName

az ad app permission grant

  • --expires verwijderen
  • --scope is nu niet meer user_impersonation standaard ingesteld op en is nu vereist

az ad app credential reset

az ad sp delete

az ad sp credential

az ad sp credential reset

az ad user create

  • Vervang --force-change-password-next-login door --force-change-password-next-sign-in

az ad user update

  • Vervang --force-change-password-next-login door --force-change-password-next-sign-in

az ad group get-member-groups

  • --additional-properties verwijderen

az ad group member add

  • --additional-properties verwijderen

Bekende problemen

  • Wat algemene updateargumenten betreft, bevindt de enige ondersteunde bewerking zich --set op het hoofdniveau van een Graph-object. Vanwege de onderliggende infrastructuurwijziging werkt het gebruik van --addof --remove--set op subniveaus momenteel niet. Voor niet-ondersteunde scenario's kunt u microsoft az rest Graph API rechtstreeks aanroepen. Voorbeelden vindt u op https://github.com/Azure/azure-cli/issues/22580.
  • Aan Microsoft Graph gerelateerde opdrachten, zoals az ad en az role mislukken in Azure Stack-omgevingen die geen ondersteuning voor Microsoft Graph hebben. Gebruik Azure CLI 2.36.0 of eerdere versies voor Azure Stack-omgevingen.

Een vorige versie installeren

Als u nog niet klaar bent voor de migratie, zoals het ontbreken van Microsoft Graph-machtigingen, kunt u Azure CLI-versies <= 2.36.0 blijven gebruiken. Als u 2.37.0 al hebt geïnstalleerd, kunt u teruggaan naar een vorige versie volgens de sectie Specifieke versie installeren onder de installatiedocumenten (met uitzondering van Homebrew, die geen ondersteuning biedt voor het installeren van eerdere versies).

Problemen oplossen

Graph-opdracht mislukt met AADSTS50005 of AADSTS53000

Uw tenant heeft mogelijk beleidsregels voor voorwaardelijke toegang die het gebruik van apparaatcodestroom blokkeren voor toegang tot Microsoft Graph. In dergelijke gevallen gebruikt u de autorisatiecodestroom of een service-principal om u aan te melden. Zie Aanmelden met Azure CLI voor meer informatie over aanmeldingsmethoden.

Microsoft-tenant (72f988bf-86f1-41af-91ab-2d7cd011db47) heeft dergelijke beleidsregels voor voorwaardelijke toegang geconfigureerd.

Meer informatie

Meer informatie over de Migratie van Microsoft Graph vindt u op https://github.com/Azure/azure-cli/issues/22580.

Feedback geven

Als u vragen hebt, beantwoordt https://github.com/Azure/azure-cli/issues/22580 of maakt u een nieuw probleem met de az feedback opdracht.