Påverkan av Microsoft Graph-migrering i Azure CLI

  • Artikel

På grund av utfasningen av Azure Active Directory (Azure AD) Graph ersätts det underliggande Active Directory Graph API med Microsoft Graph API i Azure CLI 2.37.0.

Icke-bakåtkompatibla ändringar

Skillnader mellan det underliggande API:et och JSON-utdataändringar finns i Egenskapsskillnader mellan Azure AD Graph och Microsoft Graph.

Den mest utestående ändringen är till exempel att id ersätter objectId egenskapen i utdata-JSON för ett Graph-objekt.

Kommandoargument och beteendebrytande ändringar visas i nästa avsnitt.

az ad app create/update

  • Dela --reply-urls upp i --web-redirect-uris och --public-client-redirect-uris
  • Ersätt --homepage med --web-home-page-url
  • Ersätt --available-to-other-tenants med --sign-in-audience
  • Ersätt --native-app med --is-fallback-public-client
  • Ersätt --oauth2-allow-implicit-flow med --enable-access-token-issuance
  • Lägg till --enable-id-token-issuance för att ange web/implicitGrantSettings/enableIdTokenIssuance
  • Ta bort --password och --credential-description. Använd az ad app credential reset för att låta Graph-tjänsten skapa ett lösenord åt dig (https://github.com/Azure/azure-cli/issues/20675)
  • Lägg till --key-display-name för att ange keyCredential's displayName

az ad app permission grant

  • --expires har tagits bort
  • --scope inte längre är standard och user_impersonation krävs nu

az ad app credential reset

az ad sp delete

az ad sp credential

az ad sp credential reset

az ad user create

  • Ersätt --force-change-password-next-login med --force-change-password-next-sign-in

az ad user update

  • Ersätt --force-change-password-next-login med --force-change-password-next-sign-in

az ad group get-member-groups

  • --additional-properties har tagits bort

az ad group member add

  • --additional-properties har tagits bort

Kända problem

  • När det gäller allmänna uppdateringsargument är --set den enda åtgärden som stöds på rotnivån för ett Graph-objekt. På grund av den underliggande infrastrukturändringen fungerar inte användningen av --addeller --remove--set på undernivåer för närvarande. För scenarier som inte stöds kan du använda az rest för att anropa Microsoft Graph API direkt. Exempel finns på https://github.com/Azure/azure-cli/issues/22580.
  • Microsoft Graph-relaterade kommandon som az ad och az role misslyckas i Azure Stack-miljöer som inte har Microsoft Graph-stöd. Använd Azure CLI 2.36.0 eller tidigare versioner för Azure Stack-miljöer.

Installera en tidigare version

Om du inte är redo för migreringen ännu, till exempel om du saknar Microsoft Graph-behörigheter, kan du fortsätta använda Azure CLI-versioner <= 2.36.0. Om du redan har installerat 2.37.0 kan du återställa till en tidigare version efter avsnittet "Installera specifik version" under installationsdokumenten (förutom Homebrew, som inte stöder installation av tidigare versioner).

Felsökning

Graph-kommandot misslyckas med AADSTS50005 eller AADSTS53000

Klientorganisationen kan ha principer för villkorsstyrd åtkomst som blockerar användning av enhetskodflöde för åtkomst till Microsoft Graph. I sådana fall använder du auktoriseringskodflöde eller ett huvudnamn för tjänsten för att logga in i stället. Mer information om inloggningsmetoder finns i Logga in med Azure CLI.

Microsoft-klientorganisationen (72f988bf-86f1-41af-91ab-2d7cd011db47) har sådana principer för villkorsstyrd åtkomst konfigurerade.

Mer information

Du hittar mer information om Microsoft Graph-migreringen på https://github.com/Azure/azure-cli/issues/22580.

Ge feedback

Om du har några frågor kan du svara på https://github.com/Azure/azure-cli/issues/22580 eller skapa ett nytt problem med az feedback kommandot .