Häufig gestellte Fragen zur Migration von Azure AD Graph zu Microsoft Graph

Dieser Artikel enthält Antworten auf häufig gestellte Fragen zur Migration von Azure Active Directory (Azure AD) Graph zu Microsoft Graph.

Wie unterscheidet sich Microsoft Graph von Azure AD Graph, und warum sollte ich meine Apps migrieren?

Azure AD Graph bietet nur Zugriff auf Microsoft Entra ID-Dienste (früher Azure AD). Microsoft Graph bietet einen einzigen einheitlichen Endpunkt für den Zugriff auf die Microsoft Entra-Identitäts- und Netzwerkzugriffsfamilie und andere Microsoft-Dienste wie Microsoft Teams, Microsoft Exchange, Microsoft Intune und vieles mehr.

Microsoft Graph ist außerdem sicherer und resilienter als Azure AD Graph. Aus diesem Grund befindet sich Azure AD Graph derzeit in einem phasenweisen Deaktivierungszyklus, da wir alle Investitionen in Microsoft Graph verschieben. Migrieren Sie zu Microsoft Graph, um den Verlust vorhandener Funktionen zu vermeiden und auf neue Features und Funktionen zuzugreifen.

Wie kann ich als Entwickler Apps identifizieren, die Azure AD Graph verwenden?

Führen Sie die folgenden Schritte aus, um Apps mit einer Abhängigkeit von Azure AD Graph zu identifizieren:

Option 1: Überprüfen der Microsoft Entra-Empfehlungen

Melden Sie sich bei einem API-Client wie Graph-Explorer mit den erforderlichen Berechtigungen und Rollen an, um Microsoft Entra ID-Empfehlungen anzuzeigen. Führen Sie die Microsoft Graph-API Listenempfehlungen aus, um die Liste der Apps und Dienstprinzipale abzurufen, die Azure AD Graph verwenden.

Option 2: Verwenden sie die appId der App, um ihre API-Berechtigungen zu identifizieren.

Schritt 1: Überprüfen des Anwendungsquellcodes

Wenn Sie im Besitz des Quellcodes einer Anwendung sind, suchen Sie im Code nach dem https://graph.windows.net/ URI. Dieser Wert ist der Azure AD Graph-Endpunkt, und Apps, die diesen Endpunkt aufrufen, verwenden Azure AD Graph. Notieren Sie sich den Wert der appId der betroffenen App.

Schritt 2: Aufrufen der API "Anwendung abrufen" zum Lesen der API-Berechtigungen der App

1. Melden Sie sich bei einem API-Client wie Graph-Explorer mit mindestens der Microsoft Entra-Rolle Anwendungsentwickler an, und haben Sie die delegierte Berechtigung Application.Read.All erteilt.
2. Rufen Sie die Api zum Abrufen der Anwendung mithilfe der appId auf, die Sie in Schritt 1 abgerufen haben, und lesen Sie die requiredResourceAccess-Eigenschaft . Die folgenden Eigenschaften zeigen die Berechtigungsdetails an:
   • Die eigenschaft requiredResourceAccess>resourceAppId weist die ID 00000002-0000-0000-c000-000000000000 für Azure AD Graph auf.
   • DieresourceAccess-EigenschaftrequiredResourceAccess> listet die ID und den Typ der von der App verwendeten Azure AD Graph-Berechtigungen auf. Verwenden Sie die Berechtigungsunterschiede zwischen Azure AD Graph und Microsoft Graph - Zuordnungsleitfaden, um die Azure AD Graph-Berechtigungsnamen zu kennen.

Wie identisiere ich als IT-Administrator Apps in meinem Mandanten, die Azure AD Graph verwenden?

Verwenden Sie eine der folgenden drei Methoden, um Apps in Ihrem Mandanten mit einer Abhängigkeit von Azure AD Graph zu identifizieren.

Methode 1: Über Netzwerkproxyprotokolle

Überprüfen Sie die Datenverkehrsprotokolle Ihres Netzwerkservers über einen Filterproxy für alle Apps, die den https://graph.windows.net/ Endpunkt aufrufen. Diese Apps verwenden Azure AD Graph.

Methode 2: Überprüfen der Microsoft Entra-Empfehlungen

1. Melden Sie sich beim Microsoft Entra Admin Center mit Berechtigungen an, um Microsoft Entra ID-Empfehlungen anzuzeigen. Für diesen Vorgang werden die folgenden Am wenigsten privilegierten Rollen unterstützt: Berichtsleser, Sicherheitsleser und globaler Leser.
2. Erweitern Sie das Menü >Identität und wählen Sie die Registerkarte Übersicht>Empfehlungen aus. Wenn eine Empfehlung mit dem Namen Migrieren von Azure AD Graph-APIs zu Microsoft Graph aufgeführt ist, bedeutet dies, dass Sie über Apps verfügen, die Azure AD Graph verwenden. Wählen Sie den Eintrag aus, und sie sehen die Liste der Apps und Dienstprinzipale, die Azure AD Graph verwenden, sowie die Korrekturmaßnahmen.

Methode 3: Verwenden des Menüs "App-Registrierungen" des Microsoft Entra Admin Centers

1. Melden Sie sich beim Microsoft Entra Admin Centeran.

2. Erweitern Sie das Menü >Identität und wählen SieAnwendungs-App-Registrierungen> aus.

3. Wählen Sie im Fenster App-Registrierungen die Registerkarte Alle Anwendungen und dann die Option Filter hinzufügen aus. Wählen Sie in der Liste der verfügbaren Filter die Option Angeforderte API und dann Anwenden aus. Der Angeforderte API-Filter wird angezeigt.

   

4. Wählen Sie Microsoft-APIs aus. Wählen Sie in der Dropdownliste Bitte wählen Sie eine API aus, und wählen Sie Azure Active Directory Graph aus. Wählen Sie Anwenden aus. Dieser Prozess schränkt die Liste auf alle Apps mit einer Abhängigkeit von Azure AD Graph ein.

   

Methode 3: Verwenden eines PowerShell-Skripts

Laden Sie dieses PowerShell-Skript herunter, und führen Sie es aus. Verwenden Sie diese Methode, um Apps mit ihrem Basisverzeichnis in Ihrem Mandanten und Apps mit ihren Basisverzeichnissen in anderen Mandanten abzurufen.

Microsoft hat mir eine E-Mail mit einer Liste von App-IDs für Apps mit Azure AD Graph gesendet. Wie finde ich die Details jeder App, einschließlich des Besitzers?

1. Melden Sie sich beim Microsoft Entra Admin Center mit mindestens den Standardbenutzerberechtigungen zum Lesen von Anwendungsdetails an.

2. Erweitern Sie das Menü >Identität und wählen SieAnwendungs-App-Registrierungen> aus.

3. Wählen Sie im Fenster App-Registrierungen die Registerkarte Alle Anwendungen und dann die Option Filter hinzufügen aus. Wählen Sie die Option Anwendungs-ID (Client-ID) aus der Liste der verfügbaren Filter aus, und wählen Sie Übernehmen aus. Ein Filter wird eingeblendt.

4. Geben Sie eine App-ID in das Textfeld ein, und wählen Sie Übernehmen aus. Die Liste wurde auf die angegebene App eingegrenzt.

   

5. Wählen Sie die App aus. Dadurch wird das Menü der App angezeigt. Im linken Bereich des Fensters können Sie mithilfe von Menüoptionen wie Besitzer die App-Details abrufen.

Microsoft hat mir eine E-Mail mit einer Liste von App-IDs für Apps mit Azure AD Graph gesendet. Sind dies alle betroffenen Apps?

Diese Liste erfasst nur Apps, die innerhalb der letzten 28 Tage verwendet wurden und die den Azure AD Graph-Endpunkt aufgerufen haben. Bei Apps mit saisonaler Verwendung wird ihre App-ID möglicherweise in der Liste eines Monats erfasst, aber nicht in einem anderen. Um die vollständige Liste der betroffenen Apps abzurufen, empfiehlt es sich, eine der drei zuvor aufgeführten Methoden zu verwenden.

Ich bin Abonnementbesitzer und Microsoft hat mir eine E-Mail zur Einstellung von Azure AD Graph mit einer Liste von App-IDs gesendet. Wie behebe ich diese Situation?

Die erhaltene E-Mail enthält die Mandanten-IDs, die mit den App-IDs verknüpft sind. Führen Sie die folgenden Schritte aus, um die technischen Kontaktdetails für die jeweiligen Mandanten abzurufen.

1. Melden Sie sich beim Microsoft Entra Admin Centeran.

2. Wenn Sie Abonnementbesitzer in mehreren Microsoft Entra-Mandanten sind, wechseln Sie zunächst zum entsprechenden Mandanten oder Verzeichnis.

   1. Wählen Sie oben rechts im Fenster Ihr Profilsymbol und dann Verzeichnis wechseln aus. Dies zeigt die Portaleinstellungen | Fenster "Verzeichnisse + Abonnements ".
   2. Verwenden Sie in der Liste die Registerkarte Wechseln , um zu dem Verzeichnis zu wechseln, dessen Verzeichnis-ID der Mandanten-ID entspricht, die Sie in der E-Mail erhalten haben. Das Active Directory ist als Aktuell gekennzeichnet.
   3. Schließen Sie das Fenster.

3. Erweitern Sie im entsprechenden Verzeichnis das Menü >Identität und wählen Sie Übersicht aus.

4. Wählen Sie im Fenster Übersicht die Option Eigenschaften aus.

5. Überprüfen Sie im Fenster Mandanteneigenschaften zunächst, ob der Wert der Mandanten-ID mit einer Mandanten-ID übereinstimmt, die Sie in der E-Mail erhalten haben. Rufen Sie die Technischen Kontaktdetails ab, um den Mandanten zu kontaktieren, damit dieser über die Veraltetkeit informiert werden kann.

   

Ich kenne Apps, die Azure AD Graph verwenden. Wie kann ich sie zu Microsoft Graph migrieren?

Um Ihre Apps von Azure AD Graph zu Microsoft Graph zu migrieren, befolgen Sie die Prüfliste zur Planung der App-Migration.

Ich besitze einige Apps in meinem Mandanten nicht, aber sie verwenden Azure AD Graph. Kann ich den Besitzer solcher Apps finden?

Überprüfen Sie zunächst die vollständige Liste der Apps, die sich im Besitz Ihres Mandanten oder von Drittanbieteranwendungen befinden, die in Ihren Mandanten integriert sind.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Erweitern Sie das Menü >Identität und wählen Sie Anwendungen aus.

3. Wenn die Apps in Ihrem Mandanten registriert sind, wählen Sie App-Registrierungen aus. Wenn es sich bei den Apps um mehrinstanzenfähige Apps handelt, für die Sie in Ihrem Mandanten zugestimmt haben, aber in einem anderen Mandanten zuhause sind, wählen Sie Unternehmensanwendungen aus.

4. Wählen Sie die Registerkarte Alle Anwendungen aus.

5. Wählen Sie die App aus, um ihr Menü anzuzeigen.

6. Wählen Sie im linken Bereich des Fensters unter der Gruppe Verwalten das Menü Besitzer aus.

   

Meine Organisation führt Azure Stack Hub aus. Welche Maßnahmen sollte ich ergreifen?

Wenn Ihre Organisation Azure Stack Hub ausführt, besteht die wichtigste Aktion darin, die Azure Stack Hub-Wartungsrichtlinie zu befolgen.

Zum Migrieren werden Kunden über das Azure Stack Hub-Verwaltungsportal benachrichtigt, um ihre Stamm- und Gastmandantenverzeichnisse zu aktualisieren. Die Migration zu Microsoft Graph wird über die integrierte Systemupdateumgebung verwaltet.

Ich muss meiner App neue Azure AD Graph-Berechtigungen hinzufügen, aber ich kann Azure AD Graph nicht als erforderliche Berechtigung für meine App-Registrierung auswählen. Wie kann ich die Azure AD Graph-Berechtigungen hinzufügen?

Zunächst wird empfohlen, die Prüfliste zur Planung der App-Migration zu befolgen, damit Sie Ihre Apps auf die Microsoft Graph-API umstellen können.

Wenn Sie eine Lücke erkannt haben, bei der Microsoft Graph ein in Azure AD Graph verfügbares Feature nicht unterstützt, teilen Sie uns dies über Microsoft Q&A mit, indem Sie das Tag azure-ad-graph-deprecation verwenden.

Wenn Sie weiterhin Azure AD Graph-Berechtigungen für Ihre Anwendungen konfigurieren müssen, verwenden Sie eine der folgenden Problemumgehungen.

• Verwenden Sie das Microsoft Entra Admin Center, um die VON Ihrer Organisation verwendeten APIs zu finden.
• Aktualisieren Sie das Anwendungsmanifest im Microsoft Entra Admin Center.
• Verwenden Sie die Api zum Aktualisieren der Anwendung in Microsoft Graph, um das requiredResourceAccess-Objekt zu aktualisieren. Weitere Informationen finden Sie unter Zuweisen von Berechtigungen zu einer App.
• Verwenden von Microsoft Graph-APIs zum programmgesteuerten Erteilen von Berechtigungen
• Verwenden Sie das Cmdlet Update-MgApplication im Microsoft Graph PowerShell SDK.

Beispiele zur Verwendung der aufgeführten Problemumgehungen finden Sie unter Verwenden von Microsoft Graph zum Konfigurieren der erforderlichen Azure AD Graph-Berechtigungen für eine App-Registrierung.

Hinweis

Das Hinzufügen von Azure AD Graph-Berechtigungen mithilfe dieser Problemumgehungen wird nach dem Außerbetriebnahme von Azure AD Graph nicht mehr unterstützt. Alle Apps, die Azure AD Graph verwenden, funktionieren auch nach der Deaktivierung nicht mehr.

Verwandte Inhalte

• Checkliste zum Migrieren von Apps