Impacto de la migración de Microsoft Graph en la CLI de Azure

Debido a la desaparición de Azure Active Directory (Azure AD) Graph, la API Graph subyacente de Active Directory se sustituye por Microsoft Graph API en Interfaz de la línea de comandos de Azure 2.37.0.

Últimos cambios

Para ver las diferencias con la API subyacente y los cambios importantes del archivo JSON de salida, consulte Diferencias de propiedades entre Azure AD Graph y Microsoft Graph.

Por ejemplo, el cambio más destacado es que id reemplaza la propiedad objectId en el elemento JSON de salida de un objeto de Graph .

En la próxima sección se enumeran los cambios importantes de comportamiento y el argumento de comando.

az ad app create/update

• Se ha dividido --reply-urls en --web-redirect-uris y --public-client-redirect-uris
• Reemplazar --homepage con --web-home-page-url
• Reemplazar --available-to-other-tenants con --sign-in-audience
• Reemplazar --native-app con --is-fallback-public-client
• Reemplazar --oauth2-allow-implicit-flow con --enable-access-token-issuance
• Se ha agregado --enable-id-token-issuance para establecer web/implicitGrantSettings/enableIdTokenIssuance
• Se han eliminado --password y --credential-description. Use az ad app credential reset para permitir que el servicio Graph cree una contraseña automáticamente (https://github.com/Azure/azure-cli/issues/20675).
• Se ha agregado --key-display-name para establecer el valor displayName de keyCredential

az ad app permission grant

• Se eliminó --expires.
• --scope ya no tiene como valor predeterminado user_impersonation y ahora es obligatorio.

az ad app credential reset

• Se ha reemplazado --credential-description por --display-name (https://github.com/Azure/azure-cli/issues/20561).
• Quite --password. Sin especificar argumentos de certificado, el servicio Graph crea una contraseña automáticamente (https://github.com/Azure/azure-cli/issues/20675).

az ad sp delete

• Este comando ya no elimina la aplicación correspondiente. Use az ad app delete para eliminar explícitamente la aplicación (https://github.com/Azure/azure-cli/issues/8467).
• Este comando ya no elimina las asignaciones de roles correspondientes de la entidad de servicio. Use az role assignment delete para eliminar explícitamente las asignaciones de roles (https://github.com/Azure/azure-cli/issues/20805).

az ad sp credential

• Este grupo de comandos ahora funciona en la entidad de servicio, no en la aplicación (https://github.com/Azure/azure-cli/issues/11458).

az ad sp credential reset

• Reemplazar --name con --id
• Quite --password. Sin especificar argumentos de certificado, el servicio Graph crea una contraseña automáticamente (https://github.com/Azure/azure-cli/issues/20675).

az ad user create

• Reemplazar --force-change-password-next-login con --force-change-password-next-sign-in

az ad user update

• Reemplazar --force-change-password-next-login con --force-change-password-next-sign-in

az ad group get-member-groups

• Se eliminó --additional-properties.

az ad group member add

• Se eliminó --additional-properties.

Problemas conocidos

• En cuanto a los argumentos genéricos de actualización, la única operación admitida es --set en el nivel raíz de un objeto Graph. Debido al cambio de infraestructura subyacente, el uso de --add, --remove o --set en subniveles actualmente no funciona. En escenarios no admitidos, puede usar az rest para llamar directamente a Microsoft Graph API. Puede encontrar más ejemplos en https://github.com/Azure/azure-cli/issues/22580.
• Los comandos relacionados de Microsoft Graph como az ad y az role producen un error en los entornos de Azure Stack que no tengan compatibilidad con Microsoft Graph. Use la versión 2.36.0 o versiones anteriores de la CLI de Azure para los entornos de Azure Stack.

Instalación de una versión anterior

Si aún no está listo para la migración, por ejemplo, por falta de permisos de Microsoft Graph, puede seguir usando las versiones de la CLI de Azure <= 2.36.0. Si ya ha instalado la versión 2.37.0, puede revertir a una versión anterior según se indica en la sección "Instalación de una versión específica" de los documentos de instalación (excepto para Homebrew, que no admite la instalación de versiones anteriores).

Solucionar problemas

El comando de Graph produce un error con AADSTS50005 o AADSTS53000

Es posible que el inquilino tenga directivas de acceso condicional que bloqueen el uso del flujo de código de dispositivo para acceder a Microsoft Graph. En estos casos, use el flujo de código de autorización o una entidad de servicio para iniciar sesión en su lugar. Para obtener más información sobre los métodos de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.

El inquilino de Microsoft (72f988bf-86f1-41af-91ab-2d7cd011db47) tiene configuradas estas directivas de acceso condicional.

Más información

Puede encontrar más información sobre la migración de Microsoft Graph en https://github.com/Azure/azure-cli/issues/22580.

Proporcionar comentarios

Si tiene alguna pregunta, responda a https://github.com/Azure/azure-cli/issues/22580 o cree una incidencia con el comando az feedback.