Impacto de la migración de Microsoft Graph en la CLI de Azure
Debido a la desaparición de Azure Active Directory (Azure AD) Graph, la API Graph subyacente de Active Directory se sustituye por Microsoft Graph API en Interfaz de la línea de comandos de Azure 2.37.0.
Últimos cambios
Para ver las diferencias con la API subyacente y los cambios importantes del archivo JSON de salida, consulte Diferencias de propiedades entre Azure AD Graph y Microsoft Graph.
Por ejemplo, el cambio más destacado es que id
reemplaza la propiedad objectId
en el elemento JSON de salida de un objeto de Graph .
En la próxima sección se enumeran los cambios importantes de comportamiento y el argumento de comando.
az ad app create/update
- Se ha dividido
--reply-urls
en--web-redirect-uris
y--public-client-redirect-uris
- Reemplazar
--homepage
con--web-home-page-url
- Reemplazar
--available-to-other-tenants
con--sign-in-audience
- Reemplazar
--native-app
con--is-fallback-public-client
- Reemplazar
--oauth2-allow-implicit-flow
con--enable-access-token-issuance
- Se ha agregado
--enable-id-token-issuance
para establecerweb/implicitGrantSettings/enableIdTokenIssuance
- Se han eliminado
--password
y--credential-description
. Useaz ad app credential reset
para permitir que el servicio Graph cree una contraseña automáticamente (https://github.com/Azure/azure-cli/issues/20675). - Se ha agregado
--key-display-name
para establecer el valordisplayName
dekeyCredential
az ad app permission grant
- Se eliminó
--expires
. --scope
ya no tiene como valor predeterminadouser_impersonation
y ahora es obligatorio.
az ad app credential reset
- Se ha reemplazado
--credential-description
por--display-name
(https://github.com/Azure/azure-cli/issues/20561). - Quite
--password
. Sin especificar argumentos de certificado, el servicio Graph crea una contraseña automáticamente (https://github.com/Azure/azure-cli/issues/20675).
az ad sp delete
- Este comando ya no elimina la aplicación correspondiente. Use
az ad app delete
para eliminar explícitamente la aplicación (https://github.com/Azure/azure-cli/issues/8467). - Este comando ya no elimina las asignaciones de roles correspondientes de la entidad de servicio. Use
az role assignment delete
para eliminar explícitamente las asignaciones de roles (https://github.com/Azure/azure-cli/issues/20805).
az ad sp credential
- Este grupo de comandos ahora funciona en la entidad de servicio, no en la aplicación (https://github.com/Azure/azure-cli/issues/11458).
az ad sp credential reset
- Reemplazar
--name
con--id
- Quite
--password
. Sin especificar argumentos de certificado, el servicio Graph crea una contraseña automáticamente (https://github.com/Azure/azure-cli/issues/20675).
az ad user create
- Reemplazar
--force-change-password-next-login
con--force-change-password-next-sign-in
az ad user update
- Reemplazar
--force-change-password-next-login
con--force-change-password-next-sign-in
az ad group get-member-groups
- Se eliminó
--additional-properties
.
az ad group member add
- Se eliminó
--additional-properties
.
Problemas conocidos
- En cuanto a los argumentos genéricos de actualización, la única operación admitida es
--set
en el nivel raíz de un objeto Graph. Debido al cambio de infraestructura subyacente, el uso de--add
,--remove
o--set
en subniveles actualmente no funciona. En escenarios no admitidos, puede usaraz rest
para llamar directamente a Microsoft Graph API. Puede encontrar más ejemplos en https://github.com/Azure/azure-cli/issues/22580. - Los comandos relacionados de Microsoft Graph como
az ad
yaz role
producen un error en los entornos de Azure Stack que no tengan compatibilidad con Microsoft Graph. Use la versión 2.36.0 o versiones anteriores de la CLI de Azure para los entornos de Azure Stack.
Instalación de una versión anterior
Si aún no está listo para la migración, por ejemplo, por falta de permisos de Microsoft Graph, puede seguir usando las versiones de la CLI de Azure <= 2.36.0. Si ya ha instalado la versión 2.37.0, puede revertir a una versión anterior según se indica en la sección "Instalación de una versión específica" de los documentos de instalación (excepto para Homebrew, que no admite la instalación de versiones anteriores).
Solucionar problemas
El comando de Graph produce un error con AADSTS50005
o AADSTS53000
Es posible que el inquilino tenga directivas de acceso condicional que bloqueen el uso del flujo de código de dispositivo para acceder a Microsoft Graph. En estos casos, use el flujo de código de autorización o una entidad de servicio para iniciar sesión en su lugar. Para obtener más información sobre los métodos de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.
El inquilino de Microsoft (72f988bf-86f1-41af-91ab-2d7cd011db47) tiene configuradas estas directivas de acceso condicional.
Más información
Puede encontrar más información sobre la migración de Microsoft Graph en https://github.com/Azure/azure-cli/issues/22580.
Proporcionar comentarios
Si tiene alguna pregunta, responda a https://github.com/Azure/azure-cli/issues/22580 o cree una incidencia con el comando az feedback
.