Azure CLI에서 Microsoft Graph 마이그레이션의 영향

Azure AD(Azure Active Directory) 그래프의 사용 중단으로 인해 기본 Active Directory Graph API는 Azure CLI 2.37.0의 Microsoft Graph API로 대체됩니다.

호환성이 손상되는 변경

기본 API와 출력 JSON 호환성이 손상되는 변경의 차이점은 Azure AD Graph와 Microsoft Graph 간의 속성 차이를 참조하세요.

예를 들어 가장 뛰어난 변경 내용은 id Graph 개체의 objectId 출력 JSON에서 속성을 대체하는 것입니다.

명령 인수 및 동작 호환성이 손상되는 변경 내용은 다음 섹션에 나열됩니다.

az ad app create/update

• --reply-urls를 --web-redirect-uris 및 --public-client-redirect-uris로 분할
• --homepage를 --web-home-page-url으로 대체합니다.
• --available-to-other-tenants를 --sign-in-audience으로 대체합니다.
• --native-app를 --is-fallback-public-client으로 대체합니다.
• --oauth2-allow-implicit-flow를 --enable-access-token-issuance으로 대체합니다.
• 집합 web/implicitGrantSettings/enableIdTokenIssuance에 --enable-id-token-issuance 추가
• --password 및 --credential-description을 제거합니다. az ad app credential reset을 사용하여 Graph 서비스에서 암호를 만들 수 있도록 합니다(https://github.com/Azure/azure-cli/issues/20675).
• --key-display-name을 추가하여 keyCredential의 displayName 설정

az ad app permission grant

• --expires 제거
• --scope가 더 이상 기본적으로 user_impersonation이 아니고 이제 필수임

az ad app credential reset

• --credential-description을 --display-name(https://github.com/Azure/azure-cli/issues/20561)으로 교체
• --password를 제거합니다. 인증서 인수를 지정하지 않고 Graph 서비스에서 암호를 만듭니다(https://github.com/Azure/azure-cli/issues/20675).

az ad sp delete

• 이 명령은 더 이상 해당 애플리케이션을 삭제하지 않습니다. az ad app delete를 사용하여 애플리케이션을 명시적으로 삭제합니다(https://github.com/Azure/azure-cli/issues/8467).
• 이 명령은 더 이상 서비스 주체의 해당 역할 할당을 삭제하지 않습니다. az role assignment delete를 사용하여 역할 할당을 명시적으로 삭제합니다(https://github.com/Azure/azure-cli/issues/20805).

az ad sp credential

• 이제 이 명령 그룹은 애플리케이션이 아닌 서비스 주체에서 작동합니다(https://github.com/Azure/azure-cli/issues/11458).

az ad sp credential reset

• --name를 --id으로 대체합니다.
• --password를 제거합니다. 인증서 인수를 지정하지 않고 Graph 서비스에서 암호를 만듭니다(https://github.com/Azure/azure-cli/issues/20675).

az ad user create

• --force-change-password-next-login를 --force-change-password-next-sign-in으로 대체합니다.

az ad user update

• --force-change-password-next-login를 --force-change-password-next-sign-in으로 대체합니다.

az ad group get-member-groups

• --additional-properties 제거

az ad group member add

• --additional-properties 제거

알려진 문제

• 제네릭 업데이트 인수와 관련하여 지원되는 작업은 --set Graph 개체의 루트 수준에만 있습니다. 기본 인프라 변경 --add--remove 으로 인해 현재 사용 또는 --set 오블벨 사용이 작동하지 않습니다. 지원되지 않는 시나리오의 경우 az rest를 사용하여 Microsoft Graph API를 직접 호출할 수 있습니다. 예제는 https://github.com/Azure/azure-cli/issues/22580에서 찾을 수 있습니다.
• Microsoft Graph가 지원되지 않는 Azure Stack 환경에서 Microsoft Graph 관련 명령과 유사 az ad 하고 az role 실패합니다. Azure Stack 환경에 Azure CLI 2.36.0 이전 버전을 사용합니다.

이전 버전 설치

Microsoft Graph 권한 부족과 같이 아직 마이그레이션할 준비가 되지 않은 경우 Azure CLI 버전 <= 2.36.0을 계속 사용할 수 있습니다. 2.37.0을 이미 설치한 경우 설치 문서 아래의 "특정 버전 설치" 섹션에 따라 이전 버전으로 롤백할 수 있습니다(이전 버전 설치를 지원하지 않는 Homebrew 제외).

문제 해결

Graph 명령이 AADSTS50005 또는 AADSTS53000으로 인해 실패함

테넌트에 디바이스 코드 흐름을 사용하여 Microsoft Graph에 액세스하는 것을 차단하는 조건부 액세스 정책이 있을 수 있습니다. 이러한 경우 권한 부여 코드 흐름 또는 서비스 주체를 대신 사용하여 로그인합니다. 로그인 방법에 대한 자세한 내용은 Azure CLI로 로그인을 참조하세요.

Microsoft 테넌트(72f988bf-86f1-41af-91ab-2d7cd011db47)에는 이러한 조건부 액세스 정책이 구성되어 있습니다.

자세한 정보

https://github.com/Azure/azure-cli/issues/22580에서 Microsoft Graph 마이그레이션에 대한 자세한 정보를 찾을 수 있습니다.

피드백 제공

질문이 있는 경우 명령에 회신 https://github.com/Azure/azure-cli/issues/22580 하거나 새 문제를 az feedback 만듭니다.