Delen via

Impact van Microsoft Graph-migratie in Azure CLI

  • Artikel

Vanwege de afschaffing van Azure Active Directory (Azure AD) Graph, wordt de onderliggende Active Directory Graph API vervangen door Microsoft Graph API in Azure CLI 2.37.0.

Wijzigingen die fouten veroorzaken

Raadpleeg Eigenschappenverschillen tussen Azure AD Graph en Microsoft Graph voor verschillen in de onderliggende API en uitvoer JSON die compatibiliteitsproblemen veroorzaken.

De meest openstaande wijziging is bijvoorbeeld dat id de objectId eigenschap in de uitvoer-JSON van een Graph-object wordt vervangen.

Wijzigingen die gevolgen hebben voor het opdrachtargument en gedrag worden in de volgende sectie opgesomd.

az ad app create/update

  • Splitsen --reply-urls in --web-redirect-uris en --public-client-redirect-uris
  • Vervang --homepage door --web-home-page-url
  • Vervang --available-to-other-tenants door --sign-in-audience
  • Vervang --native-app door --is-fallback-public-client
  • Vervang --oauth2-allow-implicit-flow door --enable-access-token-issuance
  • Voeg --enable-id-token-issuance toe om web/implicitGrantSettings/enableIdTokenIssuance in te stellen
  • Verwijderen --password en --credential-description. Gebruik az ad app credential reset om de Graph-service een wachtwoord voor u te laten genereren (https://github.com/Azure/azure-cli/issues/20675)
  • Voeg --key-display-name toe om de displayName van keyCredential in te stellen

az ad app permission grant

  • --expires verwijderen
  • --scope is niet langer standaard ingesteld op user_impersonation en is nu vereist

az ad app credential reset

az ad sp delete

az ad sp credential

az ad sp credential reset

az ad user create

  • Vervang --force-change-password-next-login door --force-change-password-next-sign-in

az ad user update

  • Vervang --force-change-password-next-login door --force-change-password-next-sign-in

az ad group get-member-groups

  • --additional-properties verwijderen

az ad group member add

  • --additional-properties verwijderen

Bekende problemen

  • Wat algemene updateargumenten betreft, bevindt de enige ondersteunde bewerking zich --set op het hoofdniveau van een Graph-object. Vanwege de onderliggende infrastructuurwijziging werkt het gebruik van --addof --remove--set op subniveaus momenteel niet. Voor niet-ondersteunde scenario's kunt u microsoft az rest Graph API rechtstreeks aanroepen. Voorbeelden vindt u op https://github.com/Azure/azure-cli/issues/22580.
  • Aan Microsoft Graph gerelateerde opdrachten, zoals az ad en az role mislukken in Azure Stack-omgevingen die geen ondersteuning voor Microsoft Graph hebben. Gebruik Azure CLI 2.36.0 of eerdere versies voor Azure Stack-omgevingen.

Een vorige versie installeren

Als u nog niet klaar bent voor de migratie, zoals het ontbreken van Microsoft Graph-machtigingen, kunt u Azure CLI-versies <= 2.36.0 blijven gebruiken. Als u 2.37.0 al hebt geïnstalleerd, kunt u teruggaan naar een vorige versie volgens de sectie Specifieke versie installeren onder de installatiedocumenten (met uitzondering van Homebrew, die geen ondersteuning biedt voor het installeren van eerdere versies).

Probleemoplossing

Graph-opdracht mislukt met AADSTS50005 of AADSTS53000

Uw tenant heeft mogelijk beleidsregels voor voorwaardelijke toegang die het gebruik van apparaatcodestroom blokkeren voor toegang tot Microsoft Graph. In dergelijke gevallen gebruikt u de autorisatiecodestroom of een service-principal om u aan te melden. Zie Aanmelden met Azure CLI voor meer informatie over aanmeldingsmethoden.

Microsoft-tenant (72f988bf-86f1-41af-91ab-2d7cd011db47) heeft dergelijke beleidsregels voor voorwaardelijke toegang geconfigureerd.

Meer informatie

Meer informatie over de Migratie van Microsoft Graph vindt u op https://github.com/Azure/azure-cli/issues/22580.

Feedback geven

Als u vragen hebt, antwoord op https://github.com/Azure/azure-cli/issues/22580 of maak een nieuw issue met de az feedback opdracht.