Поделиться через

Влияние миграции Microsoft Graph в Azure CLI

  • Статья

Из-за нерекомендуемого графа Azure Active Directory (Azure AD) базовый API Graph Active Directory заменяется API Microsoft Graph в Azure CLI 2.37.0.

Критические изменения

Различия в базовом API и выходных изменениях JSON см. в разделе "Различия свойств между Azure AD Graph и Microsoft Graph".

Например, самое выдающееся изменение заключается id в замене objectId свойства в выходном ФОРМАТЕ JSON объекта Graph.

Аргументы команд и критические изменения поведения перечислены в следующем разделе.

az ad app create/update

  • Разделите --reply-urls на --web-redirect-uris и --public-client-redirect-uris.
  • Замените --homepage на --web-home-page-url.
  • Замените --available-to-other-tenants на --sign-in-audience.
  • Замените --native-app на --is-fallback-public-client.
  • Замените --oauth2-allow-implicit-flow на --enable-access-token-issuance.
  • Добавьте --enable-id-token-issuance, чтобы задать web/implicitGrantSettings/enableIdTokenIssuance.
  • Удалите --password и --credential-description. Используйте az ad app credential reset, чтобы служба Graph создала пароль для вас (https://github.com/Azure/azure-cli/issues/20675).
  • Добавьте --key-display-name, чтобы задать displayName для keyCredential.

az ad app permission grant

  • удален параметр --expires;
  • --scope больше не использует значение user_impersonation по умолчанию и теперь является обязательным.

az ad app credential reset

az ad sp delete

  • Эта команда больше не удаляет соответствующее приложение. Используйте az ad app delete, чтобы явно удалить приложение (https://github.com/Azure/azure-cli/issues/8467).
  • Эта команда больше не удаляет соответствующие назначения ролей для субъекта-службы. Используйте az role assignment delete, чтобы явно удалить назначения ролей (https://github.com/Azure/azure-cli/issues/20805).

az ad sp credential

az ad sp credential reset

  • Замените --name на --id.
  • Удалите --password. Без указания аргументов сертификата служба Graph создаст пароль для вас (https://github.com/Azure/azure-cli/issues/20675).

az ad user create

  • Замените --force-change-password-next-login на --force-change-password-next-sign-in.

az ad user update

  • Замените --force-change-password-next-login на --force-change-password-next-sign-in.

az ad group get-member-groups

  • удален параметр --additional-properties;

az ad group member add

  • удален параметр --additional-properties;

Известные проблемы

  • В отношении универсальных аргументов обновления единственная поддерживаемая операция находится --set на корневом уровне объекта Graph. Из-за изменения базовой инфраструктуры использование --add--remove или --set в вложенных элементах в настоящее время не работает. Для неподдерживаемых сценариев можно использовать az rest для прямого вызова API Microsoft Graph. Примеры см. здесь: https://github.com/Azure/azure-cli/issues/22580.
  • Связанные команды Microsoft Graph, такие как az ad и az role сбои в средах Azure Stack, которые не поддерживают Microsoft Graph. Используйте Azure CLI 2.36.0 или более ранние версии для сред Azure Stack.

Установка предыдущей версии

Если вы еще не готовы к миграции, например отсутствие разрешений Microsoft Graph, вы можете продолжать использовать версии <Azure CLI = 2.36.0. Если вы уже установили версию 2.37.0, вы можете выполнить откат до предыдущей версии после раздела "Установить определенную версию" в документах установки (за исключением Homebrew, которая не поддерживает установку предыдущих версий).

Устранение неполадок

Выполнение команды Graph завершается с ошибкой AADSTS50005 или AADSTS53000

Возможно, в арендаторе присутствуют политики условного доступа, которые блокируют использование потока кода устройства для доступа к Microsoft Graph. В таких случаях для входа используйте поток кода авторизации или субъект-службу. Дополнительные сведения о методах входа см. в статье "Вход с помощью Azure CLI".

В арендаторе Майкрософт (72f988bf-86f1-41af-91ab-2d7cd011db47) настроены такие политики условного доступа.

Дополнительные сведения

Дополнительные сведения о миграции Microsoft Graph см. здесь: https://github.com/Azure/azure-cli/issues/22580.

Отправить отзыв

Если у вас есть вопросы, ответьте https://github.com/Azure/azure-cli/issues/22580 или создайте новую проблему с командой az feedback .