Sdílet prostřednictvím

Dopad migrace Microsoft Graphu v Azure CLI

  • Článek

Vzhledem k vyřazení grafu Azure Active Directory (Azure AD) se základní rozhraní Active Directory Graph API nahrazuje rozhraním Microsoft Graph API v Azure CLI 2.37.0.

Změny způsobující chyby

Rozdíly v podkladovém rozhraní API a výstupních změnách json způsobujících chybu najdete v rozdílech vlastností mezi Azure AD Graphem a Microsoft Graphem.

Například nejvýraznější změnou je, že id nahradí objectId vlastnost ve výstupním formátu JSON objektu Graph.

V další části jsou uvedené změny v argumentech příkazů a chování způsobujících chybu.

az ad app create/update

  • Rozdělení --reply-urls do --web-redirect-uris a --public-client-redirect-uris
  • Nahradit --homepage čím --web-home-page-url
  • Nahradit --available-to-other-tenants čím --sign-in-audience
  • Nahradit --native-app čím --is-fallback-public-client
  • Nahradit --oauth2-allow-implicit-flow čím --enable-access-token-issuance
  • Přidat --enable-id-token-issuance k nastavení web/implicitGrantSettings/enableIdTokenIssuance
  • Odebrat --password a --credential-description. Umožňuje az ad app credential reset službě Graph vytvořit heslo za vás (https://github.com/Azure/azure-cli/issues/20675)
  • Přidat --key-display-name k nastavení keyCredentialdisplayName

az ad app permission grant

  • Odebrání --expires
  • --scope už výchozí nastavení user_impersonation není a teď se vyžaduje.

az ad app credential reset

az ad sp delete

az ad sp credential

az ad sp credential reset

az ad user create

  • Nahradit --force-change-password-next-login čím --force-change-password-next-sign-in

az ad user update

  • Nahradit --force-change-password-next-login čím --force-change-password-next-sign-in

az ad group get-member-groups

  • Odebrání --additional-properties

az ad group member add

  • Odebrání --additional-properties

Známé problémy

  • Pokud jde o obecné argumenty aktualizace, jediná podporovaná operace je --set na kořenové úrovni objektu Graph. Vzhledem ke změně základní infrastruktury aktuálně nefunguje použití --add--remove --set nebo podúrovňových úrovní. V případě nepodporovaných scénářů můžete použít az rest přímé volání rozhraní Microsoft Graph API. Příklady najdete na adrese https://github.com/Azure/azure-cli/issues/22580.
  • Příkazy související s Microsoft Graphem jako az ad a az role selhání v prostředích Azure Stack, která nemají podporu Microsoft Graphu Pro prostředí Azure Stack použijte Azure CLI 2.36.0 nebo starší verze.

Instalace předchozí verze

Pokud ještě nejste připraveni na migraci, například nemáte oprávnění Microsoft Graphu, můžete dál používat verze <Azure CLI = 2.36.0. Pokud jste už nainstalovali verzi 2.37.0, můžete se vrátit k předchozí verzi podle části Instalace konkrétní verze v instalačních dokumentech (s výjimkou Homebrew, která nepodporuje instalaci předchozích verzí).

Řešení problému

Příkaz Graph selže s příkazem AADSTS50005 nebo AADSTS53000

Váš tenant může mít zásady podmíněného přístupu, které blokují přístup k Microsoft Graphu pomocí toku kódu zařízení. V takových případech se místo toho přihlaste pomocí toku autorizačního kódu nebo instančního objektu. Další informace o metodách přihlašování najdete v tématu Přihlášení pomocí Azure CLI.

Tenant Microsoftu (72f988bf-86f1-41af-91ab-2d7cd011db47) má nakonfigurované takové zásady podmíněného přístupu.

Více informací

Další informace o migraci microsoft Graphu najdete na webu https://github.com/Azure/azure-cli/issues/22580.

Odeslat názory

Pokud máte nějaké dotazy, odpovězte https://github.com/Azure/azure-cli/issues/22580 nebo vytvořte nový problém s příkazem az feedback .