Dampak migrasi Microsoft Graph di Azure CLI

  • Artikel

Karena penghentian Azure Active Directory (Azure AD) Graph, ACTIVE Directory Graph API yang mendasar digantikan oleh Microsoft Graph API di Azure CLI 2.37.0.

Perubahan mencolok

Untuk perbedaan API yang mendasar dan perubahan pemecahan JSON output, lihat Perbedaan properti antara Azure AD Graph dan Microsoft Graph.

Misalnya, perubahan yang paling luar biasa adalah menggantikan idobjectId properti dalam JSON output objek Graph.

Argumen perintah dan perubahan pemecahan perilaku tercantum di bagian berikutnya.

az ad app create/update

  • Pisahkan --reply-urls menjadi --web-redirect-uris dan --public-client-redirect-uris
  • Ganti --homepagedengan --web-home-page-url
  • Ganti --available-to-other-tenantsdengan --sign-in-audience
  • Ganti --native-appdengan --is-fallback-public-client
  • Ganti --oauth2-allow-implicit-flowdengan --enable-access-token-issuance
  • Tambahkan --enable-id-token-issuance ke set web/implicitGrantSettings/enableIdTokenIssuance
  • Hapus --password dan --credential-description. Gunakan az ad app credential reset untuk mengizinkan layanan Graph membuat kata sandi untuk Anda (https://github.com/Azure/azure-cli/issues/20675)
  • Tambahkan --key-display-name untuk mengatur displayNamekeyCredential

az ad app permission grant

  • Hapus --expires
  • --scope tidak lagi default ke user_impersonation dan sekarang wajib ada

az ad app credential reset

az ad sp delete

az ad sp credential

az ad sp credential reset

az ad user create

  • Ganti --force-change-password-next-logindengan --force-change-password-next-sign-in

az ad user update

  • Ganti --force-change-password-next-logindengan --force-change-password-next-sign-in

az ad group get-member-groups

  • Hapus --additional-properties

az ad group member add

  • Hapus --additional-properties

Masalah yang diketahui

  • Mengenai argumen pembaruan generik, satu-satunya operasi yang didukung adalah --set pada tingkat akar objek Graph. Karena perubahan infrastruktur yang mendasar, penggunaan --add, --remove atau --set pada sublevel saat ini tidak berfungsi. Untuk skenario yang tidak didukung, Anda dapat menggunakan az rest untuk langsung memanggil API Microsoft Graph. Contoh dapat ditemukan di https://github.com/Azure/azure-cli/issues/22580.
  • Perintah terkait Microsoft Graph seperti az ad dan az role gagal di lingkungan Azure Stack yang tidak memiliki dukungan Microsoft Graph. Gunakan Azure CLI 2.36.0 atau versi yang lebih lama untuk lingkungan Azure Stack.

Menginstal versi sebelumnya

Jika Anda belum siap untuk migrasi, seperti tidak memiliki izin Microsoft Graph, Anda mungkin tetap menggunakan versi <Azure CLI = 2.36.0. Jika Anda telah menginstal 2.37.0, Anda dapat kembali ke versi sebelumnya mengikuti bagian "Instal versi tertentu" di bawah dokumen penginstalan (kecuali untuk Homebrew, yang tidak mendukung penginstalan versi sebelumnya).

Pemecahan Masalah

Perintah Graph gagal dengan AADSTS50005 atau AADSTS53000

Penyewa Anda mungkin memiliki kebijakan Akses Bersyarat yang memblokir penggunaan alur kode perangkat untuk mengakses Microsoft Graph. Dalam kasus seperti itu, gunakan alur kode otorisasi atau perwakilan layanan untuk masuk. Untuk informasi selengkapnya tentang metode masuk, lihat Masuk dengan Azure CLI.

Penyewa Microsoft (72f988bf-86f1-41af-91ab-2d7cd011db47) memiliki kebijakan Akses Bersyarat seperti itu yang sudah dikonfigurasi.

Informasi selengkapnya

Anda dapat menemukan informasi selengkapnya tentang migrasi Microsoft Graph di https://github.com/Azure/azure-cli/issues/22580.

Berikan tanggapan

Jika Anda memiliki pertanyaan, balas https://github.com/Azure/azure-cli/issues/22580 atau buat masalah baru dengan az feedback perintah .