Impatto della migrazione di Microsoft Graph nell'interfaccia della riga di comando di Azure

A causa della deprecazione di Azure Active Directory (Azure AD), l'API Graph di Active Directory sottostante viene sostituita dall'API Microsoft Graph nell'interfaccia della riga di comando di Azure 2.37.0.

Modifiche di rilievo

Per le differenze tra l'API sottostante e le modifiche di output JSON di rilievo, vedere Differenze di proprietà tra Azure AD Graph e Microsoft Graph.

Ad esempio, la modifica più importante consiste id nel sostituire la objectId proprietà nel codice JSON di output di un oggetto Graph.

Le modifiche relative all'argomento e al comportamento dei comandi sono elencate nella sezione successiva.

az ad app create/update

• Suddividere --reply-urls in --web-redirect-uris e --public-client-redirect-uris
• Sostituire --homepage con --web-home-page-url
• Sostituire --available-to-other-tenants con --sign-in-audience
• Sostituire --native-app con --is-fallback-public-client
• Sostituire --oauth2-allow-implicit-flow con --enable-access-token-issuance
• Aggiungi --enable-id-token-issuance per impostare web/implicitGrantSettings/enableIdTokenIssuance
• Rimuovere --password e --credential-description. Usare az ad app credential reset per consentire al servizio Graph di creare automaticamente una password (https://github.com/Azure/azure-cli/issues/20675)
• Aggiungi --key-display-name per impostare keyCredential's displayName

az ad app permission grant

• Rimozione di --expires
• --scope non è user_impersonation più l'impostazione predefinita e ora è obbligatorio

az ad app credential reset

• Sostituire --credential-description con --display-name (https://github.com/Azure/azure-cli/issues/20561)
• Rimuovere --password. Senza specificare argomenti certificato, il servizio Graph crea automaticamente una password (https://github.com/Azure/azure-cli/issues/20675)

az ad sp delete

• Questo comando non elimina più l'applicazione corrispondente. Usare az ad app delete per eliminare in modo esplicito l'applicazione (https://github.com/Azure/azure-cli/issues/8467)
• Questo comando non elimina più le assegnazioni di ruolo corrispondenti dell'entità servizio. Usare az role assignment delete per eliminare in modo esplicito le assegnazioni di ruolo (https://github.com/Azure/azure-cli/issues/20805)

az ad sp credential

• Questo gruppo di comandi ora opera sull'entità servizio, non sull'applicazione (https://github.com/Azure/azure-cli/issues/11458)

az ad sp credential reset

• Sostituire --name con --id
• Rimuovere --password. Senza specificare argomenti certificato, il servizio Graph crea automaticamente una password (https://github.com/Azure/azure-cli/issues/20675)

az ad user create

• Sostituire --force-change-password-next-login con --force-change-password-next-sign-in

az ad user update

• Sostituire --force-change-password-next-login con --force-change-password-next-sign-in

az ad group get-member-groups

• Rimozione di --additional-properties

az ad group member add

• Rimozione di --additional-properties

Problemi noti

• Per quanto riguarda gli argomenti di aggiornamento generici, l'unica operazione supportata è --set sul livello radice di un oggetto Graph. A causa della modifica dell'infrastruttura sottostante, l'uso di --add--remove o --set su sottolivello attualmente non funziona. Per gli scenari non supportati, è possibile usare az rest per chiamare direttamente l'API Microsoft Graph. Gli esempi sono disponibili in https://github.com/Azure/azure-cli/issues/22580.
• I comandi correlati a Microsoft Graph, ad esempio az ad e az role non riescono in ambienti Azure Stack che non dispongono del supporto di Microsoft Graph. Usare l'interfaccia della riga di comando di Azure 2.36.0 o versioni precedenti per gli ambienti Azure Stack.

Installare una versione precedente

Se non si è ancora pronti per la migrazione, ad esempio senza autorizzazioni di Microsoft Graph, è possibile continuare a usare le versioni <dell'interfaccia della riga di comando di Azure = 2.36.0. Se è già stata installata la versione 2.37.0, è possibile eseguire il rollback a una versione precedente dopo la sezione "Installa versione specifica" nei documenti di installazione (ad eccezione di Homebrew, che non supporta l'installazione delle versioni precedenti).

Risoluzione dei problemi

Il comando Graph ha esito negativo con AADSTS50005 o AADSTS53000

Il tenant potrebbe avere criteri di accesso condizionale che bloccano l'uso del flusso del codice del dispositivo per accedere a Microsoft Graph. In questi casi, usare il flusso del codice di autorizzazione o un'entità servizio per accedere. Per altre informazioni sui metodi di accesso, vedere Accedere con l'interfaccia della riga di comando di Azure.

Il tenant Microsoft (72f988bf-86f1-41af-91ab-2d7cd011db47) ha tali criteri di accesso condizionale configurati.

Altre informazioni

Altre informazioni sulla migrazione di Microsoft Graph sono disponibili in https://github.com/Azure/azure-cli/issues/22580.

Invia feedback

In caso di domande, rispondere o https://github.com/Azure/azure-cli/issues/22580 creare un nuovo problema con il az feedback comando .