Compartilhar via

Impacto da migração do Microsoft Graph na CLI do Azure

  • Artigo

Devido à descontinuação do Graph do Azure Active Directory (Azure AD), a API do Graph do Active Directory subjacente será substituída na CLI do Azure 2.37.0 pela API do Microsoft Graph.

Alterações de quebra

Para obter as diferenças das alterações interruptivas da API subjacente e do JSON de saída, veja as Diferenças de propriedade entre o Azure AD Graph e o Microsoft Graph.

Por exemplo, a melhor alteração é que id substitui a propriedade objectId no JSON de saída de um objeto do Graph.

As alterações interruptivas de argumento de comando e de comportamento são listadas na próxima seção.

az ad app create/update

  • Divida --reply-urls em --web-redirect-uris e --public-client-redirect-uris
  • Substitua --homepage por --web-home-page-url
  • Substitua --available-to-other-tenants por --sign-in-audience
  • Substitua --native-app por --is-fallback-public-client
  • Substitua --oauth2-allow-implicit-flow por --enable-access-token-issuance
  • Adicione --enable-id-token-issuance para definir web/implicitGrantSettings/enableIdTokenIssuance
  • Remova --password e --credential-description. Use az ad app credential reset para permitir que o serviço do Graph crie uma senha para você (https://github.com/Azure/azure-cli/issues/20675)
  • Adicione --key-display-name para definir displayName de keyCredential

az ad app permission grant

  • Remover --expires
  • --scope não define mais user_impersonation como padrão e agora é obrigatório

az ad app credential reset

az ad sp delete

az ad sp credential

az ad sp credential reset

az ad user create

  • Substitua --force-change-password-next-login por --force-change-password-next-sign-in

az ad user update

  • Substitua --force-change-password-next-login por --force-change-password-next-sign-in

az ad group get-member-groups

  • Remover --additional-properties

az ad group member add

  • Remover --additional-properties

Problemas conhecidos

  • No que se refere aos argumentos de atualização genéricos, a única operação com suporte é --set no nível raiz de um objeto do Graph. Devido à alteração da infraestrutura subjacente, o uso de --add, --remove ou --set em subníveis não está funcionando atualmente. Para cenários não suportados, é possível usar az rest para chamar diretamente a API do Microsoft Graph. Exemplos podem ser encontrados em https://github.com/Azure/azure-cli/issues/22580.
  • Os comandos relacionados ao Microsoft Graph, como az ad e az role, falharão em ambientes do Azure Stack que não sejam compatíveis com o Microsoft Graph. Use a CLI do Azure 2.36.0 ou versões anteriores em ambientes do Azure Stack.

Instalar uma versão anterior

Se você ainda não estiver pronto para a migração ( por não ter permissões do Microsoft Graph, por exemplo), poderá continuar usando as versões da CLI do Azure <= 2.36.0. Se você já tiver instalado a versão 2.37.0, poderá reverter para uma versão anterior após a seção "Instalar versão específica" nos documentos de instalação (exceto para o Homebrew, que não dá suporte à instalação de versões anteriores).

Solução de problemas

O comando do Graph falha com AADSTS50005 ou AADSTS53000

Seu locatário pode ter políticas de Acesso Condicional que bloqueiam o uso do fluxo de código do dispositivo para acessar o Microsoft Graph. Nesses casos, use o fluxo de código de autorização ou uma entidade de serviço para entrar. Para obter mais informações sobre métodos de entrada, consulte Entrar com a CLI do Azure.

O locatário da Microsoft (72f988bf-86f1-41af-91ab-2d7cd011db47) tem essas políticas de Acesso Condicional configuradas.

Mais informações

Você pode encontrar mais informações sobre a migração do Microsoft Graph emhttps://github.com/Azure/azure-cli/issues/22580.

Envie comentários

Se tiver dúvidas, mande resposta para https://github.com/Azure/azure-cli/issues/22580 ou crie um novo problema usando o comando az feedback.