Impacto da migração do Microsoft Graph na CLI do Azure

  • Artigo

Devido à substituição do Azure Ative Directory (Azure AD) Graph, a API subjacente do Ative Directory Graph é substituída pela API do Microsoft Graph na CLI do Azure 2.37.0.

Alterações interruptivas

Para obter as diferenças da API subjacente e das alterações de quebra JSON de saída, consulte Diferenças de propriedade entre o Azure AD Graph e o Microsoft Graph.

Por exemplo, a alteração mais notável é que id substitui a objectId propriedade na saída JSON de um objeto Graph.

O argumento de comando e as alterações de quebra de comportamento são listados na próxima seção.

az ad app create/update

  • Dividir --reply-urls em --web-redirect-uris e --public-client-redirect-uris
  • Substitua --homepage por --web-home-page-url
  • Substitua --available-to-other-tenants por --sign-in-audience
  • Substitua --native-app por --is-fallback-public-client
  • Substitua --oauth2-allow-implicit-flow por --enable-access-token-issuance
  • Adicionar --enable-id-token-issuance ao conjunto web/implicitGrantSettings/enableIdTokenIssuance
  • Remover --password e --credential-description. Use az ad app credential reset para permitir que o serviço Graph crie uma senha para você (https://github.com/Azure/azure-cli/issues/20675)
  • Adicionar --key-display-name ao conjunto keyCredential's displayName

az ad app permission grant

  • Remover --expires
  • --scope não é mais padrão e user_impersonation agora é necessário

az ad app credential reset

az ad sp delete

az ad sp credential

az ad sp credential reset

az ad user create

  • Substitua --force-change-password-next-login por --force-change-password-next-sign-in

az ad user update

  • Substitua --force-change-password-next-login por --force-change-password-next-sign-in

az ad group get-member-groups

  • Remover --additional-properties

az ad group member add

  • Remover --additional-properties

Problemas conhecidos

  • Em relação aos argumentos de atualização genéricos, a única operação suportada é --set no nível raiz de um objeto Graph. Devido à mudança de infraestrutura subjacente, o uso de --add, --remove ou --set em subníveis atualmente não funciona. Para cenários sem suporte, você pode usar az rest para chamar diretamente a API do Microsoft Graph. Exemplos podem ser encontrados em https://github.com/Azure/azure-cli/issues/22580.
  • Comandos relacionados ao Microsoft Graph como az ad e az role falham em ambientes do Azure Stack que não têm suporte ao Microsoft Graph. Use a CLI do Azure 2.36.0 ou versões anteriores para ambientes do Azure Stack.

Instalar uma versão anterior

Se você ainda não estiver pronto para a migração, como a falta de permissões do Microsoft Graph, poderá continuar usando as versões <da CLI do Azure = 2.36.0. Se você já tiver instalado a versão 2.37.0, poderá reverter para uma versão anterior seguindo a seção "Instalar versão específica" nos documentos de instalação (exceto para o Homebrew, que não suporta a instalação de versões anteriores).

Resolução de problemas

O comando gráfico falha com AADSTS50005 ou AADSTS53000

Seu locatário pode ter políticas de Acesso Condicional que bloqueiam o uso do fluxo de código do dispositivo para acessar o Microsoft Graph. Nesses casos, use o fluxo de código de autorização ou uma entidade de serviço para entrar. Para obter mais informações sobre métodos de entrada, consulte Entrar com a CLI do Azure.

O locatário da Microsoft (72f988bf-86f1-41af-91ab-2d7cd011db47) tem essas políticas de Acesso Condicional configuradas.

Mais informações

Você pode encontrar mais informações sobre a migração do Microsoft Graph em https://github.com/Azure/azure-cli/issues/22580.

Enviar comentários

Se você tiver alguma dúvida, responda https://github.com/Azure/azure-cli/issues/22580 ou crie um novo problema com o az feedback comando.