Влияние миграции Microsoft Graph в Azure CLI
Из-за нерекомендуемого графа Azure Active Directory (Azure AD) базовый API Graph Active Directory заменяется API Microsoft Graph в Azure CLI 2.37.0.
Критические изменения
Различия в базовом API и выходных изменениях JSON см. в разделе "Различия свойств между Azure AD Graph и Microsoft Graph".
Например, самое выдающееся изменение заключается id в замене objectId свойства в выходном ФОРМАТЕ JSON объекта Graph.
Аргументы команд и критические изменения поведения перечислены в следующем разделе.
az ad app create/update
- Разделите
--reply-urlsна--web-redirect-urisи--public-client-redirect-uris. - Замените
--homepageна--web-home-page-url. - Замените
--available-to-other-tenantsна--sign-in-audience. - Замените
--native-appна--is-fallback-public-client. - Замените
--oauth2-allow-implicit-flowна--enable-access-token-issuance. - Добавьте
--enable-id-token-issuance, чтобы задатьweb/implicitGrantSettings/enableIdTokenIssuance. - Удалите
--passwordи--credential-description. Используйтеaz ad app credential reset, чтобы служба Graph создала пароль для вас (https://github.com/Azure/azure-cli/issues/20675). - Добавьте
--key-display-name, чтобы задатьdisplayNameдляkeyCredential.
az ad app permission grant
- удален параметр
--expires; --scopeбольше не использует значениеuser_impersonationпо умолчанию и теперь является обязательным.
az ad app credential reset
- Измените
--credential-descriptionна--display-name(https://github.com/Azure/azure-cli/issues/20561). - Удалите
--password. Без указания аргументов сертификата служба Graph создаст пароль для вас (https://github.com/Azure/azure-cli/issues/20675).
az ad sp delete
- Эта команда больше не удаляет соответствующее приложение. Используйте
az ad app delete, чтобы явно удалить приложение (https://github.com/Azure/azure-cli/issues/8467). - Эта команда больше не удаляет соответствующие назначения ролей для субъекта-службы. Используйте
az role assignment delete, чтобы явно удалить назначения ролей (https://github.com/Azure/azure-cli/issues/20805).
az ad sp credential
- Эта команда теперь работает с субъектом-службой, а не приложением (https://github.com/Azure/azure-cli/issues/11458).
az ad sp credential reset
- Замените
--nameна--id. - Удалите
--password. Без указания аргументов сертификата служба Graph создаст пароль для вас (https://github.com/Azure/azure-cli/issues/20675).
az ad user create
- Замените
--force-change-password-next-loginна--force-change-password-next-sign-in.
az ad user update
- Замените
--force-change-password-next-loginна--force-change-password-next-sign-in.
az ad group get-member-groups
- удален параметр
--additional-properties;
az ad group member add
- удален параметр
--additional-properties;
Известные проблемы
- В отношении универсальных аргументов обновления единственная поддерживаемая операция находится
--setна корневом уровне объекта Graph. Из-за изменения базовой инфраструктуры использование--add--removeили--setв вложенных элементах в настоящее время не работает. Для неподдерживаемых сценариев можно использоватьaz restдля прямого вызова API Microsoft Graph. Примеры см. здесь: https://github.com/Azure/azure-cli/issues/22580. - Связанные команды Microsoft Graph, такие как
az adиaz roleсбои в средах Azure Stack, которые не поддерживают Microsoft Graph. Используйте Azure CLI 2.36.0 или более ранние версии для сред Azure Stack.
Установка предыдущей версии
Если вы еще не готовы к миграции, например отсутствие разрешений Microsoft Graph, вы можете продолжать использовать версии <Azure CLI = 2.36.0. Если вы уже установили версию 2.37.0, вы можете выполнить откат до предыдущей версии после раздела "Установить определенную версию" в документах установки (за исключением Homebrew, которая не поддерживает установку предыдущих версий).
Устранение неполадок
Выполнение команды Graph завершается с ошибкой AADSTS50005 или AADSTS53000
Возможно, в арендаторе присутствуют политики условного доступа, которые блокируют использование потока кода устройства для доступа к Microsoft Graph. В таких случаях для входа используйте поток кода авторизации или субъект-службу. Дополнительные сведения о методах входа см. в статье "Вход с помощью Azure CLI".
В арендаторе Майкрософт (72f988bf-86f1-41af-91ab-2d7cd011db47) настроены такие политики условного доступа.
Дополнительные сведения
Дополнительные сведения о миграции Microsoft Graph см. здесь: https://github.com/Azure/azure-cli/issues/22580.
Отправить отзыв
Если у вас есть вопросы, ответьте https://github.com/Azure/azure-cli/issues/22580 или создайте новую проблему с командой az feedback .