Поделиться через


Часто задаваемые вопросы о миграции Azure AD Graph в Microsoft Graph

В этой статье содержатся ответы на часто задаваемые вопросы о миграции из Azure Active Directory (Azure AD) Graph в Microsoft Graph.

Чем Microsoft Graph отличается от Azure AD Graph и почему следует переносить приложения?

Azure AD Graph предоставляет доступ только к службам Microsoft Entra ID (прежнее название — Azure AD). Microsoft Graph предлагает единую единую конечную точку для доступа к службам Microsoft Entra и другим службам Майкрософт, таким как Microsoft Teams, Microsoft Exchange, Microsoft Intune и многим другим.

Microsoft Graph также является более безопасным и устойчивым, чем Azure AD Graph. По этой причине с 30 июня 2020 г. Служба Azure AD Graph устаревает, а 1 июля 2023 г. переходит на фазу прекращения использования, так как мы переносим все инвестиции в Microsoft Graph. Перейдите на Microsoft Graph, чтобы избежать потери существующих функциональных возможностей и получить доступ к новым функциям и возможностям.

Как разработчику определить приложения, использующие Azure AD Graph?

Чтобы определить приложения с зависимостью от Azure AD Graph, выполните следующие действия:

Вариант 1. Проверка рекомендаций Microsoft Entra

Войдите в клиент API, например Graph Explorer , с необходимыми разрешениями и ролями для просмотра рекомендаций по идентификаторам Microsoft Entra. Запустите API Списка рекомендаций Microsoft Graph, чтобы получить список приложений и субъектов-служб, использующих Azure AD Graph.

Вариант 2. Использование appId приложения для определения разрешений API

Шаг 1. Сканирование исходного кода приложения

Если у вас есть исходный код приложения, найдите в коде https://graph.windows.net/ URI. Это значение — конечная точка Azure AD Graph, а приложения, которые вызывают эту конечную точку, используют Azure AD Graph. Запишите значение appId затронутого приложения.

Шаг 2. Вызов API Get application для чтения разрешений API приложения

  1. Войдите в клиент API, например Graph Explorer , по крайней мере с ролью Microsoft Entra разработчика приложений , и предоставили делегированное разрешение Application.Read.All .
  2. Вызовите API get application с помощью appId , полученного на шаге 1, и считайте свойство requiredResourceAccess . В следующих свойствах отображаются сведения о разрешениях:
    • СвойствоresourceAppIdrequiredResourceAccess> имеет идентификатор 00000002-0000-0000-c000-000000000000 для Azure AD Graph.
    • Свойство requiredResourceAccess>resourceAccess содержит идентификатор и тип разрешений Azure AD Graph, которые использует приложение. Чтобы узнать имена разрешений Azure AD Graph, используйте руководство по сопоставлению Azure AD Graph и Microsoft Graph .

Как ИТ-администратору определить приложения в клиенте, использующие Azure AD Graph?

Используйте один из следующих трех методов для идентификации приложений в клиенте с зависимостью от Azure AD Graph.

Способ 1. Через журналы прокси-сервера сети

Проверьте журналы трафика сетевого сервера с помощью прокси-сервера фильтра для всех приложений, вызывающих конечную точку https://graph.windows.net/ . Эти приложения используют Azure AD Graph.

Метод 2. Проверьте рекомендации Microsoft Entra

  1. Войдите в Центр администрирования Microsoft Entra с привилегиями, чтобы просмотреть рекомендации по идентификаторам Microsoft Entra. Для этой операции поддерживаются следующие наименее привилегированные роли: читатель отчетов, читатель безопасности и глобальный читатель.
  2. Разверните меню >Удостоверение, выберите вкладку Обзор>рекомендаций. Если в списке указана рекомендация Миграция из API Azure AD Graph в Microsoft Graph, это означает, что у вас есть приложения, использующие Azure AD Graph. Выберите запись, и вы увидите список приложений и субъектов-служб, использующих Azure AD Graph, и меры по исправлению.

Способ 3. Использование меню "Регистрация приложений" в Центре администрирования Microsoft Entra

  1. Войдите в центр администрирования Microsoft Entra .

  2. Разверните меню >Удостоверение, выберите Приложения>Регистрация приложений.

  3. В окне Регистрация приложений выберите вкладку Все приложения , а затем выберите параметр Добавить фильтры . Выберите параметр Запрошенный API в списке доступных фильтров и нажмите кнопку Применить. Откроется фильтр Запрошенный API .

    Фильтрация приложений по запрошенным API.

  4. Выберите Api Майкрософт. В раскрывающемся списке Выберите API и выберите Azure Active Directory Graph. Нажмите Применить. Этот процесс сужает список до всех приложений с зависимостью от Azure AD Graph.

    Фильтрация приложений, использующих Azure AD Graph.

Метод 3. Использование скрипта PowerShell

Скачайте и запустите этот сценарий PowerShell. Используйте этот метод для получения приложений с их домашним каталогом в клиенте и приложений с их домашними каталогами в других клиентах.

Корпорация Майкрософт отправила мне электронное письмо со списком идентификаторов приложений для приложений, использующих Azure AD Graph. Как найти сведения о каждом приложении, включая владельца?

  1. Войдите в Центр администрирования Microsoft Entra с правами на чтение сведений о приложении. Для этой операции поддерживаются следующие наименее привилегированные роли: администратор приложений, администратор облачных приложений, читатель безопасности, *Оператор безопасности, администратор гибридных удостоверений, администратор безопасности и глобальный читатель.

  2. Разверните меню >Удостоверение, выберите Приложения>Регистрация приложений.

  3. В окне Регистрация приложений выберите вкладку Все приложения , а затем выберите параметр Добавить фильтры . Выберите параметр Идентификатор приложения (клиента) в списке доступных фильтров и нажмите кнопку Применить. Появится фильтр.

  4. Введите идентификатор приложения в текстовое поле и нажмите кнопку Применить. Список сузился до указанного приложения.

    Фильтрация по приложениям по идентификатору приложения.

  5. Выберите приложение. Откроется меню приложения. В левой области окна параметры меню, такие как "Владельцы" , позволяют получить сведения о приложении.

Корпорация Майкрософт отправила мне электронное письмо со списком идентификаторов приложений для приложений, использующих Azure AD Graph. Это все затронутые приложения?

В этом списке записываются только приложения, которые использовались за последние 28 дней и которые вызвали конечную точку Azure AD Graph. Для приложений с сезонным использованием их идентификатор приложения может быть записан в списке одного месяца, но не в другом. Чтобы получить полный список затронутых приложений, рекомендуется следовать одному из трех методов , перечисленных ранее.

Я владелец подписки, и корпорация Майкрософт отправила мне электронное письмо об устаревании Azure AD Graph со списком идентификаторов приложений. Что мне делать?

Получаемая электронная почта включает идентификаторы клиентов, связанные с идентификаторами приложений. Выполните следующие действия, чтобы получить технические контактные данные для конкретных клиентов.

  1. Войдите в центр администрирования Microsoft Entra .

  2. Если вы являетесь владельцем подписки в нескольких клиентах Microsoft Entra, сначала переключитесь на соответствующий клиент или каталог.

    1. В правом верхнем углу окна щелкните значок профиля и выберите Переключить каталог. Откроется параметры портала | Окно каталогов и подписок .
    2. В списке перейдите на вкладку Переключиться , чтобы переключиться в каталог, идентификатор каталога которого соответствует идентификатору клиента, полученному в сообщении электронной почты. Active Directory помечен как Текущий.
    3. Закройте окно.
  3. В соответствующем каталоге разверните меню >Удостоверение, выберите Обзор.

  4. В окне Обзор выберите Свойства.

  5. В окне Свойства клиента сначала убедитесь, что значение идентификатора клиента соответствует идентификатору клиента, полученному в сообщении электронной почты. Получите технические контактные данные, чтобы связаться с клиентом, чтобы он знал об устаревании.

    Поиск технического контакта для клиента

Я знаю приложения, использующие Azure AD Graph. Как перенести их в Microsoft Graph?

Чтобы перенести приложения из Azure AD Graph в Microsoft Graph, следуйте указаниям в контрольном списке Планирование миграции приложений.

У меня нет приложений в клиенте, но они используют Azure AD Graph. Можно ли найти владельца таких приложений?

Сначала подтвердите полный список приложений, принадлежащих вашему клиенту или сторонним приложениям, интегрированным в клиент.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Разверните меню >Удостоверение, выберите Приложения

  3. Если приложения зарегистрированы в клиенте, выберите Регистрация приложений. Если приложения являются мультитенантными приложениями, на которые вы согласились в своем клиенте, но размещаются в другом клиенте, выберите Корпоративные приложения.

  4. Перейдите на вкладку Все приложения .

  5. Выберите приложение, чтобы открыть его меню.

  6. В левой области окна в группе Управление выберите меню Владельцы .

    Поиск владельцев приложений.

В моей организации работает Azure Stack Hub. Какие действия следует предпринять?

Если в вашей организации используется Azure Stack Hub, наиболее важно следовать политике обслуживания Azure Stack Hub.

Чтобы выполнить миграцию, клиенты получают уведомления на портале администрирования Azure Stack Hub об обновлении каталогов своих домашних и гостевых клиентов. Миграция в Microsoft Graph управляется с помощью интегрированного интерфейса обновления системы.

Мне нужно добавить в приложение новые разрешения Azure AD Graph, но я не могу выбрать Azure AD Graph в качестве необходимого разрешения для регистрации приложения. Как добавить разрешения Azure AD Graph?

Во-первых, рекомендуется следовать контрольному списку планирование миграции приложений , чтобы помочь вам перевести приложения в API Microsoft Graph.

Если вы определили пробел, из-за которого Microsoft Graph не поддерживает функцию, доступную в Azure AD Graph, сообщите нам об этом через Microsoft Q&A с помощью тега azure-ad-graph-deprecation.

Если вам по-прежнему нужно настроить разрешения Azure AD Graph для приложений, используйте одно из следующих обходных решений.

  • Используйте Центр администрирования Microsoft Entra, чтобы найти API, используемые вашей организацией.
  • Обновите манифест приложения в Центре администрирования Microsoft Entra.
  • Используйте API обновления приложения в Microsoft Graph для обновления объекта requiredResourceAccess .
  • Используйте командлет Update-MgApplication в пакете SDK PowerShell для Microsoft Graph.

Примеры использования перечисленных обходных решений см. в статье Использование Microsoft Graph для настройки необходимых разрешений Azure AD Graph для регистрации приложения.

Примечание.

Добавление разрешений Azure AD Graph с помощью этих обходных решений не будет поддерживаться после прекращения использования Azure AD Graph. Любое приложение, использующий Azure AD Graph, по-прежнему перестанет работать после прекращения работы.