Часто задаваемые вопросы о миграции Azure AD Graph в Microsoft Graph

В этой статье содержатся ответы на часто задаваемые вопросы о миграции с Azure Active Directory (Azure AD) Graph на Microsoft Graph.

Чем Microsoft Graph отличается от Azure AD Graph и почему следует переносить приложения?

Azure AD API Graph предоставляет доступ только к Microsoft Entra службам. Microsoft API Graph предлагает единую единую конечную точку для доступа к службам Microsoft Entra и другим службам Майкрософт, таким как Microsoft Teams, Microsoft Exchange и Microsoft Intune.

Microsoft Graph также является более безопасным и устойчивым, чем Azure AD Graph. По этой причине Azure AD Graph был на пути устаревания с 30 июня 2020 г., а после 30 июня 2023 г. перейдет на фазу выхода из эксплуатации, так как мы переместим все инвестиции в Microsoft Graph. Выполните миграцию в Microsoft Graph, чтобы избежать потери функциональности.

Как разработчику определить приложения, использующие Azure AD Graph?

Чтобы определить приложения с зависимостью от Azure AD Graph, выполните следующие действия:

Шаг 1. Сканирование исходного кода приложения

Если у вас есть исходный код приложения, найдите в коде https://graph.windows.net/ URI. Это конечная точка Azure AD Graph, и приложения, которые вызывают эту конечную точку, используют Azure AD Graph. Запишите значение идентификатора приложения для затронутого приложения.

Шаг 2. Проверка разрешений API приложения на Центр администрирования Microsoft Entra

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

  2. Разверните меню >Удостоверение, выберите Приложения>Регистрация приложений.

  3. В окне Регистрация приложений включите предварительный просмотр Регистрация приложений поиска. Перейдите на вкладку Все приложения и выберите параметр Добавить фильтры . Выберите параметр Идентификатор приложения (клиента) в списке доступных фильтров и нажмите кнопку Применить. Появится фильтр.

  4. В текстовом поле введите идентификатор приложения, полученный на шаге 1, и нажмите кнопку Применить. Список сузился до указанного приложения.

    Фильтрация по приложениям по идентификатору приложения.

  5. Выберите приложение. Откроется меню приложения.

  6. В левой области окна выберите Разрешения API. Здесь отображаются настроенные разрешения API для приложения, включая разрешения Azure AD Graph.

    Список разрешений API приложения из Центр администрирования Microsoft Entra.

Как ИТ-администратору определить приложения в клиенте, использующие Azure AD Graph?

Используйте один из следующих трех методов, чтобы определить приложения в клиенте с зависимостью от Azure AD Graph.

Способ 1. Через журналы прокси-сервера сети

Проверьте журналы трафика сетевого сервера с помощью прокси-сервера фильтра для всех приложений, вызывающих конечную точку https://graph.windows.net/ . Эти приложения используют Azure AD Graph.

Способ 2. Используйте меню Регистрация приложений Центр администрирования Microsoft Entra

  1. Войдите в центр администрирования Microsoft Entra .

  2. Разверните меню >Удостоверение, выберите Приложения>Регистрация приложений.

  3. В окне Регистрация приложений включите предварительный просмотр Регистрация приложений поиска. Перейдите на вкладку Все приложения и выберите параметр Добавить фильтры . Выберите параметр Запрошенный API в списке доступных фильтров и нажмите кнопку Применить. Откроется фильтр Запрошенный API .

    Фильтрация приложений по запрошенным API.

  4. Выберите Api Майкрософт. Выберите раскрывающийся список Выберите API и выберите Azure Active Directory Graph. Нажмите Применить. В этом списке перечислены все приложения с зависимостью от Azure AD Graph.

    Фильтрация приложений, использующих Azure AD Graph.

Метод 3. Использование скрипта PowerShell

Скачайте и запустите этот сценарий PowerShell. Используйте этот метод для получения приложений с их домашним каталогом в клиенте и приложений с их домашними каталогами в других клиентах.

Корпорация Майкрософт отправила мне электронное письмо со списком идентификаторов приложений, использующих Azure AD Graph. Разделы справки найти сведения о каждом приложении, включая его владельца?

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

  2. Разверните меню >Удостоверение, выберите Приложения>Регистрация приложений.

  3. В окне Регистрация приложений включите предварительный просмотр Регистрация приложений поиска. Перейдите на вкладку Все приложения и выберите параметр Добавить фильтры . Выберите параметр Идентификатор приложения (клиента) в списке доступных фильтров и нажмите кнопку Применить. Появится фильтр.

  4. Введите идентификатор приложения в текстовое поле и нажмите кнопку Применить. Список сузился до указанного приложения.

    Фильтрация по приложениям по идентификатору приложения.

  5. Выберите приложение. Откроется меню приложения. В левой области окна параметры меню, такие как "Владельцы" , позволяют получить сведения о приложении.

Корпорация Майкрософт отправила мне электронное письмо со списком идентификаторов приложений, использующих Azure AD Graph. Это все затронутые приложения?

В этом списке отображаются только приложения, которые использовались за последние 28 дней и которые вызвали конечную точку Azure AD Graph. Так как некоторые приложения могут иметь сезонное использование, их идентификатор приложения может быть записан в списке одного месяца, но не в другом. Чтобы получить полный список затронутых приложений, рекомендуется следовать одному из трех методов , перечисленных ранее.

Я владелец подписки, и корпорация Майкрософт отправила мне электронное письмо о Azure AD устаревание Graph со списком идентификаторов приложений. Что мне делать?

Получаемая электронная почта включает идентификаторы клиентов, связанные с идентификаторами приложений. Выполните следующие действия, чтобы получить технические контактные данные для конкретных клиентов.

  1. Войдите в центр администрирования Microsoft Entra .

  2. Если вы являетесь владельцем подписки в нескольких клиентах Microsoft Entra, сначала переключитесь на соответствующий клиент или каталог.

    1. В правом верхнем углу окна щелкните значок профиля и выберите Переключить каталог. Откроется параметры портала | Окно каталогов и подписок .
    2. В списке перейдите на вкладку Переключиться , чтобы переключиться в каталог, идентификатор каталога которого соответствует идентификатору клиента, полученному в сообщении электронной почты. Active Directory помечен как Текущий.
    3. Закройте окно.
  3. В соответствующем каталоге разверните меню >Удостоверение, выберите Обзор.

  4. В окне Обзор выберите Свойства.

  5. В окне Свойства клиента сначала убедитесь, что значение идентификатора клиента соответствует идентификатору клиента, полученному в сообщении электронной почты. Получите технические контактные данные, чтобы связаться с клиентом, чтобы он знал об устаревании.

    Поиск технического контакта для клиента

Я знаю приложения, использующие Azure AD Graph. Разделы справки перенести их в Microsoft Graph?

Чтобы перенести приложения из Azure AD Graph в Microsoft Graph, следуйте контрольным спискам планирование миграции приложений.

У меня нет приложений в клиенте, но они используют Azure AD Graph. Разделы справки перенести их в Microsoft API Graph? Можно ли найти владельца таких приложений?

Сначала подтвердите полный список приложений, принадлежащих вашему клиенту или сторонним приложениям, интегрированным в клиент.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

  2. Разверните меню >Удостоверение, выберите Приложения>Регистрация приложений.

  3. В окне Регистрация приложений выберите вкладку Все приложения.

  4. Выберите приложение, чтобы открыть меню приложения.

  5. В левой области окна в меню отображаются сведения о приложении, включая его владельцев.

    Поиск владельцев приложений.

В моей организации работает Azure Stack Hub. Какие действия следует предпринять?

Если в вашей организации используется Azure Stack Hub, наиболее важно следовать политике обслуживания Azure Stack Hub.

Чтобы выполнить миграцию, клиенты будут уведомлены на портале администрирования Azure Stack Hub об обновлении каталогов своих домашних и гостевых клиентов. Миграция на Microsoft Graph будет управляться интегрированным интерфейсом обновления системы.

Мне нужно добавить в приложение новые разрешения Azure AD Graph, но я не могу выбрать Azure AD Graph в качестве необходимого разрешения для регистрации приложения. Как добавить разрешения Azure AD Graph?

Во-первых, рекомендуется следовать контрольным списком планирования миграции приложений, чтобы помочь вам перевести приложения на API Graph Майкрософт.

Если вы обнаружили пробел, из-за которого Microsoft Graph не поддерживает функцию, доступную в Azure AD Graph, сообщите нам об этом через Microsoft Q&A с помощью тега azure-ad-graph-deprecation.

Если вам по-прежнему нужно настроить разрешения Azure AD Graph для приложений, используйте одно из следующих обходных решений.

  • Используйте Центр администрирования Microsoft Entra, чтобы найти API, используемые вашей организацией.
  • Обновите манифест приложения на Центр администрирования Microsoft Entra.
  • Используйте API приложения в Microsoft Graph для обновления объекта requiredResourceAccess .
  • Используйте командлет Update-MgApplication в пакете SDK PowerShell для Microsoft Graph.

Примеры использования перечисленных обходных решений см. в статье Использование Microsoft Graph для настройки необходимых разрешений Azure AD Graph для регистрации приложения.

Примечание: Добавление разрешений Azure AD Graph с помощью этих обходных решений не будет поддерживаться после прекращения использования Azure AD Graph. Любое приложение, использующий Azure AD Graph, перестанет работать после прекращения работы.