Azure AD Graph 到 Microsoft Graph 迁移常见问题解答
本文提供有关从 Azure Active Directory (Azure AD) Graph 迁移到 Microsoft Graph 的常见问题解答。
Microsoft Graph 与 Azure AD Graph 有何不同,为什么应迁移应用?
Azure AD 图形 API仅提供对 Azure AD 服务的访问权限。 Microsoft 图形 API提供单个统一终结点,用于访问 Azure AD 服务和其他 Microsoft 服务,例如 Microsoft Teams、Microsoft Exchange 和 Microsoft Intune。
Microsoft Graph 也比 Azure AD Graph 更安全且更具弹性。 因此,自 2020 年 6 月 30 日以来,Azure AD Graph 一直处于弃用状态,并且随着我们将所有投资转移到 Microsoft Graph,不久将停用。 停用后,应用将收到来自 Azure AD Graph 终结点的错误响应。 迁移到 Microsoft Graph 以避免功能丢失。
作为开发人员,如何识别使用 Azure AD Graph 的应用?
按照以下步骤识别在 Azure AD Graph 上具有依赖项的应用:
步骤 1:扫描应用程序源代码
如果拥有应用程序的源代码,请在代码中 https://graph.windows.net/ 搜索 URI。 这是 Azure AD Graph 终结点,调用此终结点的应用使用 Azure AD Graph。 记录受影响应用的应用 ID 的值。
步骤 2:检查应用对Azure 门户的 API 权限
以全局管理员身份登录到 Azure 门户。
搜索并选择“ Azure Active Directory”。
在“管理”之下,选择“应用注册”。
在“应用注册”窗口中,启用应用注册搜索预览。 选择“ 所有应用程序 ”选项卡,然后选择“ 添加筛选器” 选项。 从可用筛选器列表中选择 “应用程序 (客户端) ID ”选项,然后选择“ 应用”。 此时会弹出一个筛选器。
在文本框中,输入在步骤 1 中检索到的应用 ID,然后选择“ 应用”。 列表已缩小到指定的应用。
选择应用。 这会显示应用的菜单。
在窗口的左窗格中,选择“ API 权限”。 这会显示应用的已配置 API 权限,包括 Azure AD Graph 权限。
作为 IT 管理员,如何识别租户中使用 Azure AD Graph 的应用?
使用以下三种方法之一来标识租户中依赖于 Azure AD Graph 的应用。
方法 1:通过网络代理日志
通过筛选器代理检查网络服务器流量日志,了解调用 https://graph.windows.net/ 终结点的任何应用。 这些应用使用 Azure AD Graph。
方法 2:使用Azure 门户的“应用注册”菜单
以全局管理员身份登录到 Azure 门户。
搜索并选择“ Azure Active Directory”。
在“管理”之下,选择“应用注册”。
在“应用注册”窗口中,启用应用注册搜索预览。 选择“ 所有应用程序 ”选项卡,然后选择“ 添加筛选器” 选项。 从可用筛选器列表中选择“ 请求的 API ”选项,然后选择“ 应用”。 此时会弹出 “请求的 API ”筛选器。
选择“ Microsoft API”。 选择 “请选择 API” 下拉列表,然后选择“ Azure Active Directory Graph”。 选择“应用”。 这会列出依赖于 Azure AD Graph 的所有应用。
方法 3:使用 PowerShell 脚本
下载并运行 此 PowerShell 脚本。 使用此方法检索租户中具有其主目录的应用,并在其他租户中检索其主目录的应用。
Microsoft 向我发送了一封电子邮件,其中包含使用 Azure AD Graph 的应用的应用 ID 列表。 如何实现查找每个应用的详细信息,包括其所有者?
以全局管理员身份登录到 Azure 门户。
搜索并选择“ Azure Active Directory”。
在“管理”之下,选择“应用注册”。
在“应用注册”窗口中,启用应用注册搜索预览。 选择“ 所有应用程序 ”选项卡,然后选择“ 添加筛选器” 选项。 从可用筛选器列表中选择 “应用程序 (客户端) ID ”选项,然后选择“ 应用”。 此时会弹出一个筛选器。
在文本框中输入应用 ID,然后选择“ 应用”。 列表已缩小到指定的应用。
选择应用。 这会显示应用的菜单。 在窗口的左窗格中,菜单选项(如 “所有者” )可用于检索应用的详细信息。
Microsoft 向我发送了一封电子邮件,其中包含使用 Azure AD Graph 的应用的应用 ID 列表。 这些是否都是受影响的应用?
此列表仅捕获过去 28 天内使用的应用,以及名为 Azure AD Graph 终结点的应用。 由于某些应用可能按季节使用,因此其应用 ID 可能会在一个月的列表中捕获,但不会在另一个月的列表中捕获。 若要检索受影响应用的完整列表,建议遵循前面列出的 三种方法 之一。
我是订阅所有者,Microsoft 向我发送了一封有关弃用 Azure AD Graph 的电子邮件,其中包含应用 ID 列表。 我该怎么办?
收到的电子邮件包括链接到应用 ID 的租户 ID。 按照以下步骤检索特定租户的技术联系人详细信息。
以管理员身份登录到Azure 门户。
如果你是多个 Azure AD 租户中的订阅所有者,请先切换到相关的租户或目录。
- 在窗口右上角,选择配置文件图标,然后选择 “切换目录”。 这会显示 门户设置 |“目录 + 订阅 ”窗口。
- 从列表中,使用“ 切换 ”选项卡切换到目录,其目录 ID 与电子邮件中收到的租户 ID 匹配。 活动目录标记为 “当前”。
- 关闭该窗口。
在相关目录中,搜索并选择“ Azure Active Directory”。 这会显示活动租户的菜单。
在窗口的左窗格中,在 “管理”下,选择“ 属性”。
在 “租户属性” 窗口中,首先验证“租户 ID”的值是否与电子邮件中收到的租户 ID 匹配。 检索 技术联系人 详细信息以联系租户,以便他们能够了解弃用情况。
我知道使用 Azure AD Graph 的应用。 如何实现将它们迁移到 Microsoft Graph?
若要将应用从 Azure AD Graph 迁移到 Microsoft Graph,请按照 应用迁移规划清单进行操作。
我的租户中没有某些应用,但它们使用 Azure AD Graph。 如何实现将它们迁移到 Microsoft 图形 API? 我能否找到此类应用的所有者?
首先,确认租户或租户中集成的第三方应用程序拥有的应用的完整列表。
以管理员身份登录到Azure 门户。
搜索并选择“ Azure Active Directory”。
在“管理”之下,选择“应用注册”。
在“应用注册”窗口中,选择“所有应用程序”选项卡。
选择应用。 这会显示应用的菜单。
在窗口的左窗格中,菜单选项显示应用的详细信息,包括其所有者。
我的组织运行 Azure Stack Hub。 我应该采取哪些操作?
如果组织运行 Azure Stack Hub,则最重要的操作是遵循 Azure Stack Hub 服务策略。
若要迁移,将通过 Azure Stack Hub 管理门户通知客户更新其主租户目录和来宾租户目录。 到 Microsoft Graph 的迁移将由集成的系统更新体验管理。
我需要向应用添加新的 Azure AD Graph 权限,但无法选择 Azure AD Graph 作为应用注册所需的权限。 如何添加 Azure AD Graph 权限?
首先,建议遵循应用迁移规划清单,以帮助你将应用转换为 Microsoft 图形 API。
如果发现 Microsoft Graph 不支持 Azure AD Graph 中可用的功能,请使用标记 azure-ad-graph-deprecation 通过 Microsoft Q&A 告知我们。
如果仍需要为应用程序配置 Azure AD Graph 权限,请使用以下解决方法之一。
- 使用Azure 门户查找组织使用的 API
- 更新Azure 门户上的应用程序清单
- 使用 Microsoft Graph 中的 应用程序 API 更新 requiredResourceAccess 对象
- 在 Microsoft Graph PowerShell SDK 中使用 Update-MgApplication cmdlet
有关使用所列解决方法的示例,请参阅 使用 Microsoft Graph 配置应用注册所需的 Azure AD Graph 权限
注意: Azure AD Graph 停用后,不支持使用这些解决方法添加 Azure AD Graph 权限。 使用 Azure AD Graph 的任何应用将在停用后停止运行。