Azure AD Graph 到 Microsoft Graph 迁移常见问题解答

本文提供有关从 Azure Active Directory (Azure AD) Graph 迁移到 Microsoft Graph 的常见问题解答。

Microsoft Graph 与 Azure AD Graph 有何不同，为什么应迁移应用？

Azure AD Graph 仅提供对 Microsoft Entra ID (以前的 Azure AD) 服务的访问权限。 Microsoft Graph 提供单个统一终结点，用于访问 Microsoft Entra 标识和网络访问系列服务 和其他Microsoft服务，例如 Microsoft Teams、Microsoft Exchange、Microsoft Intune 等。

Microsoft Graph 也比 Azure AD Graph 更安全且更具弹性。 因此，Azure AD Graph 目前处于分阶段停用周期，因为我们将所有投资转移到 Microsoft Graph。 迁移到 Microsoft Graph，以避免现有功能丢失并访问新的特性和功能。

作为开发人员，如何识别使用 Azure AD Graph 的应用？

按照以下步骤识别在 Azure AD Graph 上具有依赖项的应用：

选项 1：检查Microsoft Entra 建议

使用所需的权限和角色登录到 API 客户端（如 Graph 资源管理器 ），以查看Microsoft Entra ID 建议。 Microsoft Graph API 运行 列表建议 ，检索使用 Azure AD Graph 的应用和服务主体的列表。

选项 2：使用应用的 appId 标识其 API 权限

步骤 1：扫描应用程序源代码

如果拥有应用程序的源代码，请在代码中 https://graph.windows.net/ 搜索 URI。 此值是 Azure AD Graph 终结点，调用此终结点的应用使用 Azure AD Graph。 记录受影响应用的 appId 的值。

步骤 2：调用“获取应用程序”API 以读取应用的 API 权限

1. 至少使用 Application Developer Microsoft Entra 角色登录到 API 客户端（例如 Graph 资源管理器），并授予 Application.Read.All 委托权限。
2. 使用在步骤 1 中检索到的 appId 调用获取应用程序 API，并读取 requiredResourceAccess 属性。 以下属性显示权限详细信息：
   • requiredResourceAccess>resourceAppId 属性具有 Azure AD Graph 的 ID00000002-0000-0000-c000-000000000000。
   • requiredResourceAccess>resourceAccess 属性列出了应用使用的 Azure AD Graph 权限的 ID 和类型。 使用 Azure AD Graph 与 Microsoft Graph 映射之间的权限差异 指南了解 Azure AD Graph 权限名称。

作为 IT 管理员，如何识别租户中使用 Azure AD Graph 的应用？

使用以下三种方法之一来标识租户中依赖于 Azure AD Graph 的应用。

方法 1：通过网络代理日志

通过筛选器代理检查网络服务器流量日志，了解调用 https://graph.windows.net/ 终结点的任何应用。 这些应用使用 Azure AD Graph。

方法 2：检查Microsoft Entra 建议

1. 使用查看 Microsoft Entra ID 建议的权限登录到 Microsoft Entra 管理中心。 此操作支持以下最低特权角色： 报表读取者、 安全读取者以及 全局读取者。
2. 展开 “标识 ”菜单 > ，选择“ 概述>建议 ”选项卡。如果列出了名为 “从 Azure AD Graph API 迁移到 Microsoft Graph ”的建议，则表示你拥有使用 Azure AD Graph 的应用。 选择条目，你将看到使用 Azure AD Graph 的应用和服务主体列表以及纠正措施。

方法 3：使用 Microsoft Entra 管理中心的应用注册菜单

1. 登录到 Microsoft Entra 管理中心。

2. 展开“ 标识 ”菜单 > ，选择“ 应用程序>”“应用注册”。

3. 在 “应用注册 ”窗口中，选择“ 所有应用程序 ”选项卡，然后选择“ 添加筛选器” 选项。 从可用筛选器列表中选择“ 请求的 API ”选项，然后选择“ 应用”。 此时会弹出 “请求的 API ”筛选器。

   

4. 选择 “Microsoft API”。 在 “请选择 API” 下拉列表中，选择“ Azure Active Directory Graph”。 选择“应用”。 此过程会将列表缩小到依赖于 Azure AD Graph 的所有应用。

   

方法 3：使用 PowerShell 脚本

下载并运行 此 PowerShell 脚本。 使用此方法检索租户中具有其主目录的应用，并在其他租户中检索其主目录的应用。

Microsoft向我发送了一封电子邮件，其中包含使用 Azure AD Graph 的应用的应用 ID 列表。 如何查找每个应用（包括所有者）的详细信息？

1. 使用至少默认用户权限登录到 Microsoft Entra 管理中心，以读取应用程序详细信息。

2. 展开“ 标识 ”菜单 > ，选择“ 应用程序>”“应用注册”。

3. 在 “应用注册 ”窗口中，选择“ 所有应用程序 ”选项卡，然后选择“ 添加筛选器” 选项。 从可用筛选器列表中选择 “应用程序 (客户端) ID ”选项，然后选择“ 应用”。 此时会弹出一个筛选器。

4. 在文本框中输入应用 ID，然后选择“ 应用”。 列表已缩小到指定的应用。

   

5. 选择应用。 这会显示应用的菜单。 在窗口的左窗格中， “所有者 ”等菜单选项允许你检索应用的详细信息。

Microsoft向我发送了一封电子邮件，其中包含使用 Azure AD Graph 的应用的应用 ID 列表。 这些是否都是受影响的应用？

此列表仅捕获过去 28 天内使用的应用，以及名为 Azure AD Graph 终结点的应用。 对于季节性使用的应用，其应用 ID 可能会在一个月的列表中捕获，但不能在另一个月的列表中捕获。 若要检索受影响应用的完整列表，建议遵循前面列出的 三种方法 之一。

我是订阅所有者，Microsoft向我发送了一封有关弃用 Azure AD Graph 的电子邮件，其中包含应用 ID 列表。 我该怎么办？

收到的电子邮件包括链接到应用 ID 的租户 ID。 按照以下步骤检索特定租户的技术联系人详细信息。

1. 登录到 Microsoft Entra 管理中心。

2. 如果你是多个 Microsoft Entra 租户中的订阅所有者，请先切换到相关的租户或目录。

   1. 在窗口右上角，选择配置文件图标，然后选择 “切换目录”。 这会显示 门户设置 |“目录 + 订阅 ”窗口。
   2. 从列表中，使用“ 切换 ”选项卡切换到目录，其目录 ID 与电子邮件中收到的租户 ID 匹配。 活动目录标记为 “当前”。
   3. 关闭该窗口。

3. 在相关目录中，展开“ 标识 ”菜单 > ，选择“ 概述”。

4. 在 “概述 ”窗口中，选择“ 属性”。

5. 在 “租户属性” 窗口中，首先验证“租户 ID”的值是否与电子邮件中收到的租户 ID 匹配。 检索 技术联系人 详细信息以联系租户，以便他们能够了解弃用情况。

   

我知道使用 Azure AD Graph 的应用。 如何将它们迁移到 Microsoft Graph？

若要将应用从 Azure AD Graph 迁移到 Microsoft Graph，请按照 应用迁移规划清单进行操作。

我的租户中没有某些应用，但它们使用 Azure AD Graph。 我能否找到此类应用的所有者？

首先，确认租户或租户中集成的第三方应用程序拥有的应用的完整列表。

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心 。

2. 展开“ 标识 ”菜单 > ，选择 “应用程序”

3. 如果应用已在租户中注册，请选择“ 应用注册”。 如果应用是你在租户中同意但驻留在另一个租户中的多租户应用，请选择“ 企业应用程序”。

4. 选择“ 所有应用程序 ”选项卡。

5. 选择应用以显示其菜单。

6. 在窗口的左窗格中，在 “管理 ”组下，选择“ 所有者 ”菜单。

   

我的组织运行 Azure Stack Hub。 我应该采取哪些操作？

如果组织运行 Azure Stack Hub，则最重要的操作是遵循 Azure Stack Hub 服务策略。

若要迁移，将通过 Azure Stack Hub 管理门户通知客户更新其主租户目录和来宾租户目录。 迁移到 Microsoft Graph 是通过集成的系统更新体验进行管理的。

我需要向应用添加新的 Azure AD Graph 权限，但无法选择 Azure AD Graph 作为应用注册所需的权限。 如何添加 Azure AD Graph 权限？

首先，建议遵循 应用迁移规划清单 ，以帮助将应用转换为 Microsoft Graph API。

如果已发现 Microsoft Graph 不支持 Azure AD Graph 中可用的功能，请使用标记 azure-ad-graph-deprecation 通过Microsoft Q&A 告知我们。

如果仍需要为应用程序配置 Azure AD Graph 权限，请使用以下解决方法之一。

• 使用 Microsoft Entra 管理中心查找组织使用的 API。
• 更新 Microsoft Entra 管理中心上的应用程序清单。
• 使用 Microsoft Graph 中的 更新应用程序 API 更新 requiredResourceAccess 对象。 有关详细信息，请参阅 为应用分配权限。
• 使用 Microsoft Graph API 以编程方式授予权限
• 使用 Microsoft Graph PowerShell SDK 中的 Update-MgApplication cmdlet。

有关使用所列解决方法的示例，请参阅 使用 Microsoft Graph 配置应用注册所需的 Azure AD Graph 权限

注意

Azure AD Graph 停用后，不支持使用这些解决方法添加 Azure AD Graph 权限。 使用 Azure AD Graph 的任何应用在停用后仍将停止运行。

相关内容

• 应用迁移清单