Auswirkungen der Microsoft Graph-Migration in Azure CLI

Aufgrund der Einstellung von Azure Active Directory (Azure AD) Graph wird die zugrunde liegende Active Directory Graph-API in Azure CLI 2.37.0 durch die Microsoft Graph-API ersetzt.

Aktuelle Änderungen

Unterschiede zwischen der zugrunde liegenden API und Breaking Changes der Ausgabe-JSON finden Sie unter Eigenschaftsunterschiede zwischen Azure AD Graph und Microsoft Graph.

Beispielsweise ist die auffälligste Änderung, dass id die objectId-Eigenschaft in der Ausgabe-JSON eines Graph-Objekts ersetzt.

Breaking Changes am Argument und dem Verhalten von Befehlen werden im nächsten Abschnitt aufgeführt.

az ad app create/update

• Aufteilen von --reply-urls in --web-redirect-uris und --public-client-redirect-uris
• Ersetzen Sie --homepage durch --web-home-page-url.
• Ersetzen Sie --available-to-other-tenants durch --sign-in-audience.
• Ersetzen Sie --native-app durch --is-fallback-public-client.
• Ersetzen Sie --oauth2-allow-implicit-flow durch --enable-access-token-issuance.
• Hinzufügen von --enable-id-token-issuance zum Festlegen von web/implicitGrantSettings/enableIdTokenIssuance
• Entfernen Sie --password und --credential-description. Verwenden Sie az ad app credential reset, damit der Graph-Dienst ein Kennwort für Sie erstellen kann. (https://github.com/Azure/azure-cli/issues/20675)
• Hinzufügen von --key-display-name, um displayName von keyCredential festzulegen

az ad app permission grant

• Entfernung von --expires
• --scope akzeptiert nicht mehr standardmäßig user_impersonation und ist jetzt erforderlich.

az ad app credential reset

• Ersetzen von --credential-description durch --display-name (https://github.com/Azure/azure-cli/issues/20561)
• Entfernen Sie --password. Ohne Angabe von Zertifikatargumenten erstellt der Graph-Dienst ein Kennwort für Sie. (https://github.com/Azure/azure-cli/issues/20675)

az ad sp delete

• Mit diesem Befehl wird die entsprechende Anwendung nicht mehr gelöscht. Verwenden Sie az ad app delete, um die Anwendung explizit zu löschen. (https://github.com/Azure/azure-cli/issues/8467)
• Mit diesem Befehl werden die entsprechenden Rollenzuweisungen des Dienstprinzipals nicht mehr gelöscht. Verwenden Sie az role assignment delete, um die Rollenzuweisungen explizit zu löschen. (https://github.com/Azure/azure-cli/issues/20805)

az ad sp credential

• Diese Befehlsgruppe verwendet jetzt den Dienstprinzipal und nicht die Anwendung. (https://github.com/Azure/azure-cli/issues/11458)

az ad sp credential reset

• Ersetzen Sie --name durch --id.
• Entfernen Sie --password. Ohne Angabe von Zertifikatargumenten erstellt der Graph-Dienst ein Kennwort für Sie. (https://github.com/Azure/azure-cli/issues/20675)

az ad user create

• Ersetzen Sie --force-change-password-next-login durch --force-change-password-next-sign-in.

az ad user update

• Ersetzen Sie --force-change-password-next-login durch --force-change-password-next-sign-in.

az ad group get-member-groups

• Entfernung von --additional-properties

az ad group member add

• Entfernung von --additional-properties

Bekannte Probleme

• Was die generischen Updateargumente betrifft, so wird nur der Vorgang --set auf der Stammebene eines Graph-Objekts unterstützt. Wenn Sie --add, --remove oder --set auf Unterebenen verwenden, funktioniert dies derzeit aufgrund der zugrunde liegenden Infrastrukturänderung nicht. Für nicht unterstützte Szenarien können Sie az rest verwenden, um die Microsoft Graph-API direkt aufzurufen. Beispiele finden Sie unter https://github.com/Azure/azure-cli/issues/22580.
• Microsoft Graph-bezogene Befehle wie az ad und az role schlagen in Azure Stack-Umgebungen fehl, die keinen Microsoft Graph-Support haben. Verwenden Sie für Azure Stack-Umgebungen die Azure CLI 2.36.0 oder frühere Versionen.

Installieren einer früheren Version

Wenn Sie noch nicht zur Migration bereit sind, z. B. aufgrund fehlender Microsoft Graph-Berechtigungen, können Sie weiterhin Azure CLI-Versionen <= 2.36.0 verwenden. Wenn Sie bereits 2.37.0 installiert haben, können Sie ein Rollback auf eine frühere Version gemäß dem Abschnitt „Installieren einer bestimmten Version“ unter den Installationsdokumenten ausführen (außer für Homebrew, das keine Installation früherer Versionen unterstützt).

Problembehandlung

Graph-Befehl schlägt mit AADSTS50005 oderAADSTS53000 fehl.

Ihr Mandant verfügt möglicherweise über Richtlinien für bedingten Zugriff, die die Verwendung des Gerätecodeflow für den Zugriff auf Microsoft Graph blockieren. Verwenden Sie in solchen Fällen stattdessen den Autorisierungscodeflow oder einen Dienstprinzipal, um sich anzumelden. Weitere Informationen zu Anmeldemethoden finden Sie unter Anmelden mit Azure CLI.

Für den Microsoft-Mandanten (72f988bf-86f1-41af-91ab-2d7cd011db47) sind solche Richtlinien für bedingten Zugriff konfiguriert.

Weitere Informationen

Weitere Informationen zur Microsoft Graph-Migration finden Sie unter https://github.com/Azure/azure-cli/issues/22580.

Feedback senden

Wenn Sie Fragen haben, antworten Sie auf https://github.com/Azure/azure-cli/issues/22580, oder erstellen Sie eine neue Frage mit dem Befehl az feedback.