Impact de la migration de Microsoft Graph dans Azure CLI

En raison de la dépréciation d’Azure Active Directory (Azure AD) Graph, l’API Graph Active Directory sous-jacente est remplacée par l’API Microsoft Graph dans Azure CLI 2.37.0.

Dernières modifications

Pour connaître les différences de l’API sous-jacente et les changements cassants de la sortie JSON, reportez-vous aux Différences de propriétés entre Azure AD Graph et Microsoft Graph.

Par exemple, le changement le plus important est que id remplace la propriété objectId dans le JSON de sortie d’un objet Graph.

L’argument de commande et les changements cassants du comportement sont listés ci-dessous.

az ad app create/update

• Division de --reply-urls en --web-redirect-uris et --public-client-redirect-uris
• Remplacer --homepage par --web-home-page-url
• Remplacer --available-to-other-tenants par --sign-in-audience
• Remplacer --native-app par --is-fallback-public-client
• Remplacer --oauth2-allow-implicit-flow par --enable-access-token-issuance
• Ajout de --enable-id-token-issuance pour définir web/implicitGrantSettings/enableIdTokenIssuance
• Suppression de --password et --credential-description. Utilisation de az ad app credential reset pour laisser le service Graph créer un mot de passe pour vous (https://github.com/Azure/azure-cli/issues/20675)
• Ajout de --key-display-name pour définir le displayName de keyCredential

az ad app permission grant

• Suppression de --expires
• --scope n’est plus défini sur user_impersonation par défaut et est maintenant obligatoire

az ad app credential reset

• Remplacer --credential-description par --display-name (https://github.com/Azure/azure-cli/issues/20561)
• Supprimez --password. Si vous ne spécifiez pas d’arguments de certificat, le service Graph crée un mot de passe pour vous (https://github.com/Azure/azure-cli/issues/20675)

az ad sp delete

• Cette commande ne supprime plus l’application correspondante. Utiliser az ad app delete pour supprimer explicitement l’application (https://github.com/Azure/azure-cli/issues/8467)
• Cette commande ne supprime plus les attributions de rôles correspondantes du principal de service. Utiliser az role assignment delete pour supprimer explicitement les attributions de rôles (https://github.com/Azure/azure-cli/issues/20805)

az ad sp credential

• Ce groupe de commandes fonctionne désormais sur le principal de service, et non plus sur l’application (https://github.com/Azure/azure-cli/issues/11458)

az ad sp credential reset

• Remplacer --name par --id
• Supprimez --password. Si vous ne spécifiez pas d’arguments de certificat, le service Graph crée un mot de passe pour vous (https://github.com/Azure/azure-cli/issues/20675)

az ad user create

• Remplacer --force-change-password-next-login par --force-change-password-next-sign-in

az ad user update

• Remplacer --force-change-password-next-login par --force-change-password-next-sign-in

az ad group get-member-groups

• Suppression de --additional-properties

az ad group member add

• Suppression de --additional-properties

Problèmes connus

• En ce qui concerne les arguments de mise à jour génériques, la seule opération prise en charge est --set au niveau racine d’un objet Graph. En raison du changement d’infrastructure sous-jacent, l’utilisation de --add, --remove ou --set sur les sous-niveaux ne fonctionne pas actuellement. Pour les scénarios non pris en charge, vous pouvez utiliser az rest pour appeler directement l’API Microsoft Graph. Vous trouverez des exemples sur https://github.com/Azure/azure-cli/issues/22580.
• Les commandes Microsoft Graph associées, comme az ad et az role, échouent dans les environnements Azure Stack qui ne prennent pas en charge Microsoft Graph. Utilisez Azure CLI 2.36.0 ou une version antérieure pour les environnements Azure Stack.

Installer une version précédente

Si vous n’êtes pas encore prêt pour la migration, par exemple si vous ne disposez pas des autorisations Microsoft Graph, vous pouvez continuer à utiliser les versions d’Azure CLI <= 2.36.0. Si vous avez déjà installé la version 2.37.0, vous pouvez restaurer une version précédente en vous reportant à la section « Installer une version spécifique » sous les documents d’installation (sauf pour Homebrew qui ne prend pas en charge l’installation de versions précédentes).

Résolution des problèmes

La commande Graph échoue avec AADSTS50005 ou AADSTS53000

Votre locataire peut avoir des stratégies d’accès conditionnel qui bloquent l’utilisation du flux de code d’appareil pour accéder à Microsoft Graph. Dans ce cas, utilisez plutôt le flux de code d’autorisation ou un principal de service pour vous connecter. Pour plus d’informations sur les méthodes de connexion, consultez Se connecter avec Azure CLI.

Le locataire Microsoft (72f988bf-86f1-41af-91ab-2d7cd011db47) dispose de stratégies d’accès conditionnel de ce type configurées.

Plus d’informations

Vous trouverez plus d’informations sur la migration de Microsoft Graph sur https://github.com/Azure/azure-cli/issues/22580.

Envoyer des commentaires

Si vous avez des questions, répondez à https://github.com/Azure/azure-cli/issues/22580 ou créez un nouveau problème avec la commande az feedback.