Impact de la migration de Microsoft Graph dans Azure CLI
En raison de la dépréciation d’Azure Active Directory (Azure AD) Graph, l’API Graph Active Directory sous-jacente est remplacée par l’API Microsoft Graph dans Azure CLI 2.37.0.
Dernières modifications
Pour connaître les différences de l’API sous-jacente et les changements cassants de la sortie JSON, reportez-vous aux Différences de propriétés entre Azure AD Graph et Microsoft Graph.
Par exemple, le changement le plus important est que id
remplace la propriété objectId
dans le JSON de sortie d’un objet Graph.
L’argument de commande et les changements cassants du comportement sont listés ci-dessous.
az ad app create/update
- Division de
--reply-urls
en--web-redirect-uris
et--public-client-redirect-uris
- Remplacer
--homepage
par--web-home-page-url
- Remplacer
--available-to-other-tenants
par--sign-in-audience
- Remplacer
--native-app
par--is-fallback-public-client
- Remplacer
--oauth2-allow-implicit-flow
par--enable-access-token-issuance
- Ajout de
--enable-id-token-issuance
pour définirweb/implicitGrantSettings/enableIdTokenIssuance
- Suppression de
--password
et--credential-description
. Utilisation deaz ad app credential reset
pour laisser le service Graph créer un mot de passe pour vous (https://github.com/Azure/azure-cli/issues/20675) - Ajout de
--key-display-name
pour définir ledisplayName
dekeyCredential
az ad app permission grant
- Suppression de
--expires
--scope
n’est plus défini suruser_impersonation
par défaut et est maintenant obligatoire
az ad app credential reset
- Remplacer
--credential-description
par--display-name
(https://github.com/Azure/azure-cli/issues/20561) - Supprimez
--password
. Si vous ne spécifiez pas d’arguments de certificat, le service Graph crée un mot de passe pour vous (https://github.com/Azure/azure-cli/issues/20675)
az ad sp delete
- Cette commande ne supprime plus l’application correspondante. Utiliser
az ad app delete
pour supprimer explicitement l’application (https://github.com/Azure/azure-cli/issues/8467) - Cette commande ne supprime plus les attributions de rôles correspondantes du principal de service. Utiliser
az role assignment delete
pour supprimer explicitement les attributions de rôles (https://github.com/Azure/azure-cli/issues/20805)
az ad sp credential
- Ce groupe de commandes fonctionne désormais sur le principal de service, et non plus sur l’application (https://github.com/Azure/azure-cli/issues/11458)
az ad sp credential reset
- Remplacer
--name
par--id
- Supprimez
--password
. Si vous ne spécifiez pas d’arguments de certificat, le service Graph crée un mot de passe pour vous (https://github.com/Azure/azure-cli/issues/20675)
az ad user create
- Remplacer
--force-change-password-next-login
par--force-change-password-next-sign-in
az ad user update
- Remplacer
--force-change-password-next-login
par--force-change-password-next-sign-in
az ad group get-member-groups
- Suppression de
--additional-properties
az ad group member add
- Suppression de
--additional-properties
Problèmes connus
- En ce qui concerne les arguments de mise à jour génériques, la seule opération prise en charge est
--set
au niveau racine d’un objet Graph. En raison du changement d’infrastructure sous-jacent, l’utilisation de--add
,--remove
ou--set
sur les sous-niveaux ne fonctionne pas actuellement. Pour les scénarios non pris en charge, vous pouvez utiliseraz rest
pour appeler directement l’API Microsoft Graph. Vous trouverez des exemples sur https://github.com/Azure/azure-cli/issues/22580. - Les commandes Microsoft Graph associées, comme
az ad
etaz role
, échouent dans les environnements Azure Stack qui ne prennent pas en charge Microsoft Graph. Utilisez Azure CLI 2.36.0 ou une version antérieure pour les environnements Azure Stack.
Installer une version précédente
Si vous n’êtes pas encore prêt pour la migration, par exemple si vous ne disposez pas des autorisations Microsoft Graph, vous pouvez continuer à utiliser les versions d’Azure CLI <= 2.36.0. Si vous avez déjà installé la version 2.37.0, vous pouvez restaurer une version précédente en vous reportant à la section « Installer une version spécifique » sous les documents d’installation (sauf pour Homebrew qui ne prend pas en charge l’installation de versions précédentes).
Résolution des problèmes
La commande Graph échoue avec AADSTS50005
ou AADSTS53000
Votre locataire peut avoir des stratégies d’accès conditionnel qui bloquent l’utilisation du flux de code d’appareil pour accéder à Microsoft Graph. Dans ce cas, utilisez plutôt le flux de code d’autorisation ou un principal de service pour vous connecter. Pour plus d’informations sur les méthodes de connexion, consultez Se connecter avec Azure CLI.
Le locataire Microsoft (72f988bf-86f1-41af-91ab-2d7cd011db47) dispose de stratégies d’accès conditionnel de ce type configurées.
Plus d’informations
Vous trouverez plus d’informations sur la migration de Microsoft Graph sur https://github.com/Azure/azure-cli/issues/22580.
Envoyer des commentaires
Si vous avez des questions, répondez à https://github.com/Azure/azure-cli/issues/22580 ou créez un nouveau problème avec la commande az feedback
.