Azure Active Directory (Azure AD) Graph 이사용 중단됨에 따라 Azure CLI 2.37.0에서 기본 Active Directory Graph API가 Microsoft Graph API로 대체됩니다.
파괴적 변경
기본 API와 출력 JSON에 영향이 있는 변경 사항의 차이점은 Azure AD Graph와 Microsoft Graph 간의속성 차이를 참조하세요.
예를 들어 가장 뛰어난 변경 내용은 id Graph 개체의 출력 JSON에서 objectId 속성을 대체한다는 것입니다.
명령 인수 및 동작 호환성이 손상되는 변경 내용은 다음 섹션에 나열됩니다.
az ad app create/update
-
--reply-urls을--web-redirect-uris과--public-client-redirect-uris로 분할하다 -
--homepage--web-home-page-url바꾸기 -
--available-to-other-tenants--sign-in-audience바꾸기 -
--native-app--is-fallback-public-client바꾸기 -
--oauth2-allow-implicit-flow--enable-access-token-issuance바꾸기 -
--enable-id-token-issuance추가하여web/implicitGrantSettings/enableIdTokenIssuance설정 -
--password및--credential-description을 제거하세요.az ad app credential reset사용하여 Graph 서비스에서 암호를 만들 수 있도록 허용합니다(https://github.com/Azure/azure-cli/issues/20675). -
--key-display-name의keyCredential를 설정하기 위해displayName을 추가하세요.
az ad app permission grant
-
--expires제거 -
--scope더 이상user_impersonation기본값이 아니고 이제 필요합니다.
az ad app credential reset
-
--credential-description--display-name(https://github.com/Azure/azure-cli/issues/20561)로 바꾸기 -
--password제거합니다. 인증서 인수를 지정하지 않고 Graph 서비스에서 암호를 만듭니다(https://github.com/Azure/azure-cli/issues/20675).
az ad sp delete
- 이 명령은 더 이상 해당 애플리케이션을 삭제하지 않습니다.
az ad app delete사용하여 애플리케이션을 명시적으로 삭제(https://github.com/Azure/azure-cli/issues/8467) - 이 명령은 더 이상 서비스 주체의 해당 역할 할당을 삭제하지 않습니다.
az role assignment delete사용하여 역할 할당(https://github.com/Azure/azure-cli/issues/20805)을 명시적으로 삭제합니다.
az ad sp credential
- 이 명령 그룹은 이제 애플리케이션(https://github.com/Azure/azure-cli/issues/11458)이 아닌 서비스 주체에서 작동합니다.
az ad sp credential reset
-
--name--id바꾸기 -
--password제거합니다. 인증서 인수를 지정하지 않고 Graph 서비스에서 암호를 만듭니다(https://github.com/Azure/azure-cli/issues/20675).
az ad user create
-
--force-change-password-next-login--force-change-password-next-sign-in바꾸기
az ad user update
-
--force-change-password-next-login--force-change-password-next-sign-in바꾸기
az ad group get-member-groups
-
--additional-properties제거
az ad group member add
-
--additional-properties제거
알려진 문제
- 제네릭 업데이트 인수와 관련하여 지원되는 유일한 작업은 Graph 개체의 루트 수준에서
--set. 기본 인프라 변경으로 인해 현재 sublevels에서--add,--remove또는--set사용할 수 없습니다. 지원되지 않는 시나리오의 경우az rest사용하여 Microsoft Graph API직접 호출할 수 있습니다. 예제는 https://github.com/Azure/azure-cli/issues/22580에서 찾을 수 있습니다. - Microsoft Graph가 지원되지 않는 Azure Stack 환경에서는
az ad및az role같은 Microsoft Graph 관련 명령이 실패합니다. Azure Stack 환경에 Azure CLI 2.36.0 이전 버전을 사용합니다.
이전 버전 설치
Microsoft Graph 권한 부족과 같이 아직 마이그레이션할 준비가 되지 않은 경우 Azure CLI 버전 <= 2.36.0을 계속 사용할 수 있습니다. 2.37.0을 이미 설치한 경우 설치 문서 아래의 "특정 버전 설치" 섹션에 따라 이전 버전으로 롤백할 수 있습니다(이전 버전 설치를 지원하지 않는 Homebrew 제외).
문제 해결
Graph 명령이 AADSTS50005 또는 AADSTS53000로 실패합니다.
테넌트에는 디바이스 코드 흐름을 사용하여 Microsoft Graph에 액세스하는 것을 차단하는 조건부 액세스 정책이 있을 수 있습니다. 이러한 경우 권한 부여 코드 흐름 또는 서비스 주체를 사용하여 대신 로그인합니다. 로그인 방법에 대한 자세한 내용은 Azure CLI로 로그인을 참조하세요.
Microsoft 테넌트(72f988bf-86f1-41af-91ab-2d7cd011db47)에는 이러한 조건부 액세스 정책이 구성되어 있습니다.
추가 정보
Microsoft Graph 마이그레이션에 대한 자세한 정보를 https://github.com/Azure/azure-cli/issues/22580에서 찾을 수 있습니다.
피드백 제공
질문이 있는 경우 https://github.com/Azure/azure-cli/issues/22580 회신하거나 az feedback 명령을 사용하여 새 문제를 만듭니다.
GitHub에서 Microsoft와 공동 작업
이 콘텐츠의 원본은 GitHub에서 찾을 수 있으며, 여기서 문제와 끌어오기 요청을 만들고 검토할 수도 있습니다. 자세한 내용은 참여자 가이드를 참조하세요.
Azure CLI