Azure AD PowerShell Modules の差し迫った非推奨化

Azure AD PowerShell Modules の差し迫った非推奨化

マイクロソフトおよびその他のドキュメントの更新が必要

マイクロソフトは、 Azure AD Authentication Library (ADAL) と Azure AD Graph API を廃止する 2020年6月に。この決定の結果、Azure AD PowerShell モジュール (現在は非常に古い Microsoft Online Services (MSOL) モジュールを含む) が廃止されました。雖も マイクロソフトは退職日を延期しました に “少なくとも今年末" (2022)、これらのモジュールの壁に書かれています。

テナントは、Microsoft 365 が新しいライセンス管理プラットフォームに移行する 2022 年 8 月 26 日に最初の影響を感じるでしょう。その時点で、ライセンス割り当ての PowerShell コマンドレットは機能しなくなります。 マイクロソフトのガイドライン 古いコマンドレットから Microsoft Graph PowerShell SDK に変換するには、"という単刀直入な語句を含めます。現在、スクリプトを自動的に変換するツールはありません."つまり、コーディング、テスト、切り替えの準備をする時が来ました。優れたドキュメントは変換中にプレミアムであり、それは現在問題です。

2年間の警告では、変化が起こったときに意識の欠如を訴えることはほとんどできませんが、約50日後には大きなプレッシャーは感じません。ライセンス管理スクリプトや製品が機能しなくなったり、ユーザーが奇妙なエラーを報告したりすると、人々は変わるかもしれません。それは奇妙です。

マイクロソフトのドキュメントに潜む問題

役に立たないかもしれないことの 1 つは、Microsoft ドキュメントで Azure AD と MSOL PowerShell の例を引き続き使用していることです。結局のところ、公式文書がこれらのモジュールに暗黙の了解を与えているのなら、なぜわざわざ変更するのですか?公平を期すために、ライセンス管理とは別に、すべてのコマンドレットは廃止日を過ぎても引き続き機能します。サポートや今後のアップデートはありません。

ドキュメントを Exchange Online のユーザー メールボックスを削除または復元する.これには、古いものへの4つの参照が含まれます Remove-MsolUser テキストのコマンドレットは、Azure AD のごみ箱から Azure AD ユーザー アカウントを完全に削除する方法を読者に説明しています (図 1)。

マイクロソフトのドキュメントでは、廃止された Remove-MsolUser コマンドレットの使用を推奨しています。 Azure AD PowerShell
図 1: マイクロソフトのドキュメントでは、廃止された Remove-MsolUser コマンドレットの使用を推奨しています。

ドキュメントで Microsoft Graph PowerShell SDK コマンドレットまたはグラフ API 要求が使用されている場合は、より影響が大きくなります。たとえば、Graph API 要求を使用して、ごみ箱内の削除された Azure AD アカウントの一覧を取得する方法を次に示します。

$Uri = "https://graph.microsoft.com/V1.0/directory/deletedItems/microsoft.graph.user"
[array]$DeletedUsers = Invoke-MgGraphRequest -Uri $Uri -Method Get
ForEach ($Account in $DeletedUsers.Value) { Write-Host $Account.displayname, $Account.id }
… select a user and then
Remove-MgDirectoryDeletedItem -DirectoryObjectId <Guid for deleted account>

これは、グラフ API 要求の使用が、同等の Microsoft Graph PowerShell SDK コマンドレット (Get-MgDirectoryDeletedItem – この例を参照してください)。要点は、Microsoft のドキュメントに、まもなく非推奨になるモジュールではなく、将来使用できるメソッドが記載されている場合、テナント管理者がこれらのメソッドを採用するよう促すということです。

マイクロソフトに公平であるために、彼らは新しい例で更新するページのトンを持っています。しかし、それは、人々が行くべき道に沿って人々を誘導するために、遅かれ早かれ起こるべきことだと思います。

より広いインターネット上の Azure AD の例の問題

ほぼ同じ問題が、より広いインターネットにも存在します。Azure AD PowerShell コマンドレットを使用してタスクを実行する方法を見つけたい平均的な管理者について考えてみてください。彼らはおそらく、他の人が同じことをした方法を見るためにインターネットを検索することから始めるでしょう、そして彼らは古いコードの多くの例を見つけるでしょう。インターネット上で見つけたコードには、コードを完全にテストするまで何も信頼しないでください。このアドバイスはまだ有効ですが、PowerShell で自動ライセンス割り当てを実行するために 8 月 20 日に誰かが見つけたコードが 1 週間後に機能しなくなる状況にあります。

Azure AD モジュールと MSOL モジュールの他のコマンドレットは、Microsoft がモジュールを廃止した後も引き続き機能することを受け入れますが、私の主張はまだ有効です: まもなく廃止予定のモジュールに基づく例は、保存期間が短いです。

ブログ作成者が戻って、Azure AD または MSOL コマンドレットを参照してすべての投稿を修正することは期待できません。一部の投稿を更新するかもしれませんが、一般的には発生しません。また、そうすべきでもありません。ブログ記事は、最新の状態のままで何かがどのように機能するかについての明確な声明ではなく、ある時点でキャプチャされた知識のスニペットです。この状況について異なるのは、多くの投稿が加速的な退化に直面し、そのコンテンツが興味深いものにすぎないことです。過去に戻ってきました。

物事は時間の経過とともに改善される

時間は多くのことを癒します。この場合、時間が進み、古いブログ投稿が衰退するにつれて、人々はインターネット上で利用可能な知識のコーパスを更新するために新しい情報と洞察を投稿します。Office 365 for IT プロフェッショナル チームはこの問題を痛感しており、次のようないくつかの記事を作成しました。

そしてもちろん、私たちはちょうど2023年版をリリースしました Office 365 for IT プロフェッショナル電子ブック には、250 を超える Microsoft Graph PowerShell SDK コマンドレットの実際の例が含まれています。実際、Azure AD PowerShell コマンドレットを使用するすべてのインスタンスを、ゲスト アカウントの写真を更新するために別のテナントに接続する場合を除きに置き換えました。グラフで使用されるアクセス許可モデルは、ユーザーが Azure AD に接続したときに付与されるアクセス許可とはまったく異なる Connect-AzureADそして、それが私たちがその例を残さなければならなかった理由です。時間が経つにつれて、回避策を見つけ、Azure AD PowerShell の最後の痕跡を削除できるようにしたいと考えています。

未分類

Posted by admin