Doporučení Microsoft Entra: Migrace z knihovny ověřování Azure Active Directory do knihoven Microsoft Authentication Library

Doporučení Microsoft Entra je funkce, která poskytuje přizpůsobené přehledy a užitečné pokyny pro sladění tenanta s doporučenými osvědčenými postupy.

Tento článek popisuje doporučení k migraci z knihovny ADAL (Azure Active Directory Authentication Library) do knihoven MSAL (Microsoft Authentication Library). Toto doporučení se volá AdalToMsalMigration v rozhraní API pro doporučení v Microsoft Graphu.

Popis

Vytvoří se doporučení migrace z knihovny ADAL na MSAL, které vám umožní zvýšit povědomí a upozornit vás na všechny aplikace využívající knihovnu ADAL ve vašem tenantovi. Toto doporučení se aktivuje pro tenanty s aplikacemi využívajícími ADAL. Označuje všechny aplikace, které si vyžádá token prostřednictvím knihovny ADAL jako "aplikace ADAL", včetně těchto aplikací používajících knihovnu ADAL i MSAL.

Služba Azure Active Directory Authentication Library (ADAL) je zastaralá. Důrazně doporučujeme migrovat do knihovny MICROSOFT Authentication Library (MSAL), která nahrazuje knihovnu ADAL. Microsoft už v ADAL nespouští nové funkce a opravy zabezpečení. Aplikace využívající knihovnu ADAL nebudou moct využívat nejnovější funkce zabezpečení, takže budou ohrožené budoucími bezpečnostními hrozbami. Pokud máte existující aplikace, které používají knihovnu ADAL, nezapomeňte je migrovat do knihovny MSAL.

Jak to funguje

Systém denně kontroluje nové žádosti o token ADAL za posledních 30 dnů. Pokud aplikace neskončí nové žádosti po dobu 30 dnů, stav doporučení se označí jako dokončený. Celkový stav doporučení se aktualizuje na dokončený, jakmile všechny aplikace splňují toto kritérium. Pokud se u dříve dokončené aplikace zjistí nový požadavek ADAL, stav se vrátí k "aktivní".

Hodnota

Knihovna MSAL je navržená tak, aby umožňovala zabezpečené řešení, aniž by se vývojáři museli starat o podrobnosti implementace. Knihovna MSAL zjednodušuje získávání, správu, ukládání do mezipaměti a aktualizaci tokenů. MSAL také používá osvědčené postupy pro odolnost. Další informace o podporovaných scénářích MSAL naleznete v tématu Migrace aplikací do knihovny MSAL.

Akční plán:

K identifikaci a získání podrobností o všech aplikacích ve vašem tenantovi, které aktuálně používají ADAL, můžete použít sešit přihlášení. Pokud chcete získat seznam všech aplikací prostřednictvím kódu programu, můžete také použít rozhraní Microsoft Graph API nebo sadu Microsoft Graph PowerShell SDK.

Sešit přihlášení

Sešit přihlašování v Centru pro správu Microsoft Entra konsoliduje protokoly z různých typů událostí přihlašování, včetně interaktivních, neinteraktivních a instančních objektů přihlašování. Tato agregace nabízí podrobné přehledy o využití aplikací ADAL ve vašem tenantovi, které vám pomůžou plně pochopit a spravovat migraci aplikací ADAL. Podrobnější analýzu a hlubší zkoumání přihlašovacích dat aplikace ADAL můžete povolit sešit přihlašování k Microsoft Entra ve vašem tenantovi. Tento nástroj podporuje migraci tím, že poskytuje komplexní přehledy dat přihlašování.

Microsoft Graph API

Pomocí Microsoft Graphu můžete identifikovat aplikace, které je potřeba migrovat do KNIHOVNY MSAL. Pokud chcete začít, přečtěte si, jak používat Microsoft Graph s doporučeními Microsoft Entra.

1. Přihlaste se k Graph Exploreru.
2. V rozevíracím seznamu vyberte metodu GET jako metodu HTTP.
3. Nastavte verzi rozhraní API na beta.
4. V Microsoft Graphu spusťte následující dotaz a nahraďte <TENANT_ID> zástupný symbol ID tenanta. Tento dotaz vrátí seznam ovlivněných prostředků ve vašem tenantovi.
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

Následující odpověď obsahuje podrobnosti ovlivněných prostředků pomocí knihovny ADAL:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}",
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

Ve Windows PowerShellu můžete spustit následující sadu příkazů. Tyto příkazy používají sadu Microsoft Graph PowerShell SDK k získání seznamu všech aplikací ve vašem tenantovi, které používají ADAL.

1. Spusťte Windows PowerShell jako správce.

2. Připojení k Microsoft Graphu:

   • Connect-MgGraph -Tenant <YOUR_TENANT_ID>

3. Vyberte svůj profil:

   • Select-MgProfile beta

4. Získejte seznam doporučení:

   • Get-MgDirectoryRecommendation | Format-List

5. Aktualizujte kód aplikací podle pokynů v tématu Jak migrovat na knihovnu MSAL.

Nejčastější dotazy

Při práci na migraci knihovny ADAL na MSAL si projděte následující běžné otázky.

Proč může trvat 30 dní, než se stav změní na dokončený?

Aby se snížil počet falešně pozitivních výsledků, služba pro požadavky ADAL používá 30denní interval. Tímto způsobem může služba přejít několik dní bez požadavku ADAL a nemusí být falešně označena jako dokončená.

Návody identifikovat vlastníka aplikace v mém tenantovi?

Vlastníka můžete vyhledat v podrobnostech o doporučení. Vyberte prostředek, který vás přenese na podrobnosti o aplikaci. Pokud chcete zobrazit aktuální vlastníky, přejděte na Spravovat>vlastníky. Zobrazení vlastníků vyžaduje alespoň roli správce aplikace.

Může se stav změnit z dokončeného na aktivní?

Ano. Pokud byla aplikace označena jako dokončená , takže během 30denního intervalu nebyly provedeny žádné požadavky ADAL – aplikace by byla označena jako dokončená. Pokud služba zjistí nový požadavek ADAL, stav se změní zpět na aktivní. Doporučení je možné aktualizovat pouze systémem.

Jak můžu integrovat sešit přihlašování Microsoft Entra?

Podrobný postup najdete v sešitu přihlášení Microsoft Entra.

Proč se počet aplikací ADAL liší v sešitu přihlašování a doporučení?

• Agregovaná data vs. Transakční data: Doporučení agreguje data za posledních 30 dnů a poskytuje souhrnné zobrazení aktivit aplikace. Naopak sešit přihlašování podrobně popisuje jednotlivé žádosti o přihlášení jako transakci, což umožňuje podrobnější analýzu.

• Flexibilita časového rámce: Data sešitu přihlašování se dají filtrovat z posledních 30 minut až do 30 dnů. Tato flexibilita při výběru časového rámce může vést k odchylkám počtu aplikací, což může vést k zašikování výsledků.

• Přístup k historickým datům: Zobrazení dat starších než 7 dnů v sešitu přihlášení vyžaduje předplatné tenanta Microsoft Entra ID P1 nebo P2. Tento požadavek má vliv na objem historických dat přístupných v porovnání s agregovanými daty v doporučení.

Související obsah

• Získání seznamu aplikací pomocí knihovny ADAL ve vašem tenantovi
• Přečtěte si, jak používat doporučení Microsoft Entra.
• Prozkoumání vlastností rozhraní Microsoft Graph API pro doporučení