Microsoft Entra-Empfehlung: Migrieren von der Azure Active Directory-Authentifizierungsbibliothek zu den Microsoft-Authentifizierungsbibliotheken

Microsoft Entra-Empfehlungen sind eine Funktion, die Ihnen personalisierte Einblicke und handlungsrelevante Anleitungen bietet, um Ihren Mandanten mit empfohlenen Best Practices in Einklang zu bringen.

In diesem Artikel wird die Empfehlung zum Migrieren von der Azure Active Directory-Authentifizierungsbibliothek (ADAL) zu den Microsoft-Authentifizierungsbibliotheken (MSAL) behandelt. In der Empfehlungs-API in Microsoft Graph wird diese Empfehlung AdalToMsalMigration genannt.

Beschreibung

Die Empfehlung „Migrieren von ADAL zu MSAL“ wird erstellt, um das Bewusstsein zu erhöhen und Sie über alle Anwendungen in Ihrem Mandanten zu informieren, die ADAL verwenden. Diese Empfehlung wird für Mandanten mit Anwendungen, die ADAL verwenden, ausgelöst. Sie beschriftet jede Anwendung, die ein Token über ADAL anfordert als „ADAL-Anwendung“, einschließlich der Anwendungen, die sowohl ADAL als auch MSAL verwenden.

Die Azure Active Directory-Authentifizierungsbibliothek (Active Directory Authentication Library, ADAL) ist veraltet. Es wird dringend empfohlen, zur Microsoft-Authentifizierungsbibliothek (Microsoft Authentication Library, MSAL) zu migrieren, die ADAL ersetzt. Microsoft veröffentlicht keine neuen Features und Sicherheitsfixes mehr für ADAL. Anwendungen, die ADAL verwenden, können die neuesten Sicherheitsfeatures nicht nutzen, sodass sie anfällig für zukünftige Sicherheitsbedrohungen sind. Wenn Sie über vorhandene Anwendungen verfügen, die ADAL verwenden, migrieren Sie diese unbedingt zu MSAL.

Funktionsweise

Das System prüft täglich auf neue ADAL-Tokenanforderungen aus den letzten 30 Tagen. Wenn eine Anwendung 30 Tage lang keine neuen Anforderungen macht, wird der Empfehlungsstatus als abgeschlossen angezeigt. Der allgemeine Empfehlungsstatus wird auf „abgeschlossen“ aktualisiert, sobald alle Anwendungen dieses Kriterium erfüllen. Wenn eine neue ADAL-Anforderung für eine zuvor abgeschlossene Anwendung erkannt wird, wird der Status auf „aktiv“ zurückgesetzt.

Wert

MSAL ist konzeptionell für eine sichere Lösung ausgelegt, ohne dass Entwickler sich über die Implementierungsdetails Gedanken machen müssen. MSAL vereinfacht das Abrufen, Verwalten, Zwischenspeichern und Aktualisieren von Token. MSAL verwendet außerdem bewährte Methoden zu Resilienzzwecken. Weitere Informationen zu durch MSAL unterstützte Szenarien finden Sie unter Migrieren von Anwendungen zu MSAL.

Maßnahmenplan

Um alle Anwendungen in Ihrem Mandanten, die derzeit ADAL verwenden, zu identifizieren und Details zu ihnen abzurufen, können Sie die Anmeldearbeitsmappe verwenden. Um die Liste aller Apps programmgesteuert abzurufen, können Sie auch die Microsoft Graph-API oder das Microsoft Graph PowerShell SDK verwenden.

Anmeldearbeitsmappe

Die Arbeitsmappe „Anmeldungen“ im Microsoft Entra Admin Center konsolidiert Protokolle von verschiedenen Arten von Anmeldeereignissen, einschließlich interaktiver, nicht interaktiver und auf Dienstprinzipalen basierender Anmeldungen. Diese Aggregation bietet detaillierte Erkenntnisse zur Verwendung von ADAL-Anwendungen in Ihrem Mandanten, damit Sie die Migration Ihrer ADAL-Anwendungen umfassend nachvollziehen und verwalten können. Für eine detailliertere Analyse und eingehendere Untersuchung von ADAL-App-Anmeldedaten können Sie die Arbeitsmappe „Anmeldungen“ in Microsoft Entra in Ihrem Mandanten aktivieren. Dieses Tool unterstützt die Migration, indem es umfassende Anmeldedatenerkenntnisse bereitstellt.

Microsoft Graph-API

Sie können Microsoft Graph verwenden, um Apps zu identifizieren, die zu MSAL migriert werden müssen. Erste Schritte finden Sie unter Verwenden von Microsoft Graph mit Microsoft Entra-Empfehlungen.

1. Melden Sie sich bei Graph Explorer an.
2. Wählen Sie in der Dropdownliste GET als HTTP-Methode aus.
3. Legen Sie für die API-Version Beta fest.
4. Führen Sie die folgende Abfrage in Microsoft Graph aus, und ersetzen Sie dabei den Platzhalter <TENANT_ID> durch Ihre Mandanten-ID. Diese Abfrage gibt eine Liste der betroffenen Ressourcen in Ihrem Mandanten zurück.
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

Die folgende Antwort enthält Details zu den betroffenen Ressourcen, die ADAL verwenden:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}",
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

Sie können die folgenden Befehle in Windows PowerShell ausführen. Diese Befehle verwenden das Microsoft Graph PowerShell SDK, um eine Liste aller Anwendungen in Ihrem Mandanten abzurufen, die ADAL verwenden.

1. Öffnen Sie die Windows PowerShell als Administrator.

2. Stellen Sie eine Verbindung mit Microsoft Graph her:

   • Connect-MgGraph-Tenant <YOUR_TENANT_ID>

3. Wählen Sie Ihr Profil aus:

   • Select-MgProfile beta

4. Rufen Sie eine Liste Ihrer Empfehlungen ab:

   • Get-MgDirectoryRecommendation | Format-List

5. Aktualisieren Sie den Code für Ihre Apps mithilfe der Anweisungen unter Migrieren zu MSAL.

Häufig gestellte Fragen

Sehen Sie sich die folgenden allgemeinen Fragen an, wenn Sie an der Migration von ADAL zu MSAL arbeiten.

Warum dauert es 30 Tage, bis der Status „Abgeschlossen” lautet?

Um falsch positive Ergebnisse zu reduzieren, verwendet der Dienst ein 30-Tage-Fenster für ADAL-Anforderungen. Auf diese Weise können mehrere Tage vergehen, an denen keine ADAL-Anforderung für den Dienst besteht, und dennoch wird der Dienst nicht fälschlicherweise als abgeschlossen markiert.

Wie identifiziere ich Besitzer*innen von Anwendungen in meinem Mandanten?

Sie finden den Besitzer in den Empfehlungsdetails. Wählen Sie die Ressource aus. Damit gelangen Sie zu den Anwendungsdetails. Wechseln Sie zu Verwalten>Besitzer, um die aktuellen Besitzer anzuzeigen. Das Anzeigen der Besitzer erfordert mindestens die Rolle Anwendungsadministrator.

Kann sich der Status von Abgeschlossen zu Aktiv ändern?

Ja. Wenn eine Anwendung als abgeschlossen markiert wurde (während des 30-Tage-Fensters wurden keine ADAL-Anforderungen gestellt), wird diese Anwendung als abgeschlossen markiert. Wenn der Dienst eine neue ADAL-Anforderung erkennt, ändert sich der Status wieder zu Aktiv. Empfehlungen können nur vom System aktualisiert werden.

Wie kann ich Microsoft Entra-Anmeldearbeitsmappe integrieren?

Die detaillierten Schritte finden Sie unter Arbeitsmappe „Anmeldungen“ in Microsoft Entra.

Warum unterscheidet sich die Anzahl der ADAL-Anwendungen in der Anmeldearbeitsmappe und der Empfehlung?

• Aggregierte Daten oder Transaktionsdaten: Die Empfehlung aggregiert Daten aus den letzten 30 Tagen und stellt eine zusammengefasste Ansicht der Anwendungsaktivitäten bereit. Anders herum werden in der Anmeldearbeitsmappe jede Anmeldeanforderung als Transaktion beschrieben, was eine detailliertere Analyse ermöglicht.

• Flexibilität im Zeitrahmen: Die Daten der Anmeldearbeitsmappe können von den letzten 30 Minuten bis zu 30 Tage gefiltert werden. Diese Flexibilität bei der Auswahl des Zeitrahmens kann zu Abweichungen in der Anwendungsanzahl führen, was die Ergebnisse möglicherweise verzerrt.

• Zugriff auf historische Daten: Das Anzeigen von Daten in der Anmeldearbeitsmappe, die älter als 7 Tage sind, erfordert ein Microsoft Entra ID P1- oder P2-Mandantenabonnement. Diese Anforderung wirkt sich auf das Volumen der historischen Daten aus, auf die im Vergleich zu den aggregierten Daten in der Empfehlung zugegriffen werden kann.

Zugehöriger Inhalt

• Abrufen einer Liste von Apps, die in Ihrem Mandanten die ADAL verwenden
• Erfahren Sie, wie Sie Microsoft Entra-Empfehlungen verwenden
• Sehen Sie sich die Microsoft Graph-API-Eigenschaften an, um Empfehlungen zu erhalten.