Raccomandazione di Microsoft Entra: Eseguire la migrazione da Azure Active Directory Authentication Library alle librerie di autenticazione Microsoft

Consigli di Microsoft Entra è una funzionalità che offre informazioni dettagliate personalizzate e indicazioni utili per allineare il tenant alle procedure consigliate.

Questo articolo illustra la raccomandazione di eseguire la migrazione da Azure Active Directory Authentication Library (ADAL) alle librerie di autenticazione Microsoft (MSAL). Questo consiglio viene chiamato AdalToMsalMigration nell'API consigli in Microsoft Graph.

Descrizione

La raccomandazione "Eseguire la migrazione da ADAL a MSAL" viene creata per aumentare la consapevolezza e avvisare l'utente su tutte le applicazioni che usano ADAL all'interno del tenant. Questa raccomandazione viene attivata per i tenant con applicazioni che usano ADAL. Etichetta qualsiasi applicazione che richiede un token tramite ADAL come "applicazione ADAL", incluse quelle applicazioni che usano sia ADAL che MSAL.

Azure Active Directory Authentication Library (ADAL) è stato deprecato. È consigliabile eseguire la migrazione a Microsoft Authentication Library (MSAL), che sostituisce ADAL. Microsoft non rilascia più nuove funzionalità e correzioni di sicurezza in ADAL. Le applicazioni che usano ADAL non potranno usare le funzionalità di sicurezza più recenti, lasciandole vulnerabili alle future minacce alla sicurezza. Se si dispone di applicazioni esistenti che usano ADAL, assicurarsi di eseguirne la migrazione a MSAL.

Funzionamento

Il sistema controlla ogni giorno le nuove richieste di token ADAL negli ultimi 30 giorni. Se un'applicazione non effettua nuove richieste per 30 giorni, lo stato della raccomandazione viene contrassegnato come completato. Lo stato complessivo delle raccomandazioni viene aggiornato a "completato" dopo che tutte le applicazioni soddisfano questo criterio. Se viene rilevata una nuova richiesta ADAL per un'applicazione completata in precedenza, lo stato viene ripristinato come "attivo".

Valore

MSAL è progettato per abilitare una soluzione sicura senza che gli sviluppatori debbano preoccuparsi dei dettagli di implementazione. MSAL semplifica il modo in cui i token vengono acquisiti, gestiti, memorizzati nella cache e aggiornati. MSAL usa anche le procedure consigliate per la resilienza. Per altre informazioni sugli scenari supportati da MSAL, vedere Eseguire la migrazione di applicazioni a MSAL.

Piano d'azione

Per identificare e ottenere i dettagli di tutte le applicazioni nel tenant che attualmente usano ADAL, è possibile usare la cartella di lavoro degli accessi. Per ottenere l'elenco di tutte le app a livello di codice, è anche possibile usare l'API Microsoft Graph o Microsoft Graph PowerShell SDK.

Cartella di lavoro di accesso

La cartella di lavoro degli accessi nell'interfaccia di amministrazione di Microsoft Entra consolida i log di vari tipi di eventi di accesso, tra cui accessi interattivi, non interattivi e entità servizio. Questa aggregazione offre informazioni dettagliate sull'utilizzo delle applicazioni ADAL nel tenant per comprendere e gestire completamente la migrazione delle applicazioni ADAL. Per un'analisi più dettagliata e un'analisi più approfondita dei dati di accesso dell'app ADAL, è possibile abilitare la cartella di lavoro degli accessi di Microsoft Entra nel tenant. Questo strumento supporta la migrazione fornendo informazioni dettagliate complete sui dati di accesso.

API di Microsoft Graph

È possibile usare Microsoft Graph per identificare le app di cui è necessario eseguire la migrazione a MSAL. Per iniziare, vedere Come usare Microsoft Graph con le raccomandazioni di Microsoft Entra.

1. Accedere a Graph explorer.
2. Selezionare GET come metodo HTTP nell'elenco a discesa.
3. Impostare la versione dell'API su beta.
4. Eseguire la query seguente in Microsoft Graph, sostituendo il segnaposto con l'ID <TENANT_ID> tenant. Questa query restituisce un elenco delle risorse interessate nel tenant.
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

La risposta seguente fornisce i dettagli delle risorse interessate tramite ADAL:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}",
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

SDK PowerShell di Microsoft Graph

È possibile eseguire il set di comandi seguente in Windows PowerShell. Questi comandi usano Microsoft Graph PowerShell SDK per ottenere un elenco di tutte le applicazioni nel tenant che usano ADAL.

1. Aprire Windows PowerShell come amministratore.

2. Connettersi a Microsoft Graph:

   • Connect-MgGraph -Tenant <YOUR_TENANT_ID>

3. Selezionare il profilo:

   • Select-MgProfile beta

4. Ottenere un elenco dei consigli:

   • Get-MgDirectoryRecommendation | Format-List

5. Aggiornare il codice per le app seguendo le istruzioni riportate in Come eseguire la migrazione a MSAL.

Domande frequenti

Esaminare le domande comuni seguenti durante la migrazione da ADAL a MSAL.

Perché sono necessari 30 giorni per modificare lo stato in completato?

Per ridurre i falsi positivi, il servizio usa una finestra di 30 giorni per le richieste ADAL. In questo modo, il servizio può andare diversi giorni senza una richiesta ADAL e non essere contrassegnato erroneamente come completato.

Ricerca per categorie identificare il proprietario di un'applicazione nel tenant?

È possibile individuare il proprietario nei dettagli della raccomandazione. Selezionare la risorsa, che consente di visualizzare i dettagli dell'applicazione. Passare a Gestisci>proprietari per visualizzare i proprietari correnti. La visualizzazione dei proprietari richiede almeno il ruolo di amministratore dell'applicazione.

Lo stato può passare da completato a attivo?

Sì. Se un'applicazione è stata contrassegnata come completata, quindi non sono state effettuate richieste ADAL durante la finestra di 30 giorni, tale applicazione verrà contrassegnata come completa. Se il servizio rileva una nuova richiesta ADAL, lo stato torna attivo. Le raccomandazioni possono essere aggiornate solo dal sistema.

Come è possibile integrare la cartella di lavoro di accesso di Microsoft Entra?

È possibile trovare i passaggi dettagliati nella cartella di lavoro degli accessi di Microsoft Entra.

Perché il numero di applicazioni ADAL è diverso nella cartella di lavoro degli accessi e nella raccomandazione?

• Dati aggregati e dati transazionali: la raccomandazione aggrega i dati negli ultimi 30 giorni, fornendo una visualizzazione riepilogata delle attività dell'applicazione. Al contrario, la cartella di lavoro di accesso dettaglia ogni richiesta di accesso come transazione, che consente un'analisi più dettagliata.

• Flessibilità intervallo di tempo: i dati della cartella di lavoro di accesso possono essere filtrati da ultimi 30 minuti fino a 30 giorni. Questa flessibilità nella selezione dell'intervallo di tempo può causare variazioni nel conteggio delle applicazioni, potenzialmente inclinando i risultati.

• Accesso ai dati cronologici: la visualizzazione dei dati precedenti a 7 giorni nella cartella di lavoro degli accessi richiede una sottoscrizione del tenant P1 o P2 di Microsoft Entra ID. Questo requisito influisce sul volume dei dati cronologici accessibili rispetto ai dati aggregati nella raccomandazione.

Contenuto correlato

• Ottenere un elenco di app con ADAL nel tenant
• Informazioni su come usare i consigli di Microsoft Entra
• Esplorare le proprietà dell'API Microsoft Graph per i consigli