テナントで ADAL を使用しているアプリの一覧を取得する
この記事では、Azure Monitor ブックを使用して、テナントで ADAL を使用するすべてのアプリの一覧を取得する方法について説明します。
Azure Active Directory 認証ライブラリ (ADAL) は非推奨です。 ADAL に代わる Microsoft 認証ライブラリ (MSAL) に移行することを強くお勧めします。 Microsoft では、ADAL の新機能とセキュリティ修正プログラムをリリースしなくなりました。 ADAL を使用するアプリケーションでは最新のセキュリティ機能を利用できず、将来のセキュリティ上の脅威に対して脆弱なままです。 ADAL を使用する既存のアプリケーションがある場合は、それらを MSAL に移行してください。
サインイン ブック
ブックは、Microsoft Entra ログで使用できる情報を収集して視覚化するクエリのセットです。 サインイン ログ スキーマの詳細については、こちらを参照してください。
Microsoft Entra 管理センターのサインイン ブックには、対話型、非対話型、サービス プリンシパルのサインインなど、さまざまな種類のサインイン イベントのログが統合されています。この集計では、テナント全体での ADAL アプリケーションの使用に関する詳細な分析情報が提供され、ADAL アプリケーションの移行を完全に理解して管理するのに役立ちます。
以下では、ブックへのアクセスに関する包括的な手順を示し、その後、アプリケーションの一覧を視覚化するための効果的な方法を示します。
手順 1: Microsoft Entra サインイン イベントを Azure Monitor に送信する
Microsoft Entra ID では、サインイン イベントは既定で Azure Monitor に送信されません。これは Azure Monitor のサインイン ブックで必要になります。
Microsoft Entra サインインと監査ログの Azure Monitor への統合に関するページの手順に従って Azure Monitor にサインイン イベントを送信するように AD を構成します。 診断設定の構成手順で、 [SignInLogs] チェック ボックスをオンにします。
Azure Monitor にイベントを送信するように Microsoft Entra ID を構成する "前" に発生したサインイン イベントは、サインイン ブックに表示されません。
手順 2: Microsoft Entra 管理センターでサインイン ブックにアクセスする
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
Microsoft Entra サインインと監査ログを、Azure Monitor 統合に指定されている Azure Monitor と統合したら、サインイン ブックにアクセスします。
- Microsoft Entra 管理センターにレポート閲覧者以上でサインインしてください。
- [ID]>[監視と正常性]>[ブック] の順に移動します。
- [使用状況] セクションで、[サインイン] ブックを開きます
手順 3: ADAL を使用するアプリを識別する
[サインイン ブック] ページの下部にあるテーブルには、過去 30 日間にアクティブだった ADAL アプリが一覧表示されます。 ダウンロード ボタンを選択して、これらのアプリのリストをエクスポートすることもできます。 MSAL を使用するようにこれらのアプリを更新します。
ADAL を使用しているアプリがない場合、ブックのこのセクションには、次に示すようなビューが表示されます。
ブックの次のセクションには、すべてのアプリのサインイン データが表示されます。 これには、場所やデバイスを含むアプリとサインインのアクティビティの合計数が含まれます。
手順 4: 詳細を調べ、アプリケーションの使用と認証データを分析する
テナント内の ADAL アプリケーションの影響を十分に評価するには、単なる識別以外の詳細なデータを分析することが重要です。
- アプリケーション ID: 各アプリケーションの一意識別子。
- アプリの表示名: 組織全体でアプリを簡単に識別するのに役立つアプリケーションの名前。
- SigninCount: アプリケーションごとのサインインの数。
- ADAL バージョン: アプリケーションで使用される ADAL の特定のバージョン。
- IP アドレス: サインイン試行の実行元のクライアントの IP アドレスを表示します。
- 場所: 市区町村、都道府県、国/地域、サインイン要求が行われた場所を指定します。
- デバイスによるサインイン: 特定のバージョンを含むデバイスの OS の詳細を共有します。
この拡張データ ビューにアクセスするには、ブック内でカスタム フィルターとクエリを適用します。 この情報は、重要なアプリケーションを特定するのに役立つだけでなく、その使用と公開レベルに基づいてアプリケーションを優先順位付けすることで、移行戦略を計画するのにも役立ちます。
手順 5: ADAL アプリケーションを更新する
ADAL を使用してアプリケーションを特定したら、MSAL への更新に進みます。 移行プロセスは、使用しているアプリケーションの種類によって異なります。 アプリケーションの種類ごとに、以下に示すガイドラインに従ってください。
シングルページ アプリ (SPA)
手順 6: 移行が成功したことを監視して検証する
手順 4 の詳細なデータを使用すると、アプリケーションの MSAL への移行プロセスの優先度付けと管理を効果的に行うことができます。 このデータを使用してサインイン シナリオを調査し、スムーズな移行を実現する方法を次に示します。
- 優先順位付け:
SigninCount
が高くADAL Version
が古いアプリケーションは、使用率が高くリスクが高くなる可能性を表しているため、優先する必要があります。 これらのアプリケーションを最初に移行して、組織にとって最も重大なリスクを最小限に抑えます。 - セキュリティ分析:
IP Address
を使用して、サインイン パターンを検出します。 たとえば、ユーザーまたは組織が所有するサービスからサインイン要求が行われ、通話元を識別する場合などです。 - 互換性の検査: 移行する前に、アプリケーションで使用されている
ADAL Version
を評価します。 一部のバージョンでは、特定の MSAL 機能に関する既知の問題が発生している可能性があります。 これらの違いを理解することは、機能の中断を最小限に抑える移行の計画に役立ちます。 - テスト シナリオ: MSAL に更新した後、監視して移行前と後の動作を比較します。 この比較は、移行が成功し、新しい環境でアプリケーションが期待どおりに動作することを確認するのに役立ちます。
サインイン ブックの詳細なデータを活用すると、組織は ADAL から MSAL への移行を戦略的に計画および実行し、中断を最小限に抑え、堅牢なセキュリティ プロトコルを維持できます。
次のステップ
MSAL の詳細、たとえば使用情報や、さまざまなプログラミング言語とアプリケーションの種類で使用できるライブラリについては、こちらを参照してください。