Microsoft Entra の推奨事項: Azure Active Directory 認証ライブラリから Microsoft 認証ライブラリに移行します
Microsoft Entra の推奨事項は、パーソナライズされた分析情報と、推奨されるベスト プラクティスにテナントを整合させるために実行できるガイダンスを提供する機能です。
この記事では、Azure Active Directory 認証ライブラリ (ADAL) から Microsoft 認証ライブラリ (MSAL) に移行するという推奨事項について説明します。 この推奨事項は、Microsoft Graph の推奨事項 API で AdalToMsalMigration と呼ばれます。
説明
"ADAL から MSAL への移行" の推奨事項は、テナント内で ADAL を使用するすべてのアプリケーションに関する認識を高め、アラートを提供するために作成されます。 この推奨事項は、ADAL を使用するアプリケーションがあるテナントに対してトリガーされます。 ADAL と MSAL の両方を使用するアプリケーションを含め、ADAL 経由でトークンを要求するすべてのアプリケーションに "ADAL アプリケーション" というラベルが付けられます。
Azure Active Directory 認証ライブラリ (ADAL) は非推奨です。 ADAL に代わる Microsoft 認証ライブラリ (MSAL) に移行することを強くお勧めします。 Microsoft では、ADAL の新機能とセキュリティ修正プログラムをリリースしなくなりました。 ADAL を使用するアプリケーションでは最新のセキュリティ機能を利用できず、将来のセキュリティ上の脅威に対して脆弱なままです。 ADAL を使用する既存のアプリケーションがある場合は、それらを MSAL に移行してください。
しくみ
過去 30 日間の新しい ADAL トークン要求がシステムによって毎日チェックされます。 アプリケーションが 30 日間新しい要求を行っていない場合、その推奨事項の状態は完了としてマークされます。 すべてのアプリケーションがこの条件を満たすと、全体的な推奨事項の状態が "完了" に更新されます。 以前に完了にされたアプリケーションに対して新しい ADAL 要求が検出された場合、その状態は "アクティブ" に戻ります。
Value
MSAL は、開発者が実装の詳細について心配することなく、セキュリティで保護されたソリューションを実現できるように設計されています。 MSAL を使用すると、トークンの取得、管理、キャッシュ、更新の方法が簡略化されます。 MSAL では、回復性のベスト プラクティスも使用されます。 MSAL でサポートされるシナリオの詳細については、「アプリケーションを MSAL に移行する」を参照してください。
行動計画
テナント内で現在 ADAL を使用しているすべてのアプリケーションを特定して詳細を取得するには、サインイン ブックを使用できます。 プログラムですべてのアプリの一覧を取得するために、Microsoft Graph API または Microsoft Graph PowerShell SDK を使用することもできます。
Microsoft Entra 管理センターのサインイン ブックには、対話型、非対話型、サービス プリンシパルのサインインなど、さまざまな種類のサインイン イベントのログが統合されています。この集計では、テナント全体での ADAL アプリケーションの使用に関する詳細な分析情報が提供され、ADAL アプリケーションの移行を完全に理解して管理するのに役立ちます。 ADAL アプリのサインイン データをより詳しく分析し、さらに掘り下げて調査するには、テナントで Microsoft Entra サインイン ブックを有効にすることができます。 これは包括的なサインイン データ分析情報を提供することで、移行をサポートするツールです。
よく寄せられる質問
ADAL から MSAL への移行に取り組むときは、次の一般的な質問を確認してください。
状態を完了に変更するのに 30 日かかるのはなぜですか?
擬陽性を減らすため、サービスでは ADAL 要求に対して 30 日の期間が使われます。 これにより、サービスは ADAL 要求がなくても数日間動作でき、誤って完了としてマークされることはありません。
テナント内のアプリケーションの所有者を識別するにはどうすればよいですか?
推奨事項の詳細から所有者を見つけることができます。 リソースを選択すると、アプリケーションの詳細が表示されます。 [管理]>[所有者] に移動して、現在の所有者を表示します。 所有者を表示するには、少なくともアプリケーション管理者ロールが必要です。
状態を "完了" から "アクティブ" に変更することはできますか?
はい。 アプリケーションが完了したものとマークされた場合、つまり 30 日間 ADAL 要求が行われないと、そのアプリケーションは完了とマークされます。 サービスで新しい ADAL 要求が検出されると、状態は "アクティブ" に戻されます。 推奨事項は、システムによってのみ更新できます。
Microsoft Entra サインイン ブックを統合するにはどうすればよいですか?
詳細な手順については、Microsoft Entra サインイン ブックに関するページを参照してください。
サインイン ブックと推奨事項で ADAL アプリケーションの数が異なるのはなぜですか?
集計されたデータとトランザクション データ: 推奨事項では、過去 30 日間のデータが集計され、アプリケーション アクティビティの概要が表示されます。 逆に、サインイン ブックでは、各サインイン要求がトランザクションとして詳細に表示されるため、より詳細な分析が可能になります。
時間枠の柔軟性: サインイン ブックのデータは、直近の 30 分間から最大 30 日間までフィルター処理できます。 時間枠の選択におけるこの柔軟性により、アプリケーション数が変動し、結果に歪みが生じる可能性があります。
履歴データへのアクセス: サインイン ブックで 7 日前より古いデータを表示するには、Microsoft Entra ID P1 または P2 テナント サブスクリプションが必要です。 この要件は、推奨事項の集計されたデータと比較したアクセス可能な履歴データの量に影響します。