Microsoft Entra 권장 사항: Azure Active Directory 인증 라이브러리에서 Microsoft 인증 라이브러리로 마이그레이션

Microsoft Entra 권장 사항은 테넌트를 권장 모범 사례에 맞게 맞춤화된 인사이트와 실행 가능한 지침을 제공하는 기능입니다.

이 문서에서는 ADAL(Azure Active Directory 인증 라이브러리)에서 MSAL(Microsoft 인증 라이브러리)로 마이그레이션하는 권장 사항을 설명합니다. 이 권장 사항은 Microsoft Graph의 권장 사항 API에서 AdalToMsalMigration이라고 합니다.

설명

테넌트 내에서 ADAL을 사용하는 모든 애플리케이션에 대한 인식을 높이고 경고하기 위해 'ADAL에서 MSAL로 마이그레이션' 권장 사항이 생성됩니다. 이 권장 사항은 ADAL을 사용하는 애플리케이션이 있는 테넌트에 대해 트리거됩니다. ADAL 및 MSAL을 모두 사용하는 애플리케이션을 포함하여 ADAL을 통해 토큰을 요청하는 모든 애플리케이션을 "ADAL 애플리케이션"으로 레이블을 지정합니다.

Azure ADAL(Active Directory 인증 라이브러리)은 사용되지 않습니다. ADAL을 대체하는 MSAL(Microsoft 인증 라이브러리)으로 마이그레이션하는 것이 좋습니다. Microsoft는 더 이상 ADAL에 대한 새로운 기능 및 보안 수정 사항을 릴리스하지 않습니다. ADAL을 사용하는 애플리케이션은 최신 보안 기능을 활용할 수 없으므로 향후 보안 위협에 취약합니다. ADAL을 사용하는 기존 애플리케이션이 있는 경우 MSAL로 마이그레이션합니다.

작동 방식

시스템은 지난 30일 동안 새 ADAL 토큰 요청을 매일 확인합니다. 애플리케이션이 30일 동안 새 요청을 하지 않으면 해당 권장 사항이 완료된 것으로 표시됩니다. 모든 애플리케이션이 이 조건을 충족하면 전체 권장 사항 상태가 "완료됨"으로 업데이트됩니다. 이전에 완료된 애플리케이션에 대해 새 ADAL 요청이 검색되면 해당 상태가 "활성"으로 되돌아갑니다.

값

MSAL은 개발자가 구현 세부 정보를 걱정하지 않아도 안전한 솔루션을 사용할 수 있도록 설계되었습니다. MSAL은 토큰 획득, 관리, 캐시 및 새로 고침 방법을 간소화합니다. MSAL은 복원력에 대한 모범 사례도 사용합니다. MSAL 지원 시나리오에 대한 자세한 내용은 MSAL로 애플리케이션 마이그레이션을 참조하세요.

작업 플랜:

현재 ADAL을 사용하고 있는 테넌트에 있는 모든 애플리케이션을 식별하고 세부 정보를 얻으려면 로그인 통합 문서를 사용할 수 있습니다. 프로그래밍 방식으로 모든 앱 목록을 얻으려면 Microsoft Graph API 또는 Microsoft Graph PowerShell SDK를 사용할 수도 있습니다.

로그인 통합 문서

Microsoft Entra 관리 센터의 로그인 통합 문서는 대화형, 비대화형 및 서비스 주체 로그인을 포함하여 다양한 유형의 로그인 이벤트의 로그를 통합합니다. 이 집계는 ADAL 애플리케이션의 마이그레이션을 완전히 이해하고 관리하는 데 도움이 되도록 테넌트 전체에서 ADAL 애플리케이션의 사용에 대한 자세한 인사이트를 제공합니다. ADAL 앱 로그인 데이터에 대한 자세한 분석 및 심층 조사를 위해 테넌트에서 Microsoft Entra 로그인 통합 문서를 사용하도록 설정할 수 있습니다. 이 도구는 포괄적인 로그인 데이터 인사이트를 제공하여 마이그레이션을 지원합니다.

Microsoft Graph API

Microsoft Graph를 사용하여 MSAL로 마이그레이션해야 하는 앱을 식별할 수 있습니다. 시작하려면 Microsoft Entra 권장 사항과 함께 Microsoft Graph를 사용하는 방법을 참조하세요.

1. Graph Explorer에 로그인합니다.
2. 드롭다운에서 HTTP 메서드로 GET를 선택합니다.
3. API 버전을 베타로 설정합니다.
4. Microsoft Graph에서 다음 쿼리를 실행하여 <TENANT_ID> 자리 표시자를 테넌트 ID로 바꿉니다. 이 쿼리는 테넌트의 영향을 받은 리소스 목록을 반환합니다.
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

다음 응답은 ADAL을 사용하여 영향을 받은 리소스의 세부 정보를 제공합니다.

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}",
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

Windows PowerShell 다음 명령 집합을 실행할 수 있습니다. 이러한 명령은 Microsoft Graph PowerShell SDK를 사용하여 ADAL을 사용하는 테넌트의 모든 애플리케이션 목록을 가져옵니다.

1. 관리자 권한으로 Windows PowerShell을 엽니다.

2. Microsoft Graph에 연결:

   • Connect-MgGraph-Tenant <YOUR_TENANT_ID>

3. 프로필 선택:

   • Select-MgProfile beta

4. 권장 사항 목록 가져오기:

   • Get-MgDirectoryRecommendation | Format-List

5. MSAL로 마이그레이션하는 방법의 지침을 사용하여 앱의 코드를 업데이트합니다.

자주 묻는 질문

ADAL에서 MSAL로 마이그레이션하는 동안 다음과 같은 일반적인 질문을 검토합니다.

상태를 완료로 변경하는 데 30일이 걸리는 이유는 무엇인가요?

가양성을 줄이기 위해 서비스는 ADAL 요청에 대해 30일 기간을 사용합니다. 이렇게 하면 서비스가 ADAL 요청 없이 며칠 동안 진행되며 완료된 것으로 잘못 표시되지 않을 수 있습니다.

내 테넌트에서 애플리케이션의 소유자를 어떻게 식별할 수 있나요?

권장 사항 세부 정보에서 소유자를 찾을 수 있습니다. 애플리케이션 세부 정보로 이동하는 리소스를 선택합니다. 소유자 관리>로 이동하여 현재 소유자를 봅니다. 소유자를 보려면 적어도 애플리케이션 관리자 역할이 필요합니다.

상태가 완료됨에서 활성으로 바뀔 수 있나요?

예. 애플리케이션이 완료된 것으로 표시되었으므로 30일 동안 ADAL 요청이 수행되지 않은 경우 해당 애플리케이션은 완료로 표시됩니다. 서비스에서 새 ADAL 요청을 감지하면 상태는 다시 활성으로 변경됩니다. 권장 사항은 시스템에서만 업데이트할 수 있습니다.

Microsoft Entra 로그인 통합 문서를 통합하려면 어떻게 해야 하나요?

Microsoft Entra 로그인 통합 문서에서 자세한 단계를 찾을 수 있습니다.

로그인 통합 문서 및 권장 사항에서 ADAL 애플리케이션 수가 다른 이유는 무엇인가요?

• 집계된 데이터와 트랜잭션 데이터: 권장 사항은 지난 30일 동안의 데이터를 집계하여 애플리케이션 활동에 대한 요약된 보기를 제공합니다. 반대로 로그인 통합 문서는 각 로그인 요청을 트랜잭션으로 자세히 설명하므로 보다 자세한 분석을 수행할 수 있습니다.

• 시간 프레임 유연성: 로그인 통합 문서 데이터는 최근 30분에서 최대 30일까지 필터링할 수 있습니다. 이러한 유연성으로 인해 시간 프레임을 선택하면 애플리케이션 수가 변형되어 결과가 왜곡될 수 있습니다.

• 기록 데이터에 대한 액세스: 로그인 통합 문서에서 7일 이전 데이터를 보려면 Microsoft Entra ID P1 또는 P2 테넌트 구독이 필요합니다. 이 요구 사항은 권장 사항의 집계된 데이터에 비해 액세스할 수 있는 기록 데이터의 양에 영향을 줍니다.

관련 콘텐츠

• 테넌트에서 ADAL을 사용하여 앱 목록 가져오기
• Microsoft Entra 권장 사항을 사용하는 방법 알아보기
• 권장 사항에 대한 Microsoft Graph API 속성 탐색