Zalecenie firmy Microsoft Entra: migrowanie z biblioteki uwierzytelniania usługi Azure Active Directory do bibliotek uwierzytelniania firmy Microsoft

Zalecenia firmy Microsoft Entra to funkcja, która zapewnia spersonalizowane szczegółowe informacje i wskazówki umożliwiające podejmowanie działań w celu dostosowania dzierżawy do zalecanych najlepszych rozwiązań.

W tym artykule opisano zalecenie dotyczące migracji z biblioteki Azure Active Directory Authentication Library (ADAL) do bibliotek uwierzytelniania firmy Microsoft (MSAL). To zalecenie nazywa się AdalToMsalMigration w API zaleceń Microsoft Graph.

opis

Zalecenie "migrate from ADAL to MSAL" (Migrowanie z biblioteki ADAL do biblioteki MSAL) jest tworzone w celu podniesienia świadomości i powiadamiania o wszystkich aplikacjach korzystających z biblioteki ADAL w ramach dzierżawy. Zalecenie to jest inicjowane dla najemców z aplikacjami korzystającymi z biblioteki ADAL. Oznacza dowolną aplikację, która żąda tokenu za pośrednictwem ADAL, jako "aplikację ADAL", w tym aplikacje korzystające zarówno z ADAL, jak i MSAL.

Biblioteka uwierzytelniania usługi Azure Active Directory (ADAL) została uznana za przestarzałą. Zdecydowanie zalecamy migrację do biblioteki Microsoft Authentication Library (MSAL), która zastępuje bibliotekę ADAL. Firma Microsoft nie publikuje już nowych funkcji i poprawek zabezpieczeń w usłudze ADAL. Aplikacje korzystające z biblioteki ADAL nie będą mogły korzystać z najnowszych funkcji zabezpieczeń, pozostawiając je podatne na przyszłe zagrożenia bezpieczeństwa. Jeśli masz istniejące aplikacje korzystające z biblioteki ADAL, pamiętaj o migracji ich do biblioteki MSAL.

Jak to działa

System codziennie sprawdza nowe żądania tokenów ADAL z ostatnich 30 dni. Jeśli aplikacja nie wysyła nowych żądań przez 30 dni, stan rekomendacji jest oznaczony jako ukończony. Ogólny stan rekomendacji zostanie zaktualizowany do "ukończonego", gdy wszystkie aplikacje spełniają to kryterium. Jeśli dla wcześniej ukończonej aplikacji zostanie wykryte nowe żądanie biblioteki ADAL, jego stan zmieni się na "aktywny".

Wartość

Biblioteka MSAL została zaprojektowana, aby umożliwić bezpieczne rozwiązanie, bez potrzeby troszczenia się o szczegóły implementacji przez programistów. Biblioteka MSAL upraszcza sposób uzyskiwania, zarządzania, buforowania i odświeżania tokenów. MSAL używa również najlepszych praktyk dotyczących odporności. Aby uzyskać więcej informacji na temat obsługiwanych scenariuszy biblioteki MSAL, zobacz Migrowanie aplikacji do biblioteki MSAL.

Plan działania

Aby zidentyfikować i uzyskać szczegółowe informacje o wszystkich aplikacjach w twojej dzierżawie, które obecnie korzystają z ADAL, możesz użyć Sign-ins Workbook. Aby programowo pobrać listę wszystkich aplikacji, możesz również użyć interfejsu API programu Microsoft Graph lub zestawu MICROSOFT Graph PowerShell SDK.

Skoroszyt logowania

Arkusz logowania w centrum administracyjnym Microsoft Entra konsoliduje dzienniki z różnych typów zdarzeń logowania, w tym interaktywnych, nieinteraktywnych i logowań głównych jednostek usługowych. Ta agregacja zapewnia szczegółowe informacje na temat użycia aplikacji ADAL w twojej dzierżawie, co ułatwia pełne zrozumienie i zarządzanie migracją aplikacji ADAL. Aby uzyskać bardziej szczegółową analizę i dokładniejsze badanie danych logowania aplikacji ADAL, możesz włączyć skoroszyt logowań Microsoft Entra w dzierżawie. To narzędzie obsługuje migrację, zapewniając kompleksowe szczegółowe informacje o danych logowania.

Interfejs API programu Microsoft Graph

Program Microsoft Graph umożliwia identyfikowanie aplikacji, które muszą zostać zmigrowane do biblioteki MSAL. Aby rozpocząć, zobacz Jak używać programu Microsoft Graph z zaleceniami firmy Microsoft Entra.

1. Zaloguj się do Eksploratora programu Graph.
2. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.
3. Ustaw wersję interfejsu API na wersję beta.
4. Uruchom następujące zapytanie w programie Microsoft Graph, zastępując symbolu zastępczego <TENANT_ID> identyfikatorem dzierżawy. Zapytanie zwraca listę zasobów dotkniętych w Twojej dzierżawie.
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

Poniższa odpowiedź zawiera szczegółowe informacje o zasobach dotkniętych, przy użyciu biblioteki ADAL:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}",
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

W programie Windows PowerShell można uruchomić następujący zestaw poleceń. Polecenia te używają Microsoft Graph PowerShell SDK, aby uzyskać listę wszystkich aplikacji w dzierżawie używających biblioteki ADAL.

1. Uruchom program Windows PowerShell jako administrator.

2. Nawiązywanie połączenia z programem Microsoft Graph:

   • Connect-MgGraph -Tenant <YOUR_TENANT_ID>

3. Wybierz swój profil:

   • Select-MgProfile beta

4. Pobierz listę zaleceń:

   • Get-MgDirectoryRecommendation | Format-List

5. Zaktualizuj kod aplikacji, korzystając z instrukcji w temacie Jak przeprowadzić migrację do biblioteki MSAL.

Często zadawane pytania

Zapoznaj się z następującymi typowymi pytaniami podczas pracy z migracją biblioteki ADAL do biblioteki MSAL.

Dlaczego zmiana stanu na ukończone trwa 30 dni?

Aby zmniejszyć liczbę wyników fałszywie dodatnich, usługa używa 30-dniowego okna dla żądań ADAL. Dzięki temu usługa może funkcjonować przez kilka dni bez żądania z biblioteki ADAL i nie zostanie fałszywie oznaczona jako ukończona.

Jak mogę zidentyfikować właściciela aplikacji w moim tenancie?

Możesz zlokalizować właściciela na podstawie szczegółów rekomendacji. Wybierz zasób, który spowoduje przejście do szczegółów aplikacji. Przejdź do obszaru Zarządzanie właścicielami>, aby wyświetlić bieżących właścicieli. Wyświetlanie właścicieli wymaga co najmniej roli Administrator aplikacji.

Czy stan może ulec zmianie z ukończonego na aktywny?

Tak. Jeśli aplikacja została oznaczona jako ukończona — ponieważ w ciągu 30 dni nie wykonano żadnych żądań biblioteki ADAL — to aplikacja byłaby uznana za ukończoną. Jeśli usługa wykryje nowe żądanie biblioteki ADAL, stan zmieni się z powrotem na aktywny. Rekomendacje można aktualizować tylko przez system.

Jak zintegrować skoroszyt logowania firmy Microsoft Entra?

Szczegółowe kroki można znaleźć w skoroszycie logowania Microsoft Entra.

Dlaczego liczba aplikacji ADAL różni się w skoroszycie logowania i w rekomendacji?

• Dane zagregowane a dane transakcyjne: zalecenie agreguje dane w ciągu ostatnich 30 dni, zapewniając podsumowany widok działań aplikacji. Z drugiej strony skoroszyt logowania zawiera szczegółowe informacje o każdym żądaniu logowania jako transakcji, co umożliwia bardziej szczegółową analizę.

• Elastyczność przedziału czasu: dane skoroszytu logowania można filtrować z ostatnich 30 minut do 30 dni. Ta elastyczność podczas wybierania przedziału czasu może prowadzić do zmian liczby aplikacji, co może spowodować niesymetryczność wyników.

• Dostęp do danych historycznych: Wyświetlanie danych starszych niż 7 dni w zeszycie logowania wymaga subskrypcji dzierżawy Microsoft Entra ID P1 lub P2. To wymaganie wpływa na ilość danych historycznych dostępnych w porównaniu z zagregowanymi danymi w rekomendacji.

Powiązana zawartość

• Uzyskaj listę aplikacji używających ADAL w swojej dzierżawie
• Dowiedz się, jak używać zaleceń firmy Microsoft Entra
• Eksplorowanie właściwości interfejsu API programu Microsoft Graph pod kątem zaleceń