Zalecenie firmy Microsoft Entra: migrowanie z biblioteki uwierzytelniania usługi Azure Active Directory do bibliotek uwierzytelniania firmy Microsoft
Zalecenia firmy Microsoft Entra to funkcja, która zapewnia spersonalizowane szczegółowe informacje i wskazówki umożliwiające podejmowanie działań w celu dostosowania dzierżawy do zalecanych najlepszych rozwiązań.
W tym artykule opisano zalecenie dotyczące migracji z biblioteki Azure Active Directory Authentication Library (ADAL) do bibliotek uwierzytelniania firmy Microsoft (MSAL). To zalecenie jest wywoływane AdalToMsalMigration w interfejsie API zaleceń w programie Microsoft Graph.
opis
Zalecenie "migrate from ADAL to MSAL" (Migrowanie z biblioteki ADAL do biblioteki MSAL) jest tworzone w celu podniesienia świadomości i powiadamiania o wszystkich aplikacjach korzystających z biblioteki ADAL w ramach dzierżawy. To zalecenie jest wyzwalane dla dzierżaw z aplikacjami korzystającymi z biblioteki ADAL. Oznacza ona dowolną aplikację, która żąda tokenu za pośrednictwem biblioteki ADAL jako "aplikacji biblioteki ADAL", w tym aplikacji korzystających zarówno z bibliotekI ADAL, jak i biblioteki MSAL.
Biblioteka uwierzytelniania usługi Azure Active Directory (ADAL) została uznana za przestarzałą. Zdecydowanie zalecamy migrację do biblioteki Microsoft Authentication Library (MSAL), która zastępuje bibliotekę ADAL. Firma Microsoft nie publikuje już nowych funkcji i poprawek zabezpieczeń w usłudze ADAL. Aplikacje korzystające z biblioteki ADAL nie będą mogły korzystać z najnowszych funkcji zabezpieczeń, pozostawiając je podatne na przyszłe zagrożenia bezpieczeństwa. Jeśli masz istniejące aplikacje korzystające z biblioteki ADAL, pamiętaj o migracji ich do biblioteki MSAL.
Jak to działa
System sprawdza codziennie nowe żądania tokenów biblioteki ADAL w ciągu ostatnich 30 dni. Jeśli aplikacja nie wysyła nowych żądań przez 30 dni, stan rekomendacji jest oznaczony jako ukończony. Ogólny stan rekomendacji zostanie zaktualizowany do "ukończonego", gdy wszystkie aplikacje spełniają to kryterium. Jeśli dla wcześniej ukończonej aplikacji zostanie wykryte nowe żądanie biblioteki ADAL, jego stan zmieni się na "aktywny".
Wartość
Biblioteka MSAL została zaprojektowana w celu umożliwienia bezpiecznego rozwiązania bez konieczności martwienia się o szczegóły implementacji. Biblioteka MSAL upraszcza sposób uzyskiwania, zarządzania, buforowania i odświeżania tokenów. Biblioteka MSAL używa również najlepszych rozwiązań dotyczących odporności. Aby uzyskać więcej informacji na temat obsługiwanych scenariuszy biblioteki MSAL, zobacz Migrowanie aplikacji do biblioteki MSAL.
Plan działania
Aby zidentyfikować i uzyskać szczegółowe informacje o wszystkich aplikacjach w dzierżawie, które obecnie korzystają z biblioteki ADAL, możesz użyć skoroszytu logowania. Aby programowo pobrać listę wszystkich aplikacji, możesz również użyć interfejsu API programu Microsoft Graph lub zestawu MICROSOFT Graph PowerShell SDK.
Skoroszyt logowania w centrum administracyjnym firmy Microsoft Entra konsoliduje dzienniki z różnych typów zdarzeń logowania, w tym interakcyjne, nieinterakcyjne i logowania jednostki usługi. Ta agregacja oferuje szczegółowe informacje na temat użycia aplikacji biblioteki ADAL w dzierżawie, które ułatwiają pełne zrozumienie migracji aplikacji biblioteki ADAL i zarządzanie nimi. Aby uzyskać bardziej szczegółową analizę i dokładniejsze badanie danych logowania aplikacji biblioteki ADAL, możesz włączyć skoroszyt logowania firmy Microsoft w dzierżawie. To narzędzie obsługuje migrację, zapewniając kompleksowe szczegółowe informacje o danych logowania.
Często zadawane pytania
Zapoznaj się z następującymi typowymi pytaniami podczas pracy z migracją biblioteki ADAL do biblioteki MSAL.
Dlaczego zmiana stanu na ukończone trwa 30 dni?
Aby zmniejszyć liczbę wyników fałszywie dodatnich, usługa używa 30-dniowego okna dla żądań biblioteki ADAL. Dzięki temu usługa może przejść kilka dni bez żądania biblioteki ADAL i nie być fałszywie oznaczona jako ukończona.
Jak mogę zidentyfikować właściciela aplikacji w mojej dzierżawie?
Możesz zlokalizować właściciela na podstawie szczegółów rekomendacji. Wybierz zasób, który spowoduje przejście do szczegółów aplikacji. Przejdź do obszaru Zarządzanie właścicielami>, aby wyświetlić bieżących właścicieli. Wyświetlanie właścicieli wymaga co najmniej roli Administrator aplikacji.
Czy stan może ulec zmianie z ukończonego na aktywny?
Tak. Jeśli aplikacja została oznaczona jako ukończona — więc żadne żądania biblioteki ADAL nie zostały wykonane w ciągu 30 dni — ta aplikacja zostanie oznaczona jako ukończona. Jeśli usługa wykryje nowe żądanie biblioteki ADAL, stan zmieni się z powrotem na aktywny. Rekomendacje można aktualizować tylko przez system.
Jak zintegrować skoroszyt logowania firmy Microsoft Entra?
Szczegółowe kroki można znaleźć w skoroszycie logowania firmy Microsoft.
Dlaczego liczba aplikacji biblioteki ADAL różni się w skoroszycie logowania i rekomendacji?
Dane zagregowane a dane transakcyjne: zalecenie agreguje dane w ciągu ostatnich 30 dni, zapewniając podsumowany widok działań aplikacji. Z drugiej strony skoroszyt logowania zawiera szczegółowe informacje o każdym żądaniu logowania jako transakcji, co umożliwia bardziej szczegółową analizę.
Elastyczność przedziału czasu: dane skoroszytu logowania można filtrować z ostatnich 30 minut do 30 dni. Ta elastyczność podczas wybierania przedziału czasu może prowadzić do zmian liczby aplikacji, co może spowodować niesymetryczność wyników.
Dostęp do danych historycznych: wyświetlanie danych starszych niż 7 dni w skoroszycie logowania wymaga subskrypcji dzierżawy Microsoft Entra ID P1 lub P2. To wymaganie wpływa na ilość danych historycznych dostępnych w porównaniu z zagregowanymi danymi w rekomendacji.