Recomendação do Microsoft Entra: Migrar da Biblioteca de Autenticação do Ative Directory do Azure para as Bibliotecas de Autenticação da Microsoft

As recomendações do Microsoft Entra são um recurso que fornece informações personalizadas e orientações acionáveis para alinhar seu locatário com as práticas recomendadas recomendadas.

Este artigo aborda a recomendação para migrar da Biblioteca de Autenticação do Ative Directory do Azure (ADAL) para as Bibliotecas de Autenticação da Microsoft (MSAL). Essa recomendação é chamada AdalToMsalMigration na API de recomendações no Microsoft Graph.

Description

A recomendação "migrar da ADAL para a MSAL" é criada para aumentar a conscientização e alertá-lo sobre todos os aplicativos que usam a ADAL em seu locatário. Essa recomendação é acionada para locatários com aplicativos que usam ADAL. Ele rotula qualquer aplicativo que solicita um token via ADAL como um "aplicativo ADAL", incluindo os aplicativos que usam ADAL e MSAL.

A Biblioteca de Autenticação do Ative Directory do Azure (ADAL) foi preterida. É altamente recomendável migrar para a Microsoft Authentication Library (MSAL), que substitui a ADAL. A Microsoft não lança mais novos recursos e correções de segurança no ADAL. Os aplicativos que usam ADAL não poderão utilizar os recursos de segurança mais recentes, deixando-os vulneráveis a futuras ameaças à segurança. Se você tiver aplicativos existentes que usam ADAL, certifique-se de migrá-los para o MSAL.

Como funciona

O sistema verifica diariamente se há novas solicitações de token ADAL nos últimos 30 dias. Se um aplicativo não fizer novas solicitações por 30 dias, seu status de recomendação será marcado como concluído. O status geral da recomendação é atualizado para "concluído" quando todos os pedidos atendem a esse critério. Se uma nova solicitação ADAL for detetada para um aplicativo concluído anteriormente, seu status será revertido para "ativo".

Value

O MSAL foi projetado para permitir uma solução segura sem que os desenvolvedores tenham que se preocupar com os detalhes da implementação. O MSAL simplifica a forma como os tokens são adquiridos, gerenciados, armazenados em cache e atualizados. A MSAL também utiliza as melhores práticas de resiliência. Para obter mais informações sobre cenários suportados pelo MSAL, consulte Migrar aplicativos para o MSAL.

Plano de ação

Para identificar e obter detalhes de todos os aplicativos em seu locatário que estão usando a ADAL no momento, você pode usar a Pasta de Trabalho de Entrada. Para obter a lista de todos os aplicativos programaticamente, você também pode usar a API do Microsoft Graph ou o SDK do PowerShell do Microsoft Graph.

Pasta de trabalho de entrada

A pasta de trabalho de entrada no centro de administração do Microsoft Entra consolida logs de vários tipos de eventos de entrada, incluindo entradas interativas, não interativas e de entidade de serviço. Essa agregação oferece informações detalhadas sobre o uso de aplicativos ADAL em seu locatário para ajudá-lo a entender e gerenciar completamente a migração de seus aplicativos ADAL. Para uma análise mais detalhada e uma investigação mais profunda dos dados de início de sessão da aplicação ADAL, pode ativar o livro de início de sessão do Microsoft Entra no seu inquilino. Esta ferramenta suporta a migração, fornecendo informações abrangentes sobre dados de início de sessão.

Microsoft Graph API

Você pode usar o Microsoft Graph para identificar aplicativos que precisam ser migrados para o MSAL. Para começar, consulte Como usar o Microsoft Graph com recomendações do Microsoft Entra.

1. Inicie sessão no Graph Explorer.
2. Selecione GET como o método HTTP na lista suspensa.
3. Defina a versão da API como beta.
4. Execute a seguinte consulta no Microsoft Graph, substituindo o espaço reservado <TENANT_ID> pelo ID do locatário. Essa consulta retorna uma lista dos recursos afetados em seu locatário.
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

A resposta a seguir fornece os detalhes dos recursos impactados usando a ADAL:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}",
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

Você pode executar o seguinte conjunto de comandos no Windows PowerShell. Esses comandos usam o SDK do PowerShell do Microsoft Graph para obter uma lista de todos os aplicativos em seu locatário que usam a ADAL.

1. Abra o Windows PowerShell Como um administrador.

2. Conecte-se ao Microsoft Graph:

   • Connect-MgGraph-Tenant <YOUR_TENANT_ID>

3. Selecione o seu perfil:

   • Select-MgProfile beta

4. Obtenha uma lista das suas recomendações:

   • Get-MgDirectoryRecommendation | Format-List

5. Atualize o código para seus aplicativos usando as instruções em Como migrar para o MSAL.

Perguntas mais frequentes

Analise as seguintes perguntas comuns enquanto trabalha na migração da ADAL para a MSAL.

Por que leva 30 dias para alterar o status para concluído?

Para reduzir os falsos positivos, o serviço usa uma janela de 30 dias para solicitações ADAL. Desta forma, o serviço pode passar vários dias sem um pedido ADAL e não ser falsamente marcado como concluído.

Como posso identificar o proprietário de uma aplicação no meu inquilino?

Você pode localizar o proprietário a partir dos detalhes da recomendação. Selecione o recurso, que o levará aos detalhes do aplicativo. Aceda a Gerir>Proprietários para ver os proprietários atuais. A visualização dos proprietários requer pelo menos a função de Administrador de Aplicativos .

O status pode mudar de concluído para ativo?

Sim. Se um pedido fosse marcado como concluído - pelo que não foram feitos pedidos de ADAL durante o período de 30 dias - esse pedido seria marcado como completo. Se o serviço detetar uma nova solicitação ADAL, o status voltará a ser ativo. As recomendações só podem ser atualizadas pelo sistema.

Como posso integrar a pasta de trabalho de entrada do Microsoft Entra?

Você pode encontrar as etapas detalhadas na pasta de trabalho de entradas do Microsoft Entra.

Por que o número de aplicativos ADAL é diferente na pasta de trabalho de entrada e na recomendação?

• Dados agregados versus dados transacionais: a recomendação agrega dados dos últimos 30 dias, fornecendo uma visão resumida das atividades do aplicativo. Por outro lado, a pasta de trabalho de entrada detalha cada solicitação de entrada como uma transação, o que permite uma análise mais detalhada.

• Flexibilidade de período de tempo: os dados da pasta de trabalho de entrada podem ser filtrados dos últimos 30 minutos até até 30 dias. Essa flexibilidade na seleção do período de tempo pode levar a variações na contagem de aplicativos, potencialmente distorcendo os resultados.

• Acesso a dados históricos: a visualização de dados com mais de 7 dias na pasta de trabalho de entrada requer uma assinatura de locatário do Microsoft Entra ID P1 ou P2. Este requisito afeta o volume de dados históricos acessíveis em comparação com os dados agregados na recomendação.

Conteúdos relacionados

• Obter uma lista de aplicações que utilizam a ADAL no seu inquilino
• Saiba como usar as recomendações do Microsoft Entra
• Explore as propriedades da API do Microsoft Graph para obter recomendações