Рекомендация Microsoft Entra. Миграция из библиотеки проверки подлинности Azure Active Directory в библиотеки проверки подлинности Майкрософт

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированных аналитических сведений и практические рекомендации по согласованию клиента с рекомендуемыми рекомендациями.

В этой статье рассматриваются рекомендации по миграции из библиотеки проверки подлинности Azure Active Directory (ADAL) в библиотеки проверки подлинности Майкрософт (MSAL). Эта рекомендация вызывается AdalToMsalMigration в API рекомендаций в Microsoft Graph.

Description

Рекомендация "миграция из ADAL в MSAL" создается для повышения осведомленности и оповещения обо всех приложениях, использующих ADAL в клиенте. Эта рекомендация активируется для клиентов с приложениями с помощью ADAL. Он метит любое приложение, которое запрашивает маркер через ADAL как "приложение ADAL", включая эти приложения с помощью ADAL и MSAL.

Библиотека проверки подлинности Azure Active Directory (ADAL) устарела. Настоятельно рекомендуется перейти в библиотеку проверки подлинности Майкрософт (MSAL), которая заменяет ADAL. Корпорация Майкрософт больше не выпускает новые функции и исправления безопасности в ADAL. Приложения, использующие ADAL, не смогут использовать новейшие функции безопасности, оставляя их уязвимыми для будущих угроз безопасности. Если у вас есть приложения, использующие ADAL, обязательно перенесите их в MSAL.

Принцип работы

Система проверяет ежедневно новые запросы маркеров ADAL за последние 30 дней. Если приложение не выполняет новые запросы в течение 30 дней, его состояние рекомендации помечается как завершенное. Общее состояние рекомендации обновляется на "завершено" после того, как все приложения соответствуют этому критерию. Если для ранее завершенного приложения обнаружен новый запрос ADAL, его состояние возвращается к "активному".

Значение

Библиотека MSAL предназначена для того, чтобы разработчики могли создать безопасное решения, не беспокоясь о реализации. MSAL упрощает получение, управление, кэширование и обновление маркеров. MSAL также использует рекомендации по устойчивости. Дополнительные сведения о поддерживаемых сценариях MSAL см. в статье "Миграция приложений в MSAL".

План действий

Чтобы определить и получить сведения обо всех приложениях в клиенте, которые в настоящее время используют ADAL, можно использовать книгу входа. Чтобы получить список всех приложений программным способом, можно также использовать API Microsoft Graph или пакет SDK Для Microsoft Graph PowerShell.

Книга входа

Книга входа в Центр администрирования Microsoft Entra объединяет журналы из различных типов событий входа, включая интерактивные, неинтерактивные и субъекты-службы. Эта агрегирование предоставляет подробные сведения об использовании приложений ADAL в клиенте, чтобы полностью понять миграцию приложений ADAL и управлять ими. Для более подробного анализа и более глубокого изучения данных входа в приложение ADAL в клиенте можно включить книгу входа Microsoft Entra. Это средство поддерживает миграцию, предоставляя комплексные аналитические сведения о входе.

API Microsoft Graph

Microsoft Graph можно использовать для идентификации приложений, которые необходимо перенести в MSAL. Сведения о начале работы см. в статье "Использование Microsoft Graph с рекомендациями Microsoft Entra".

1. Войдите в обозреватель Graph.
2. Выберите метод HTTP GET в раскрывающемся списке.
3. Задайте для версии API бета-версию.
4. Выполните следующий запрос в Microsoft Graph, заменив заполнитель идентификатором <TENANT_ID> клиента. Этот запрос возвращает список затронутых ресурсов в клиенте.
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

Следующий ответ содержит сведения о затронутых ресурсах с помощью ADAL:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}",
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

В Windows PowerShell можно выполнить следующий набор команд. Эти команды используют пакет SDK Microsoft Graph PowerShell для получения списка всех приложений в клиенте, использующих ADAL.

1. Откройте Windows PowerShell от имени администратора.

2. Подключение к Microsoft Graph:

   • Connect-MgGraph-Tenant <YOUR_TENANT_ID>

3. Выберите профиль:

   • Select-MgProfile beta

4. Получите список рекомендаций:

   • Get-MgDirectoryRecommendation | Format-List

5. Обновите код для приложений с помощью инструкций по миграции в MSAL.

Часто задаваемые вопросы

Ознакомьтесь со следующими распространенными вопросами при работе с ADAL для миграции MSAL.

Почему требуется 30 дней, чтобы изменить состояние завершения?

Чтобы уменьшить ложные срабатывания, служба использует 30-дневное окно для запросов ADAL. Таким образом, служба может пройти несколько дней без запроса ADAL и не помечена как завершенная.

Разделы справки определить владельца приложения в моем клиенте?

Вы можете найти владельца из сведений о рекомендации. Выберите ресурс, который переносит вас в сведения о приложении. Перейдите к разделу "Управление>владельцами", чтобы просмотреть текущих владельцев. Для просмотра владельцам требуется по крайней мере роль администратора приложения.

Может ли состояние измениться от завершенного к активному?

Да. Если приложение было отмечено как завершенное , поэтому запросы ADAL не были сделаны в течение 30 дней, это приложение будет отмечено как завершенное. Если служба обнаруживает новый запрос ADAL, состояние меняется на активный. Рекомендации могут обновляться только системой.

Как интегрировать книгу входа Microsoft Entra?

Подробные инструкции можно найти в книге входа Microsoft Entra.

Почему количество приложений ADAL отличается в книге входа и рекомендации?

• Агрегированные данные и транзакционные данные: рекомендация агрегирует данные за последние 30 дней, предоставляя сводное представление действий приложения. И наоборот, книга входа содержит сведения о каждом запросе на вход в качестве транзакции, что позволяет более подробно проанализировать.

• Гибкость интервала времени. Данные книги входа можно отфильтровать от последних 30 минут до 30 дней. Такая гибкость при выборе интервала времени может привести к вариациям в количестве приложений, потенциально отмежая результаты.

• Доступ к историческим данным: просмотр данных старше 7 дней в книге входа требует подписки на клиент Microsoft Entra ID P1 или P2. Это требование влияет на объем исторических данных, доступных по сравнению с агрегированными данными в рекомендации.

Связанный контент

• Получение списка приложений с помощью ADAL в клиенте
• Узнайте, как использовать рекомендации Microsoft Entra
• Изучение свойств API Microsoft Graph для рекомендаций