Рекомендация Microsoft Entra. Миграция из библиотеки проверки подлинности Azure Active Directory в библиотеки проверки подлинности Майкрософт

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированные инсайты и практические советы по приведению арендатора в соответствие с рекомендованными лучшими практиками.

В этой статье рассматриваются рекомендации по миграции из библиотеки проверки подлинности Azure Active Directory (ADAL) в библиотеки проверки подлинности Майкрософт (MSAL). Эта рекомендация называется AdalToMsalMigration в API рекомендаций в Microsoft Graph.

Описание

Данная рекомендация "миграция с ADAL на MSAL" создается для повышения осведомленности и предупреждения обо всех приложениях, использующих ADAL в вашем клиенте. Эта рекомендация активируется для арендаторов с приложениями, использующими ADAL. Он обозначает любое приложение, которое запрашивает токен через ADAL как "приложение ADAL", включая приложения, использующие как ADAL, так и MSAL.

Библиотека проверки подлинности Azure Active Directory (ADAL) устарела. Настоятельно рекомендуется перейти в библиотеку проверки подлинности Майкрософт (MSAL), которая заменяет ADAL. Корпорация Майкрософт больше не выпускает новые функции и исправления безопасности в ADAL. Приложения, использующие ADAL, не смогут использовать новейшие функции безопасности, оставляя их уязвимыми для будущих угроз безопасности. Если у вас есть приложения, использующие ADAL, обязательно перенесите их в MSAL.

Принцип работы

Система ежедневно проверяет новые запросы токенов ADAL за последние 30 дней. Если приложение не выполняет новые запросы в течение 30 дней, его состояние рекомендации помечается как завершенное. Общее состояние рекомендации обновляется на "завершено" после того, как все приложения соответствуют этому критерию. Если для ранее завершенного приложения обнаружен новый запрос ADAL, его состояние возвращается к "активному".

Значение

Библиотека MSAL предназначена для того, чтобы разработчики могли использовать безопасное решение, не беспокоясь о подробностях реализации. MSAL упрощает получение, управление, кэширование и обновление токенов. MSAL также использует рекомендации по устойчивости. Дополнительные сведения о поддерживаемых сценариях MSAL см. в статье "Миграция приложений в MSAL".

План действий

Чтобы определить и получить сведения обо всех приложениях в вашем клиенте, которые в настоящее время используют ADAL, можно использовать рабочую книгу входов. Чтобы получить список всех приложений программным способом, можно также использовать API Microsoft Graph или пакет SDK Для Microsoft Graph PowerShell.

Журнал входов

Рабочая тетрадь для входов в центре администрирования Microsoft Entra объединяет журналы различных типов событий входа, включая интерактивные, неинтерактивные и входы учетных записей служб. Эта агрегация предоставляет подробные сведения об использовании приложений ADAL в клиенте, чтобы вы могли полностью понять использование приложений ADAL и управлять их миграцией. Для более подробного анализа и более глубокого изучения данных входа в приложение ADAL вы можете включить рабочую книгу входов Microsoft Entra в вашем клиенте. Это средство поддерживает миграцию, предоставляя полные аналитические данные о входе.

API Microsoft Graph

Microsoft Graph можно использовать для идентификации приложений, которые необходимо перенести в MSAL. Для начала см. статью «Как использовать Microsoft Graph с рекомендациями Microsoft Entra».

1. Войдите в Graph Explorer.
2. Выберите метод HTTP GET в раскрывающемся списке.
3. Установите версию API на beta.
4. Выполните следующий запрос в Microsoft Graph, заменив заполнитель идентификатором вашего клиента <TENANT_ID>. Этот запрос возвращает список затронутых ресурсов в арендаторе.
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

Следующий ответ содержит сведения о затронутых ресурсах с помощью ADAL:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}",
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

В Windows PowerShell можно выполнить следующий набор команд. Эти команды используют пакет SDK Microsoft Graph PowerShell для получения списка всех приложений в клиенте, использующих ADAL.

1. Откройте Windows PowerShell от имени администратора.

2. Подключение к Microsoft Graph:

   • Connect-MgGraph -Tenant <YOUR_TENANT_ID>

3. Выберите профиль:

   • Select-MgProfile beta

4. Получите список рекомендаций:

   • Get-MgDirectoryRecommendation | Format-List

5. Обновите код ваших приложений, следуя инструкциям как перейти на MSAL.

Часто задаваемые вопросы

Ознакомьтесь со следующими распространенными вопросами, которые могут возникнуть при миграции с ADAL на MSAL.

Почему требуется 30 дней, чтобы изменить статус на 'завершено'?

Чтобы уменьшить ложные срабатывания, служба использует 30-дневный интервал для запросов ADAL. Таким образом, сервис может работать несколько дней без запроса ADAL, чтобы не быть помеченным как завершённый.

Как мне определить владельца приложения в моем арендаторе?

Вы можете найти владельца по сведениям о рекомендации. Выберите ресурс, который переносит вас в сведения о приложении. Перейдите к разделу "Управление>владельцами", чтобы просмотреть текущих владельцев. Для просмотра владельцев требуется по крайней мере роль Администратора приложения.

Может ли состояние измениться от завершенного к активному?

Да. Если приложение было отмечено как завершенное , поэтому запросы ADAL не были сделаны в течение 30 дней, это приложение будет отмечено как завершенное. Если служба обнаруживает новый запрос ADAL, состояние меняется обратно на активное. Рекомендации могут обновляться только системой.

Как интегрировать рабочую книгу входов Microsoft Entra?

Подробные инструкции можно найти в рабочей книге входов Microsoft Entra.

Почему количество приложений ADAL отличается в рабочей книге входов и рекомендациях?

• Агрегированные данные и транзакционные данные: рекомендация агрегирует данные за последние 30 дней, предоставляя сводное представление действий приложения. Наоборот, журнал входов детализирует каждый запрос на вход как транзакцию, что позволяет провести более подробный анализ.

• Гибкость интервала времени: Данные журнала входов можно отфильтровать от последних 30 минут до 30 дней. Такая гибкость при выборе интервала времени может привести к вариациям в количестве заявок, потенциально искажая результаты.

• Доступ к историческим данным: просмотр данных старше 7 дней в рабочей книге входов требует подписки на клиента Microsoft Entra ID P1 или P2. Это требование влияет на объем исторических данных, доступных по сравнению с агрегированными данными в рекомендации.

Связанный контент

• Получите список приложений с использованием ADAL в вашем клиенте
• Узнайте, как использовать рекомендации Microsoft Entra
• Изучение свойств API Microsoft Graph для рекомендаций