Microsoft Entra-rekommendation: Migrera från Azure Active Directory-autentiseringsbiblioteket till Microsoft-autentiseringsbiblioteken

Microsoft Entra-rekommendationer är en funktion som ger dig anpassade insikter och användbar vägledning för att anpassa din klientorganisation till rekommenderade metodtips.

Den här artikeln beskriver rekommendationen att migrera från Azure Active Directory Authentication Library (ADAL) till Microsoft Authentication Libraries (MSAL). Den här rekommendationen anropas AdalToMsalMigration i API:et för rekommendationer i Microsoft Graph.

beskrivning

Rekommendationen "migrera från ADAL till MSAL" skapas för att öka medvetenheten och varna dig om alla program som använder ADAL i din klientorganisation. Den här rekommendationen utlöses för klientorganisationer med program som använder ADAL. Den etiketterar alla program som begär en token via ADAL som ett "ADAL-program", inklusive de program som använder både ADAL och MSAL.

Azure Active Directory Authentication Library (ADAL) har blivit inaktuellt. Vi rekommenderar starkt att du migrerar till Microsoft Authentication Library (MSAL), som ersätter ADAL. Microsoft släpper inte längre nya funktioner och säkerhetskorrigeringar på ADAL. Program som använder ADAL kommer inte att kunna använda de senaste säkerhetsfunktionerna, vilket gör dem sårbara för framtida säkerhetshot. Om du har befintliga program som använder ADAL ska du migrera dem till MSAL.

Hur det fungerar

Systemet söker dagligen efter nya ADAL-tokenbegäranden under de senaste 30 dagarna. Om ett program inte gör några nya begäranden på 30 dagar markeras rekommendationsstatusen som slutförd. Den övergripande rekommendationsstatusen uppdateras till "slutförd" när alla program uppfyller det här kriteriet. Om en ny ADAL-begäran identifieras för ett tidigare slutfört program återgår dess status till "aktiv".

Värde

MSAL är utformat för att möjliggöra en säker lösning utan att utvecklare behöver oroa sig för implementeringsinformationen. MSAL förenklar hur token hämtas, hanteras, cachelagras och uppdateras. MSAL använder också metodtips för motståndskraft. Mer information om scenarier som stöds av MSAL finns i Migrera program till MSAL.

Åtgärdsplan

Om du vill identifiera och få information om alla program i din klientorganisation som för närvarande använder ADAL kan du använda inloggningsarbetsbok. Om du vill hämta listan över alla appar programmatiskt kan du också använda Microsoft Graph API eller Microsoft Graph PowerShell SDK.

Inloggningsarbetsbok

Inloggningsarbetsboken i administrationscentret för Microsoft Entra konsoliderar loggar från olika typer av inloggningshändelser, inklusive interaktiva, icke-interaktiva och inloggningar med tjänstens huvudnamn. Den här aggregeringen ger detaljerade insikter om användningen av ADAL-program i klientorganisationen för att hjälpa dig att förstå och hantera migreringen av dina ADAL-program fullt ut. För en mer detaljerad analys och djupare undersökning av inloggningsdata för ADAL-appar kan du aktivera Microsoft Entra-inloggningsarbetsboken i din klientorganisation. Det här verktyget stöder migreringen genom att tillhandahålla omfattande insikter om inloggningsdata.

Microsoft Graph API

Du kan använda Microsoft Graph för att identifiera appar som behöver migreras till MSAL. Information om hur du kommer igång finns i Använda Microsoft Graph med Microsoft Entra-rekommendationer.

1. Logga in på Graph Explorer.
2. Välj GET som HTTP-metod i listrutan.
3. Ange API-versionen till betaversion.
4. Kör följande fråga i Microsoft Graph och <TENANT_ID> ersätt platshållaren med ditt klient-ID. Den här frågan returnerar en lista över de resurser som påverkas i din klientorganisation.
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

Följande svar innehåller information om de resurser som påverkas med hjälp av ADAL:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}",
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

Du kan köra följande uppsättning kommandon i Windows PowerShell. Dessa kommandon använder Microsoft Graph PowerShell SDK för att hämta en lista över alla program i din klientorganisation som använder ADAL.

1. Öppna Windows PowerShell som administratör.

2. Anslut till Microsoft Graph:

   • Connect-MgGraph -Tenant <YOUR_TENANT_ID>

3. Välj din profil:

   • Select-MgProfile beta

4. Hämta en lista över dina rekommendationer:

   • Get-MgDirectoryRecommendation | Format-List

5. Uppdatera koden för dina appar med hjälp av anvisningarna i Migrera till MSAL.

Vanliga frågor och svar

Läs följande vanliga frågor när du arbetar med ADAL till MSAL-migrering.

Varför tar det 30 dagar att ändra statusen till slutförd?

För att minska falska positiva identifieringar använder tjänsten ett 30-dagarsfönster för ADAL-begäranden. På så sätt kan tjänsten gå flera dagar utan en ADAL-begäran och inte felaktigt markeras som slutförd.

Hur gör jag för att identifiera ägaren av ett program i min klientorganisation?

Du kan hitta ägaren från rekommendationsinformationen. Välj resursen, som tar dig till programinformationen. Gå till Hantera>ägare för att visa de aktuella ägarna. Att visa ägarna kräver minst rollen Programadministratör .

Kan statusen ändras från slutförd till aktiv?

Ja. Om ett program har markerats som slutfört – så inga ADAL-begäranden gjordes under 30-dagarsfönstret – skulle programmet markeras som slutfört. Om tjänsten identifierar en ny ADAL-begäran ändras statusen tillbaka till aktiv. Rekommendationer kan bara uppdateras av systemet.

Hur kan jag integrera Microsoft Entra-inloggningsarbetsbok?

Du hittar de detaljerade stegen i Microsoft Entra-inloggningsarbetsboken.

Varför skiljer sig antalet ADAL-program i inloggningsarbetsboken och rekommendationen?

• Aggregerade data jämfört med transaktionsdata: Rekommendationen aggregerar data under de senaste 30 dagarna, vilket ger en sammanfattad vy över programaktiviteter. Omvänt beskriver inloggningsarbetsboken varje inloggningsbegäran som en transaktion, vilket möjliggör en mer detaljerad analys.

• Flexibilitet för tidsram: Inloggningsarbetsboksdata kan filtreras från så sent som de senaste 30 minuterna till upp till 30 dagar. Den här flexibiliteten vid val av tidsram kan leda till variationer i antalet program, vilket potentiellt kan förvränga resultatet.

• Åtkomst till historiska data: För att visa data som är äldre än 7 dagar i inloggningsarbetsboken krävs en Microsoft Entra ID P1- eller P2-klientprenumeration. Det här kravet påverkar mängden historiska data som är tillgängliga jämfört med aggregerade data i rekommendationen.

Relaterat innehåll

• Hämta en lista över appar med hjälp av ADAL i din klientorganisation
• Lär dig hur du använder Microsoft Entra-rekommendationer
• Utforska egenskaperna för Microsoft Graph API för rekommendationer