Microsoft Entra 建议:从 Azure Active Directory 身份验证库迁移到 Microsoft 身份验证库
Microsoft Entra 建议功能提供个性化的见解和可操作的指导,使你的租户与推荐的最佳做法保持一致。
本文介绍从 Azure Active Directory 身份验证库 (ADAL) 迁移到 Microsoft 身份验证库 (MSAL) 的建议。 此建议在 Microsoft Graph 的建议 API 中称为 AdalToMsalMigration
。
说明
创建“从 ADAL 迁移到 MSAL”建议是为了提高对租户内使用 ADAL 的所有应用程序的认识和警惕。 对于有应用程序使用 ADAL 的租户,将触发此建议。 它将任何通过 ADAL 请求令牌的应用程序标记为“ADAL 应用程序”,包括同时使用 ADAL 和 MSAL 的应用程序。
Azure Active Directory 身份验证库 (ADAL) 已弃用。 强烈建议迁移到取代 ADAL 的 Microsoft 身份验证库 (MSAL)。 Microsoft 不再在 ADAL 上发布新功能和安全修补程序。 使用 ADAL 的应用程序将无法利用最新的安全功能,从而容易受到将来的安全威胁的影响。 如果有使用 ADAL 的现有应用程序,请确保将其迁移到 MSAL。
工作原理
系统每天都会检查过去 30 天内是否有新的 ADAL 令牌请求。 如果应用程序在 30 天内未发出新请求,则其建议状态将标记为已完成。 所有应用程序都满足此条件后,总体建议状态会更新为“已完成”。 如果检测到之前已完成的应用程序有新的 ADAL 请求,其状态将恢复为“活动”。
值
MSAL 设计用来提供安全的解决方案,使开发人员无需担心实现细节。 MSAL 简化了获取、管理、缓存和刷新令牌的方式。 MSAL 还采用最佳做法以增强复原能力。 有关 MSAL 支持方案的详细信息,请参阅将应用程序迁移到 MSAL。
操作计划
若要识别和获取租户中当前正在使用 ADAL 的所有应用程序的详细信息,可以使用登录工作簿。 若要以编程方式获取所有应用的列表,还可以使用 Microsoft Graph API 或 Microsoft Graph PowerShell SDK。
Microsoft Entra 管理中心中的登录工作簿整合了各种类型的登录事件(包括交互式登录、非交互式登录和服务主体登录)的日志。这样的聚合可提供有关租户中 ADAL 应用程序的使用情况的详细见解,以帮助全面了解和管理 ADAL 应用程序的迁移。 若要对 ADAL 应用登录数据进行更详细的分析和更深入的调查,可以在租户中启用 Microsoft Entra 登录工作簿。 此工具通过提供全面的登录数据见解来支持迁移。
常见问题解答
在处理 ADAL 到 MSAL 迁移时,请查看以下常见问题。
为什么需要 30 天才能将状态更改为已完成?
为了减少误报,服务对 ADAL 请求使用了 30 天的时间范围。 这样,服务可以在没有 ADAL 请求的情况下运行几天,并且不会被错误地标记为已完成。
如何在租户中识别应用程序的所有者?
可以从建议详细信息中找到所有者。 选择资源,它将转到应用程序的详细信息。 转到“管理”>“所有者”以查看当前所有者。 查看所有者至少需要应用程序管理员角色。
状态是否可以从已完成更改为活动?
是的。 如果应用程序被标记为已完成 - 因此在 30 天的时间范围内没有提出 ADAL 请求 - 那么该应用程序将被标记为完成。 如果服务检测到新 ADAL 请求,状态将变回活动状态。 建议只能由系统更新。
如何集成 Microsoft Entra 登录工作簿?
详细步骤可参阅 Microsoft Entra 登录工作簿。
为什么登录工作簿中和建议中的 ADAL 应用程序数量不同?
聚合数据与事务数据:建议聚合了过去 30 天的数据,提供了应用程序活动的汇总视图。 相反,登录工作簿则以事务形式详细记录每个登录请求,从而进行更详细的分析。
期限灵活性:可以在从最近 30 分钟到最长 30 天的范围内对登录工作簿数据进行筛选。 这种选择期限的灵活性可能会导致应用程序计数的变化,从而可能会使结果出现偏差。
访问历史数据:在登录工作簿中查看超过 7 天的数据需要 Microsoft Entra ID P1 或 P2 租户订阅。 与建议中的聚合数据相比,此要求会影响可访问的历史数据量。