Raccomandazione di Microsoft Entra: Eseguire la migrazione da Azure Active Directory Authentication Library alle librerie di autenticazione Microsoft
Le raccomandazioni di Microsoft Entra sono una funzionalità che offre informazioni dettagliate personalizzate e indicazioni utili per allineare il tenant alle procedure consigliate.
Questo articolo illustra la raccomandazione di eseguire la migrazione da Azure Active Directory Authentication Library (ADAL) alle librerie di autenticazione Microsoft. Questa raccomandazione viene chiamata AdalToMsalMigration nell'API recommendations in Microsoft Graph.
Descrizione
ADAL è attualmente previsto per la fine del supporto il 30 giugno 2023. È consigliabile eseguire la migrazione dei clienti a Microsoft Authentication Libraries (MSAL), che sostituisce ADAL.
Questa raccomandazione viene visualizzata se nel tenant sono presenti applicazioni che usano ancora ADAL. Il servizio contrassegna qualsiasi applicazione nel tenant che effettua una richiesta di token da ADAL come applicazione ADAL. Le applicazioni che usano ADAL e MSAL sono contrassegnate come applicazioni ADAL.
Quando un'applicazione viene identificata come applicazione ADAL, ogni giorno la raccomandazione esamina 30 giorni per le nuove richieste ADAL provenienti dalle applicazioni all'interno del tenant. Se una raccomandazione ADAL non invia nuove richieste ADAL per 30 giorni, la raccomandazione viene contrassegnata come completata. Al termine di tutte le applicazioni, lo stato della raccomandazione diventa completato. Se viene rilevata una nuova richiesta ADAL per un'applicazione completata, lo stato torna attivo.
Valore
MSAL è progettato per abilitare una soluzione sicura senza che gli sviluppatori debbano preoccuparsi dei dettagli di implementazione. MSAL semplifica il modo in cui i token vengono acquisiti, gestiti, memorizzati nella cache e aggiornati. MSAL usa anche le procedure consigliate per la resilienza. Per altre informazioni sulla migrazione a MSAL, vedere Eseguire la migrazione di applicazioni a MSAL.
Le app esistenti che usano ADAL continueranno a funzionare dopo la data di fine del supporto.
Piano d'azione
Il primo passaggio per eseguire la migrazione delle app da ADAL a MSAL consiste nell'identificare tutte le applicazioni nel tenant che attualmente usano ADAL. È possibile identificare le app a livello di codice con l'API Microsoft Graph o Microsoft Graph PowerShell SDK. I passaggi per Microsoft Graph PowerShell SDK sono disponibili nei dettagli della raccomandazione nell'interfaccia di amministrazione di Microsoft Entra.
È possibile usare Microsoft Graph per identificare le app di cui è necessario eseguire la migrazione a MSAL. Per iniziare, vedere Come usare Microsoft Graph con le raccomandazioni di Microsoft Entra.
- Accedere a Graph Explorer.
- Selezionare GET come metodo HTTP dall'elenco a discesa.
- Impostare la versione dell'API su beta.
- Eseguire la query seguente in Microsoft Graph, sostituendo il segnaposto con l'ID
<TENANT_ID>tenant. Questa query restituisce un elenco delle risorse interessate nel tenant.https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources
La risposta seguente fornisce i dettagli delle risorse interessate tramite ADAL:
{
"id": "<APPLICATION_ID>",
"subjectId": "<APPLICATION_ID>",
"recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
"resourceType": "app",
"addedDateTime": "2023-03-29T09:29:01.1708723Z",
"postponeUntilDateTime": null,
"lastModifiedDateTime": "0001-01-01T00:00:00Z",
"lastModifiedBy": "System",
"displayName": "sample-adal-app",
"owner": null,
"rank": 1,
"portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
"apiUrl": null,
"status": "completedBySystem",
"additionalDetails": [
{
"key": "Library",
"value": "ADAL.Net"
}
]
}
Domande frequenti
Esaminare le domande comuni seguenti mentre si lavora con la raccomandazione ADAL to MSAL.
Perché sono necessari 30 giorni per modificare lo stato in completato?
Per ridurre i falsi positivi, il servizio usa una finestra di 30 giorni per le richieste ADAL. In questo modo, il servizio può andare diversi giorni senza una richiesta ADAL e non essere contrassegnato erroneamente come completato.
Come sono state identificate le applicazioni ADAL prima del rilascio della raccomandazione?
La cartella di lavoro di accesso di Microsoft Entra è un metodo alternativo per identificare queste app. La cartella di lavoro è ancora disponibile, ma l'uso della cartella di lavoro richiede prima di tutto i log di accesso in streaming a Monitoraggio di Azure. La raccomandazione DA ADAL a MSAL è predefinita. Inoltre, la cartella di lavoro degli accessi non acquisisce gli accessi dell'entità servizio, mentre la raccomandazione lo fa.
Perché il numero di applicazioni ADAL è diverso nella cartella di lavoro e nella raccomandazione?
Poiché la raccomandazione acquisisce gli accessi dell'entità servizio e la cartella di lavoro non lo fa, la raccomandazione potrebbe mostrare più applicazioni ADAL.
Ricerca per categorie identificare il proprietario di un'applicazione nel tenant?
È possibile individuare il proprietario dai dettagli della raccomandazione. Selezionare la risorsa, che consente di visualizzare i dettagli dell'applicazione. Selezionare Proprietari dal menu di spostamento.
Lo stato può passare da completato a attivo?
Sì. Se un'applicazione è stata contrassegnata come completata, quindi non sono state effettuate richieste ADAL durante la finestra di 30 giorni, tale applicazione verrà contrassegnata come completa. Se il servizio rileva una nuova richiesta ADAL, lo stato torna attivo.