Zalecenie firmy Microsoft Entra: migrowanie z biblioteki uwierzytelniania usługi Azure Active Directory do bibliotek uwierzytelniania firmy Microsoft
Zalecenia firmy Microsoft Entra to funkcja, która zapewnia spersonalizowane szczegółowe informacje i wskazówki umożliwiające podejmowanie działań w celu dostosowania dzierżawy do zalecanych najlepszych rozwiązań.
W tym artykule opisano zalecenie dotyczące migracji z bibliotek uwierzytelniania usługi Azure Active Directory (ADAL) do bibliotek uwierzytelniania firmy Microsoft. To zalecenie jest wywoływane AdalToMsalMigration w interfejsie API zaleceń w programie Microsoft Graph.
opis
Biblioteka ADAL jest obecnie planowana na zakończenie wsparcia w dniu 30 czerwca 2023 r. Zalecamy, aby klienci migrowali do bibliotek uwierzytelniania firmy Microsoft (MSAL), które zastępują bibliotekę ADAL.
To zalecenie jest wyświetlane, jeśli dzierżawa ma aplikacje, które nadal używają biblioteki ADAL. Usługa oznacza dowolną aplikację w dzierżawie, która wysyła żądanie tokenu z biblioteki ADAL jako aplikację biblioteki ADAL. Aplikacje korzystające zarówno z bibliotekI ADAL, jak i MSAL są oznaczone jako aplikacje ADAL.
Gdy aplikacja jest identyfikowana jako aplikacja biblioteki ADAL, każdego dnia zalecenie zwraca 30 dni dla wszelkich nowych żądań biblioteki ADAL z aplikacji w dzierżawie. Jeśli zalecenie biblioteki ADAL nie wysyła żadnych nowych żądań biblioteki ADAL przez 30 dni, zalecenie zostanie oznaczone jako ukończone. Po zakończeniu wszystkich aplikacji stan rekomendacji zmieni się na ukończony. Jeśli nowe żądanie biblioteki ADAL zostanie wykryte dla aplikacji, która została ukończona, stan zmieni się z powrotem na aktywny.
Wartość
Biblioteka MSAL została zaprojektowana w celu umożliwienia bezpiecznego rozwiązania bez konieczności martwienia się o szczegóły implementacji. Biblioteka MSAL upraszcza sposób uzyskiwania, zarządzania, buforowania i odświeżania tokenów. Biblioteka MSAL używa również najlepszych rozwiązań dotyczących odporności. Aby uzyskać więcej informacji na temat migracji do biblioteki MSAL, zobacz Migrowanie aplikacji do biblioteki MSAL.
Istniejące aplikacje korzystające z biblioteki ADAL będą nadal działać po dacie zakończenia pomocy technicznej.
Plan działania
Pierwszym krokiem migracji aplikacji z biblioteki ADAL do biblioteki MSAL jest zidentyfikowanie wszystkich aplikacji w dzierżawie, które obecnie korzystają z biblioteki ADAL. Aplikacje można zidentyfikować programowo za pomocą interfejsu API programu Microsoft Graph lub zestawu Microsoft Graph PowerShell SDK. Kroki zestawu Microsoft Graph PowerShell SDK znajdują się w szczegółach rekomendacji w centrum administracyjnym firmy Microsoft Entra.
Program Microsoft Graph umożliwia identyfikowanie aplikacji, które muszą zostać zmigrowane do biblioteki MSAL. Aby rozpocząć, zobacz Jak używać programu Microsoft Graph z zaleceniami firmy Microsoft Entra.
- Zaloguj się do Eksploratora programu Graph.
- Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.
- Ustaw wersję interfejsu API na wersję beta.
- Uruchom następujące zapytanie w programie Microsoft Graph, zastępując
<TENANT_ID>symbol zastępczy identyfikatorem dzierżawy. To zapytanie zwraca listę zasobów, których dotyczy ten wpływ w dzierżawie.https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources
Poniższa odpowiedź zawiera szczegółowe informacje o zasobach, których dotyczy ten wpływ, przy użyciu biblioteki ADAL:
{
"id": "<APPLICATION_ID>",
"subjectId": "<APPLICATION_ID>",
"recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
"resourceType": "app",
"addedDateTime": "2023-03-29T09:29:01.1708723Z",
"postponeUntilDateTime": null,
"lastModifiedDateTime": "0001-01-01T00:00:00Z",
"lastModifiedBy": "System",
"displayName": "sample-adal-app",
"owner": null,
"rank": 1,
"portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
"apiUrl": null,
"status": "completedBySystem",
"additionalDetails": [
{
"key": "Library",
"value": "ADAL.Net"
}
]
}
Często zadawane pytania
Zapoznaj się z następującymi często zadawanymi pytaniami podczas pracy z zaleceniem biblioteki ADAL do biblioteki MSAL.
Dlaczego zmiana stanu na ukończone trwa 30 dni?
Aby zmniejszyć liczbę wyników fałszywie dodatnich, usługa używa 30-dniowego okna dla żądań biblioteki ADAL. Dzięki temu usługa może przejść kilka dni bez żądania biblioteki ADAL i nie być fałszywie oznaczona jako ukończona.
W jaki sposób aplikacje biblioteki ADAL zostały zidentyfikowane przed wydaniem zalecenia?
Skoroszyt logowania w usłudze Microsoft Entra był alternatywną metodą identyfikowania tych aplikacji. Skoroszyt jest nadal dostępny, ale korzystanie ze skoroszytu wymaga najpierw przesyłania strumieniowego dzienników logowania do usługi Azure Monitor. Zalecenie biblioteki ADAL do biblioteki MSAL działa poza polem. Ponadto skoroszyt logowania nie przechwytuje logowania jednostki usługi, podczas gdy zalecenie nie jest obsługiwane.
Dlaczego liczba aplikacji biblioteki ADAL różni się w skoroszycie i w rekomendacji?
Ponieważ zalecenie przechwytuje logowania jednostki usługi, a skoroszyt nie, zalecenie może zawierać więcej aplikacji biblioteki ADAL.
Jak mogę zidentyfikować właściciela aplikacji w mojej dzierżawie?
Możesz zlokalizować właściciela na podstawie szczegółów rekomendacji. Wybierz zasób, który spowoduje przejście do szczegółów aplikacji. Wybierz pozycję Właściciele z menu nawigacji.
Czy stan może ulec zmianie z ukończonego na aktywny?
Tak. Jeśli aplikacja została oznaczona jako ukończona — więc żadne żądania biblioteki ADAL nie zostały wykonane w ciągu 30 dni — ta aplikacja zostanie oznaczona jako ukończona. Jeśli usługa wykryje nowe żądanie biblioteki ADAL, stan zmieni się z powrotem na aktywny.