Microsoft Entra-Empfehlung: Migrieren von der Azure Active Directory-Authentifizierungsbibliothek zu den Microsoft-Authentifizierungsbibliotheken

  • Artikel

Microsoft Entra-Empfehlungen sind eine Funktion, die Ihnen personalisierte Einblicke und handlungsrelevante Anleitungen bietet, um Ihren Mandanten mit empfohlenen Best Practices in Einklang zu bringen.

In diesem Artikel wird die Empfehlung zum Migrieren von der Azure Active Directory-Authentifizierungsbibliothek (ADAL) zu den Microsoft-Authentifizierungsbibliotheken behandelt. Diese Empfehlung wird in der Empfehlungen-API in Microsoft Graph AdalToMsalMigration genannt.

Beschreibung

Das Ende der Unterstützung für ADAL ist derzeit für den 30. Juni 2023 vorgesehen. Es wird empfohlen, dass Kunden zu Microsoft-Authentifizierungsbibliotheken (MSAL) migrieren, die ADAL ersetzen.

Diese Empfehlung wird angezeigt, wenn Ihr Mandant über Anwendungen verfügt, die noch ADAL verwenden. Der Dienst markiert jede Anwendung in Ihrem Mandanten, die eine Tokenanforderung von der ADAL als ADAL-Anwendung sendet. Anwendungen, die sowohl ADAL als auch MSAL verwenden, werden als ADAL-Anwendungen gekennzeichnet.

Wenn eine Anwendung als ADAL-Anwendung identifiziert wird, sucht die Empfehlung jeden Tag in den zurückliegenden 30 Tagen nach neuen ADAL-Anforderungen von Anwendungen im Mandanten. Wenn eine ADAL-Empfehlung 30 Tage lang keine neuen ADAL-Anforderungen sendet, wird die Empfehlung als abgeschlossen markiert. Wenn alle Anwendungen abgeschlossen sind, ändert sich der Empfehlungsstatus zu „Abgeschlossen”. Wenn eine neue ADAL-Anforderung für eine Anwendung erkannt wird, die als „Abgeschlossen” markiert war, ändert sich der Status wieder zu „Aktiv”.

Wert

MSAL ist konzeptionell für eine sichere Lösung ausgelegt, ohne dass Entwickler sich über die Implementierungsdetails Gedanken machen müssen. MSAL vereinfacht das Abrufen, Verwalten, Zwischenspeichern und Aktualisieren von Token. MSAL verwendet außerdem bewährte Methoden zu Resilienzzwecken. Weitere Informationen zur Migration zu MSAL finden Sie unter Migrieren von Anwendungen zu MSAL.

Vorhandene Anwendungen, die ADAL verwenden, funktionieren auch nach dem Ende des Supports weiterhin.

Maßnahmenplan

Der erste Schritt zum Migrieren Ihrer Apps von ADAL zu MSAL besteht darin, alle Anwendungen in Ihrem Mandanten zu identifizieren, die derzeit ADAL verwenden. Sie können Ihre Apps programmgesteuert mit der Microsoft Graph-API oder dem Microsoft Graph PowerShell SDK identifizieren. Die Schritte für das Microsoft Graph PowerShell SDK finden Sie in den Details der Empfehlung im Microsoft Entra Admin Center.

Sie können Microsoft Graph verwenden, um Apps zu identifizieren, die zu MSAL migriert werden müssen. Erste Schritte finden Sie unter Verwenden von Microsoft Graph mit Microsoft Entra-Empfehlungen.

  1. Melden Sie sich bei Graph Explorer an.
  2. Wählen Sie in der Dropdownliste GET als HTTP-Methode aus.
  3. Legen Sie für die API-Version Beta fest.
  4. Führen Sie die folgende Abfrage in Microsoft Graph aus, und ersetzen Sie dabei den Platzhalter <TENANT_ID> durch Ihre Mandanten-ID. Diese Abfrage gibt eine Liste der betroffenen Ressourcen in Ihrem Mandanten zurück.
    • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

Die folgende Antwort enthält Details zu den betroffenen Ressourcen, die ADAL verwenden:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Häufig gestellte Fragen

Lesen Sie die folgenden häufigen Fragen, während Sie mit der Empfehlung zur Migration von ADAL zu MSAL arbeiten.

Warum dauert es 30 Tage, bis der Status „Abgeschlossen” lautet?

Um falsch positive Ergebnisse zu reduzieren, verwendet der Dienst ein 30-Tage-Fenster für ADAL-Anforderungen. Auf diese Weise können mehrere Tage vergehen, an denen keine ADAL-Anforderung für den Dienst besteht, und dennoch wird der Dienst nicht fälschlicherweise als abgeschlossen markiert.

Wie wurden ADAL-Anwendungen identifiziert, bevor die Empfehlung veröffentlicht wurde?

Die Microsoft Entra-Arbeitsmappe mit Anmeldungen stellte eine alternative Methode zum Identifizieren dieser Apps dar. Die Arbeitsmappe steht Ihnen weiterhin zur Verfügung. Um sie zu verwenden, müssen jedoch zuerst Anmeldeprotokolle an Azure Monitor gestreamt werden. Die Empfehlung zur Migration von ADAL zu MSAL funktioniert sofort. Außerdem werden in der Arbeitsmappe mit Anmeldungen keine Dienstprinzipalanmeldungen erfasst, in der Empfehlunghingegen schon.

Warum unterscheidet sich die Anzahl der ADAL-Anwendungen in der Arbeitsmappe und der Empfehlung?

Da die Empfehlung Dienstprinzipalanmeldungen erfasst, die Arbeitsmappe aber nicht, zeigt die Empfehlung möglicherweise mehr ADAL-Anwendungen an.

Wie identifiziere ich Besitzer*innen von Anwendungen in meinem Mandanten?

Sie finden die Besitzer*innen in den Empfehlungsdetails. Wählen Sie die Ressource aus. Damit gelangen Sie zu den Anwendungsdetails. Wählen Sie im Navigationsmenü die Option Besitzer aus.

Kann sich der Status von Abgeschlossen zu Aktiv ändern?

Ja. Wenn eine Anwendung als abgeschlossen markiert wurde (während des 30-Tage-Fensters wurden keine ADAL-Anforderungen gestellt), wird diese Anwendung als abgeschlossen markiert. Wenn der Dienst eine neue ADAL-Anforderung erkennt, ändert sich der Status wieder zu Aktiv.

Nächste Schritte