Rekomendasi Microsoft Entra: Migrasi dari Pustaka Autentikasi Azure Active Directory ke Pustaka Autentikasi Microsoft

Rekomendasi Microsoft Entra adalah fitur yang memberi Anda wawasan yang dipersonalisasi dan panduan yang dapat ditindaklanjuti untuk menyelaraskan penyewa Anda dengan praktik terbaik yang direkomendasikan.

Artikel ini membahas rekomendasi untuk bermigrasi dari Azure Active Directory Authentication Library (ADAL) ke Microsoft Authentication Libraries (MSAL). Rekomendasi ini dipanggil AdalToMsalMigration dalam API rekomendasi di Microsoft Graph.

Deskripsi

Rekomendasi 'migrasi dari ADAL ke MSAL' dibuat untuk meningkatkan kesadaran dan memberi tahu Anda tentang semua aplikasi menggunakan ADAL dalam penyewa Anda. Rekomendasi ini dipicu untuk penyewa dengan aplikasi menggunakan ADAL. Ini memberi label aplikasi apa pun yang meminta token melalui ADAL sebagai "aplikasi ADAL," termasuk aplikasi yang menggunakan ADAL dan MSAL.

Azure Active Directory Authentication Library (ADAL) tidak digunakan lagi. Kami sangat menyarankan untuk bermigrasi ke Microsoft Authentication Library (MSAL), yang menggantikan ADAL. Microsoft tidak lagi merilis fitur baru dan perbaikan keamanan pada ADAL. Aplikasi yang menggunakan ADAL tidak akan dapat menggunakan fitur keamanan terbaru, sehingga rentan terhadap ancaman keamanan di masa mendatang. Jika Anda memiliki aplikasi yang sudah ada yang menggunakan ADAL, pastikan untuk memigrasikannya ke MSAL.

Cara kerjanya

Sistem memeriksa setiap hari untuk permintaan token ADAL baru selama 30 hari terakhir. Jika aplikasi tidak membuat permintaan baru selama 30 hari, status rekomendasinya ditandai sebagai selesai. Status rekomendasi keseluruhan diperbarui menjadi "selesai" setelah semua aplikasi memenuhi kriteria ini. Jika permintaan ADAL baru terdeteksi untuk aplikasi yang telah selesai sebelumnya, statusnya akan kembali ke "aktif."

Nilai

MSAL dirancang untuk memungkinkan solusi yang aman tanpa pengembang harus khawatir tentang detail implementasi. MSAL menyederhanakan bagaimana token diperoleh, dikelola, di-cache, dan disegarkan. MSAL juga menggunakan praktik terbaik untuk ketahanan. Untuk informasi selengkapnya tentang skenario yang didukung MSAL, lihat Memigrasikan aplikasi ke MSAL.

Rencana aksi

Untuk mengidentifikasi dan mendapatkan detail semua aplikasi di penyewa Anda yang saat ini menggunakan ADAL, Anda bisa menggunakan Buku Kerja Masuk. Untuk mendapatkan daftar semua aplikasi secara terprogram, Anda juga dapat menggunakan Microsoft Graph API atau Microsoft Graph PowerShell SDK.

Buku Kerja Masuk

Buku Kerja masuk di pusat admin Microsoft Entra mengonsolidasikan log dari berbagai jenis peristiwa masuk, termasuk masuk interaktif, non-interaktif, dan perwakilan layanan. Agregasi ini menawarkan wawasan terperinci tentang penggunaan aplikasi ADAL di seluruh penyewa Anda untuk membantu Anda sepenuhnya memahami dan mengelola migrasi aplikasi ADAL Anda. Untuk analisis yang lebih rinci dan investigasi yang lebih mendalam tentang data masuk aplikasi ADAL, Anda dapat mengaktifkan buku kerja masuk Microsoft Entra di penyewa Anda. Alat ini mendukung migrasi dengan memberikan wawasan data masuk yang komprehensif.

API Microsoft Graph

Anda dapat menggunakan Microsoft Graph untuk mengidentifikasi aplikasi yang perlu dimigrasikan ke MSAL. Untuk memulai, lihat Cara menggunakan Microsoft Graph dengan rekomendasi Microsoft Entra.

1. Masuk ke Graph Explorer.
2. Pilih GET sebagai metode HTTP dari menu dropdown.
3. Atur versi API ke beta.
4. Jalankan kueri berikut di Microsoft Graph, ganti <TENANT_ID> tempat penampung dengan ID penyewa Anda. Kueri ini mengembalikan daftar sumber daya yang terkena dampak di penyewa Anda.
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

Respons berikut memberikan detail sumber daya yang terkena dampak menggunakan ADAL:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}",
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

Anda dapat menjalankan sekumpulan perintah berikut di Windows PowerShell. Perintah ini menggunakan Microsoft Graph PowerShell SDK untuk mendapatkan daftar semua aplikasi di penyewa Anda yang menggunakan ADAL.

1. Buka Windows PowerShell sebagai administrator.

2. Sambungkan ke Microsoft Graph:

   • Connect-MgGraph-Tenant <YOUR_TENANT_ID>

3. Pilih profil Anda:

   • Select-MgProfile beta

4. Dapatkan daftar rekomendasi Anda:

   • Get-MgDirectoryRecommendation | Format-List

5. Perbarui kode untuk aplikasi Anda menggunakan instruksi di Cara bermigrasi ke MSAL.

Tanya jawab umum

Tinjau pertanyaan umum berikut saat Anda mengerjakan migrasi ADAL ke MSAL.

Mengapa diperlukan waktu 30 hari untuk mengubah status menjadi selesai?

Untuk mengurangi positif palsu, layanan menggunakan jendela 30 hari untuk permintaan ADAL. Dengan cara ini, layanan dapat berjalan beberapa hari tanpa permintaan ADAL dan tidak ditandai dengan salah sebagai selesai.

Bagaimana cara mengidentifikasi pemilik aplikasi di penyewa saya?

Anda dapat menemukan pemilik dari detail rekomendasi. Pilih sumber daya, yang membawa Anda ke detail aplikasi. Buka Kelola>Pemilik untuk melihat pemilik saat ini. Melihat pemilik memerlukan setidaknya peran Administrator Aplikasi.

Bisakah status berubah dari selesai menjadi aktif?

Ya. Jika aplikasi ditandai sebagai selesai - sehingga tidak ada permintaan ADAL yang dibuat selama jendela 30 hari - aplikasi tersebut akan ditandai sebagai selesai. Jika layanan mendeteksi permintaan ADAL baru, status berubah kembali menjadi aktif. Rekomendasi hanya dapat diperbarui oleh sistem.

Bagaimana cara mengintegrasikan buku kerja masuk Microsoft Entra?

Anda dapat menemukan langkah-langkah terperinci dalam buku kerja rincian masuk Microsoft Entra.

Mengapa jumlah aplikasi ADAL berbeda dalam buku kerja masuk dan rekomendasi?

• Data Agregat vs. Data Transaksional: Rekomendasi menggabungkan data selama 30 hari terakhir, memberikan tampilan ringkasan aktivitas aplikasi. Sebaliknya, buku kerja rincian masuk merinci setiap permintaan masuk sebagai transaksi, yang memungkinkan analisis yang lebih rinci.

• Fleksibilitas Kerangka Waktu: Data buku kerja masuk dapat difilter dari baru-baru ini selama 30 menit terakhir hingga 30 hari. Fleksibilitas dalam memilih jangka waktu ini dapat menyebabkan variasi dalam jumlah aplikasi, berpotensi mengubah hasilnya.

• Akses ke Data Historis: Menampilkan data yang lebih lama dari 7 hari dalam buku kerja rincian masuk memerlukan langganan penyewa Microsoft Entra ID P1 atau P2. Persyaratan ini memengaruhi volume data historis yang dapat diakses dibandingkan dengan data agregat dalam rekomendasi.

Konten terkait

• Mendapatkan daftar aplikasi menggunakan ADAL di penyewa Anda
• Pelajari cara menggunakan rekomendasi Microsoft Entra
• Menjelajahi properti Microsoft Graph API untuk rekomendasi