Microsoft Entra の推奨事項: Azure Active Directory 認証ライブラリから Microsoft 認証ライブラリに移行します
Microsoft Entra の推奨事項は、パーソナライズされた分析情報と、推奨されるベスト プラクティスにテナントを整合させるために実行できるガイダンスを提供する機能です。
この記事では、Azure Active Directory 認証ライブラリ (ADAL) から Microsoft 認証ライブラリに移行するという推奨事項について説明します。 この推奨事項は、Microsoft Graph の推奨事項 API では AdalToMsalMigration と呼ばれます。
説明
ADAL は現在、2023 年 6 月 30 日でのサポート終了が予定されています。 ADAL に代わる Microsoft 認証ライブラリ (MSAL) への移行をお客様にお勧めします。
この推奨事項が表示されるのは、まだ ADAL を使用するアプリケーションがテナントにある場合です。 サービスは、ADAL からトークン要求を行うテナント内のすべてのアプリケーションを、ADAL アプリケーションとしてマークします。 ADAL と MSAL の両方を使用するアプリケーションは、ADAL アプリケーションとしてマークされます。
アプリケーションが ADAL アプリケーションとして識別されると、推奨事項は、毎日、過去 30 日間について、テナント内のアプリケーションからの新しい ADAL 要求を調べます。 ADAL の推奨事項から新しい ADAL 要求が 30 日間送信されていない場合、その推奨事項は完了としてマークされます。 すべてのアプリケーションが完了すると、推奨事項の状態は完了に変わります。 完了したアプリケーションに対する新しい ADAL 要求が検出された場合、状態はアクティブに戻ります。
値
MSAL は、開発者が実装の詳細について心配することなく、セキュリティで保護されたソリューションを実現できるように設計されています。 MSAL を使用すると、トークンの取得、管理、キャッシュ、更新の方法が簡略化されます。 MSAL では、回復性のベスト プラクティスも使用されます。 MSAL への移行の詳細については、「アプリケーションを MSAL に移行する」を参照してください。
ADAL を使用する既存のアプリは、サポート終了日が過ぎても引き続き作動します。
行動計画
アプリを ADAL から MSAL に移行するための最初の手順は、現在 ADAL を使用しているテナント内のすべてのアプリケーションを特定することです。 Microsoft Graph API または Microsoft Graph PowerShell SDK を使用して、プログラムでアプリを識別できます。 Microsoft Graph PowerShell SDK の手順は、Microsoft Entra 管理センターの推奨事項の詳細に記載されています。
Microsoft Graph を使用して、MSAL に移行する必要があるアプリを特定できます。 作業を開始するには、「Microsoft Entraの推奨事項で Microsoft Graph を使用する方法」を参照してください。
- グラフ エクスプローラーにサインインします
- ドロップダウンから HTTP メソッドとして [GET] を選択します。
- API バージョンを [ベータ] に設定します。
- Microsoft Graph で次のクエリを実行し、
<TENANT_ID>プレースホルダーをテナント ID で置き換えます。 このクエリは、テナント内の影響を受けるリソースの一覧を返します。https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources
次の応答では、ADAL を使用している影響を受けるリソースの詳細を示しています。
{
"id": "<APPLICATION_ID>",
"subjectId": "<APPLICATION_ID>",
"recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
"resourceType": "app",
"addedDateTime": "2023-03-29T09:29:01.1708723Z",
"postponeUntilDateTime": null,
"lastModifiedDateTime": "0001-01-01T00:00:00Z",
"lastModifiedBy": "System",
"displayName": "sample-adal-app",
"owner": null,
"rank": 1,
"portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
"apiUrl": null,
"status": "completedBySystem",
"additionalDetails": [
{
"key": "Library",
"value": "ADAL.Net"
}
]
}
よく寄せられる質問
ADAL から MSAL への移行の推奨事項を使用するときは、次の一般的な質問を確認してください。
状態を完了に変更するのに 30 日かかるのはなぜですか?
擬陽性を減らすため、サービスでは ADAL 要求に対して 30 日の期間が使われます。 これにより、サービスは ADAL 要求がなくても数日間動作でき、誤って完了としてマークされることはありません。
推奨事項がリリースされる前に、ADAL アプリケーションはどのように識別されましたか?
Microsoft Entra サインイン ブックは、これらのアプリを識別するための代替の方法でした。 ユーザーはブックを引き続き使用できますが、ブックを使うには、まず Azure Monitor にサインイン ログをストリーミングする必要があります。 ADAL から MSAL への推奨事項は、何もしなくても動作します。 さらに、サインイン ブックではサービス プリンシパルのサインインはキャプチャされませんが、推奨事項ではキャプチャされます。
ブックと推奨事項で ADAL アプリケーションの数が異なるのはなぜですか?
サービス プリンシパルのサインインが推奨事項ではキャプチャされ、ブックではキャプチャされないため、推奨事項の方が ADAL アプリケーションが多く表示される場合があります。
テナント内のアプリケーションの所有者を識別するにはどうすればよいですか?
推奨事項の詳細から所有者を見つけることができます。 リソースを選択すると、アプリケーションの詳細が表示されます。 ナビゲーション メニューから [所有者] を選択します。
状態を "完了" から "アクティブ" に変更することはできますか?
はい。 アプリケーションが完了したものとマークされた場合、つまり 30 日間 ADAL 要求が行われないと、そのアプリケーションは完了とマークされます。 サービスで新しい ADAL 要求が検出されると、状態は "アクティブ" に戻されます。