Microsoft Entra 권장 사항: Azure Active Directory 인증 라이브러리에서 Microsoft 인증 라이브러리로 마이그레이션

아티클
10/28/2023

Microsoft Entra 권장 사항은 테넌트를 권장 모범 사례에 맞게 맞춤화된 인사이트와 실행 가능한 지침을 제공하는 기능입니다.

이 문서에서는 ADAL(Azure Active Directory 인증 라이브러리)에서 Microsoft 인증 라이브러리로 마이그레이션하기 위한 권장 사항을 다룹니다. 이 권장 사항은 Microsoft Graph의 권장 사항 API에서 AdalToMsalMigration이라고 합니다.

설명

ADAL은 현재 2023년 6월 30일에 지원이 종료될 예정입니다. 고객은 ADAL을 대체하는 MSAL(Microsoft 인증 라이브러리)로 마이그레이션하는 것이 좋습니다.

이 권장 사항은 테넌트에 여전히 ADAL을 사용하는 애플리케이션이 있는 경우 표시됩니다. 서비스는 ADAL에서 토큰 요청을 만드는 테넌트 내의 모든 애플리케이션을 ADAL 애플리케이션으로 표시합니다. ADAL 및 MSAL을 모두 사용하는 애플리케이션은 ADAL 애플리케이션으로 표시됩니다.

애플리케이션이 ADAL 애플리케이션으로 식별되면 매일 권장 사항은 테넌트 내의 애플리케이션에서 새 ADAL 요청에 대해 30일을 되돌아봅니다. ADAL 권장 사항이 30일 동안 새 ADAL 요청을 보내지 않으면 권장 사항이 완료된 것으로 표시됩니다. 모든 애플리케이션이 완료되면 권장 상태는 완료됨으로 변경됩니다. 완료된 애플리케이션에 대한 새 ADAL 요청이 검색되면 상태 다시 활성으로 변경됩니다.

값

MSAL은 개발자가 구현 세부 정보를 걱정하지 않아도 안전한 솔루션을 사용할 수 있도록 설계되었습니다. MSAL은 토큰 획득, 관리, 캐시 및 새로 고침 방법을 간소화합니다. MSAL은 복원력에 대한 모범 사례도 사용합니다. MSAL로 마이그레이션하는 방법에 대한 자세한 내용은 애플리케이션을 MSAL로 마이그레이션을 참조하세요.

ADAL을 사용하는 기존 앱은 지원 종료 날짜 후에도 계속 작동합니다.

작업 계획

ADAL에서 MSAL로 앱을 마이그레이션하는 첫 번째 단계는 현재 ADAL을 사용하는 테넌트에서 모든 애플리케이션을 식별하는 것입니다. Microsoft Graph API 또는 Microsoft Graph PowerShell SDK를 사용하여 프로그래밍 방식으로 앱을 식별할 수 있습니다. Microsoft Graph PowerShell SDK에 대한 단계는 Microsoft Entra 관리 센터의 권장 사항 세부 정보에 제공됩니다.

Microsoft Graph API
Microsoft Graph PowerShell SDK

Microsoft Graph를 사용하여 MSAL로 마이그레이션해야 하는 앱을 식별할 수 있습니다. 시작하려면 Microsoft Entra 권장 사항과 함께 Microsoft Graph를 사용하는 방법을 참조하세요.

Graph Explorer에 로그인합니다.
드롭다운에서 HTTP 메서드로 GET를 선택합니다.
API 버전을 베타로 설정합니다.
Microsoft Graph에서 다음 쿼리를 실행하여 <TENANT_ID> 자리 표시자를 테넌트 ID로 바꿉니다. 이 쿼리는 테넌트의 영향을 받은 리소스 목록을 반환합니다.
- https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

다음 응답은 ADAL을 사용하여 영향을 받은 리소스의 세부 정보를 제공합니다.

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Windows PowerShell 다음 명령 집합을 실행할 수 있습니다. 이러한 명령은 Microsoft Graph PowerShell SDK를 사용하여 ADAL을 사용하는 테넌트의 모든 애플리케이션 목록을 가져옵니다.

관리자 권한으로 Windows PowerShell을 엽니다.
Microsoft Graph에 연결:
- Connect-MgGraph-Tenant <YOUR_TENANT_ID>
프로필 선택:
- Select-MgProfile beta
권장 사항 목록 가져오기:
- Get-MgDirectoryRecommendation | Format-List
MSAL로 마이그레이션하는 방법의 지침을 사용하여 앱의 코드를 업데이트합니다.

자주 묻는 질문

ADAL에서 MSAL로의 권장 사항을 작업할 때 다음과 같은 일반적인 질문을 검토합니다.

상태를 완료로 변경하는 데 30일이 걸리는 이유는 무엇인가요?

가양성을 줄이기 위해 서비스는 ADAL 요청에 대해 30일 기간을 사용합니다. 이렇게 하면 서비스가 ADAL 요청 없이 며칠 동안 진행되며 완료된 것으로 잘못 표시되지 않을 수 있습니다.

권장 사항이 릴리스되기 전에 ADAL 애플리케이션은 어떻게 식별되었나요?

Microsoft Entra 로그인 통합 문서가 이러한 앱을 식별하는 대체 방법이었습니다. 통합 문서를 계속 사용할 수 있지만 통합 문서를 사용하려면 먼저 Azure Monitor로 로그인 로그를 스트리밍해야 합니다. ADAL을 MSAL로 권장 사항은 기본으로 작동합니다. 또한 로그인 통합 문서는 권장 사항이 있는 동안 서비스 주체 로그인을 캡처하지 않습니다.

통합 문서 및 권장 사항에서 ADAL 애플리케이션 수가 다른 이유는 무엇인가요?

권장 사항은 서비스 주체 로그인을 캡처하고 통합 문서는 캡처하지 않으므로 권장 사항은 더 많은 ADAL 애플리케이션을 표시할 수 있습니다.

내 테넌트에서 애플리케이션의 소유자를 어떻게 식별할 수 있나요?

권장 사항 세부 정보에서 소유자를 찾을 수 있습니다. 애플리케이션 세부 정보로 이동하는 리소스를 선택합니다. 탐색 메뉴에서 소유자를 선택합니다.

상태가 완료됨에서 활성으로 바뀔 수 있나요?

예. 애플리케이션이 완료된 것으로 표시되었으므로 30일 동안 ADAL 요청이 수행되지 않은 경우 해당 애플리케이션은 완료로 표시됩니다. 서비스에서 새 ADAL 요청을 감지하면 상태는 다시 활성으로 변경됩니다.

다음을 통해 공유