Aanbeveling voor Microsoft Entra: migreren van de Azure Active Directory Authentication Library naar de Microsoft Authentication Libraries

Microsoft Entra-aanbevelingen zijn een functie die u persoonlijke inzichten en bruikbare richtlijnen biedt om uw tenant af te stemmen op aanbevolen aanbevolen procedures.

In dit artikel wordt beschreven hoe u migreert van de Azure Active Directory Authentication Library (ADAL) naar de Microsoft Authentication Libraries (MSAL). Deze aanbeveling wordt aangeroepen AdalToMsalMigration in de aanbevelingen-API in Microsoft Graph.

Beschrijving

De aanbeveling 'Migreren van ADAL naar MSAL' wordt gemaakt om u bewust te maken van alle toepassingen die gebruikmaken van ADAL in uw tenant. Deze aanbeveling wordt geactiveerd voor tenants met toepassingen die gebruikmaken van ADAL. Het labelt elke toepassing die een token via ADAL aanvraagt als een 'ADAL-toepassing', met inbegrip van die toepassingen die zowel ADAL als MSAL gebruiken.

Azure Active Directory Authentication Library (ADAL) is afgeschaft. We raden u ten zeerste aan om te migreren naar de Microsoft Authentication Library (MSAL), waardoor ADAL wordt vervangen. Microsoft brengt geen nieuwe functies en beveiligingsoplossingen meer uit op ADAL. Toepassingen die ADAL gebruiken, kunnen niet gebruikmaken van de nieuwste beveiligingsfuncties, waardoor ze kwetsbaar zijn voor toekomstige beveiligingsrisico's. Als u bestaande toepassingen hebt die gebruikmaken van ADAL, moet u deze migreren naar MSAL.

Hoe het werkt

Het systeem controleert dagelijks op nieuwe ADAL-tokenaanvragen gedurende de afgelopen 30 dagen. Als een toepassing 30 dagen geen nieuwe aanvragen indient, wordt de aanbevelingsstatus gemarkeerd als voltooid. De algehele aanbevelingsstatus wordt bijgewerkt naar 'voltooid' zodra alle toepassingen aan dit criterium voldoen. Als een nieuwe ADAL-aanvraag wordt gedetecteerd voor een eerder voltooide toepassing, wordt de status teruggezet naar 'actief'.

Weergegeven als

MSAL is ontworpen om een veilige oplossing mogelijk te maken zonder dat ontwikkelaars zich bezig hoeven te houden met de implementatiedetails. MSAL vereenvoudigt hoe tokens worden verkregen, beheerd, in de cache opgeslagen en vernieuwd. MSAL maakt ook gebruik van aanbevolen procedures voor tolerantie. Zie Toepassingen migreren naar MSAL voor meer informatie over door MSAL ondersteunde scenario's.

Actieplan

Als u details wilt identificeren en ophalen van alle toepassingen in uw tenant die momenteel gebruikmaken van ADAL, kunt u De werkmap voor aanmeldingen gebruiken. Als u de lijst met alle apps programmatisch wilt ophalen, kunt u ook Microsoft Graph API of de Microsoft Graph PowerShell SDK gebruiken.

Aanmeldingswerkmap

De aanmeldingswerkmap in Azure Portal consolideert logboeken van verschillende typen aanmeldingsgebeurtenissen, waaronder interactieve, niet-interactieve en service-principal-aanmeldingen. Deze aggregatie biedt gedetailleerde inzichten in het gebruik van ADAL-toepassingen in uw tenant, zodat u de migratie van uw ADAL-toepassingen volledig kunt begrijpen en beheren. Voor een gedetailleerdere analyse en dieper onderzoek van aanmeldingsgegevens van ADAL-apps kunt u de werkmap Microsoft Entra-aanmeldingen inschakelen in uw tenant. Dit hulpprogramma ondersteunt de migratie door uitgebreide inzichten in aanmeldingsgegevens te bieden.

Microsoft Graph API

U kunt Microsoft Graph gebruiken om apps te identificeren die moeten worden gemigreerd naar MSAL. Zie Microsoft Graph gebruiken met Microsoft Entra-aanbevelingen om aan de slag te gaan.

1. Meld u aan bij Graph Explorer.
2. Selecteer GET als de HTTP-methode in de vervolgkeuzelijst.
3. Stel de API-versie in op bèta.
4. Voer de volgende query uit in Microsoft Graph, waarbij u de tijdelijke aanduiding vervangt door uw <TENANT_ID> tenant-id. Deze query retourneert een lijst met de betrokken resources in uw tenant.
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

Het volgende antwoord bevat de details van de betrokken resources met behulp van ADAL:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}",
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

U kunt de volgende set opdrachten uitvoeren in Windows PowerShell. Deze opdrachten gebruiken de Microsoft Graph PowerShell SDK om een lijst op te halen met alle toepassingen in uw tenant die gebruikmaken van ADAL.

1. Open Windows PowerShell als administrator.

2. Verbinding maken met Microsoft Graph:

   • Connect-MgGraph-Tenant <YOUR_TENANT_ID>

3. Selecteer uw profiel:

   • Select-MgProfile beta

4. Bekijk een lijst met uw aanbevelingen:

   • Get-MgDirectoryRecommendation | Format-List

5. Werk de code voor uw apps bij met behulp van de instructies in Migreren naar MSAL.

Veelgestelde vragen

Bekijk de volgende veelgestelde vragen tijdens het werken aan ADAL naar MSAL-migratie.

Waarom duurt het 30 dagen om de status te wijzigen in voltooid?

Om fout-positieven te verminderen, gebruikt de service een periode van 30 dagen voor ADAL-aanvragen. Op deze manier kan de service enkele dagen zonder een ADAL-aanvraag gaan en niet onwaar worden gemarkeerd als voltooid.

Hoe kan ik de eigenaar van een toepassing in mijn tenant identificeren?

U kunt de eigenaar vinden via de details van de aanbeveling. Selecteer de resource, waarmee u naar de toepassingsgegevens gaat. Ga naar Eigenaren beheren>om de huidige eigenaren weer te geven. Voor het weergeven van de eigenaren is ten minste de rol Toepassingsbeheerder vereist.

Kan de status veranderen van voltooid naar actief?

Ja. Als een toepassing is gemarkeerd als voltooid, dus er zijn geen ADAL-aanvragen gedaan tijdens het venster van 30 dagen, wordt die toepassing gemarkeerd als voltooid. Als de service een nieuwe ADAL-aanvraag detecteert, verandert de status weer in actief. Aanbevelingen kunnen alleen worden bijgewerkt door het systeem.

Hoe kan ik de microsoft Entra-aanmeldingswerkmap integreren?

U vindt de gedetailleerde stappen in de werkmap Microsoft Entra-aanmeldingen.

Waarom verschilt het aantal ADAL-toepassingen in de aanmeldingswerkmap en de aanbeveling?

• Geaggregeerde gegevens versus transactionele gegevens: met de aanbeveling worden gegevens samengevoegd gedurende de afgelopen 30 dagen, met een overzicht van toepassingsactiviteiten. Omgekeerd worden in de werkmap aanmeldingen elke aanmeldingsaanvraag als transactie beschreven, waardoor een gedetailleerdere analyse mogelijk is.

• Flexibiliteit van tijdsbestek: de werkmapgegevens voor aanmeldingen kunnen zo recent worden gefilterd als de afgelopen 30 minuten tot maximaal 30 dagen. Deze flexibiliteit bij het selecteren van het tijdsbestek kan leiden tot variaties in het aantal toepassingen, waardoor de resultaten mogelijk worden weergegeven.

• Toegang tot historische gegevens: Voor het weergeven van gegevens ouder dan 7 dagen in de werkmap voor aanmeldingen is een Microsoft Entra ID P1- of P2-tenantabonnement vereist. Deze vereiste is van invloed op het volume van historische gegevens dat toegankelijk is in vergelijking met de geaggregeerde gegevens in de aanbeveling.

Gerelateerde inhoud

• Informatie over het inschakelen van de werkmap voor aanmeldingen in uw tenant
• Bekijk het overzicht van microsoft Entra-aanbevelingen
• Meer informatie over het gebruik van Microsoft Entra-aanbevelingen
• De Microsoft Graph API-eigenschappen voor aanbevelingen verkennen