Рекомендация Microsoft Entra. Миграция из библиотеки проверки подлинности Azure Active Directory в библиотеки проверки подлинности Майкрософт

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированных аналитических сведений и практические рекомендации по согласованию клиента с рекомендуемыми рекомендациями.

В этой статье описывается рекомендация по миграции из библиотеки проверки подлинности Azure Active Directory (ADAL) в библиотеки проверки подлинности Майкрософт. Эта рекомендация вызывается AdalToMsalMigration в API рекомендаций в Microsoft Graph.

Description

ADAL в настоящее время планируется завершить поддержку 30 июня 2023 года. Рекомендуется перенести клиентов в библиотеки проверки подлинности Майкрософт (MSAL), заменив ADAL.

Эта рекомендация отображается, если у вашего клиента есть приложения, которые по-прежнему используют ADAL. Служба помечает любое приложение в клиенте, которое делает запрос маркера из ADAL в качестве приложения ADAL. Приложения, использующие ADAL и MSAL, помечены как приложения ADAL.

Когда приложение определяется как приложение ADAL, каждый день рекомендация возвращает 30 дней для любых новых запросов ADAL от приложений в клиенте. Если рекомендация ADAL не отправляет новые запросы ADAL в течение 30 дней, рекомендация помечается как завершенная. После завершения всех приложений состояние рекомендации изменится на завершенное. Если обнаружен новый запрос ADAL для завершенного приложения, состояние изменится на активное.

Значение

Библиотека MSAL предназначена для того, чтобы разработчики могли создать безопасное решения, не беспокоясь о реализации. MSAL упрощает получение, управление, кэширование и обновление маркеров. MSAL также использует рекомендации по устойчивости. Дополнительные сведения о миграции в MSAL см. в статье "Миграция приложений в MSAL".

Существующие приложения, использующие ADAL, будут продолжать работать после даты окончания поддержки.

План действий

Первым шагом миграции приложений из ADAL в MSAL является определение всех приложений в клиенте, которые в настоящее время используют ADAL. Приложения можно идентифицировать программным способом с помощью API Microsoft Graph или пакета SDK Для Microsoft Graph PowerShell. Действия пакета SDK Для Microsoft Graph PowerShell приведены в сведениях о рекомендациях в Центре администрирования Microsoft Entra.

API Microsoft Graph

Microsoft Graph можно использовать для идентификации приложений, которые необходимо перенести в MSAL. Сведения о начале работы см. в статье "Использование Microsoft Graph с рекомендациями Microsoft Entra".

1. Войдите в Graph Обозреватель.
2. Выберите метод HTTP GET в раскрывающемся списке.
3. Задайте для версии API бета-версию.
4. Выполните следующий запрос в Microsoft Graph, заменив заполнитель идентификатором <TENANT_ID> клиента. Этот запрос возвращает список затронутых ресурсов в клиенте.
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

Следующий ответ содержит сведения о затронутых ресурсах с помощью ADAL:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

В Windows PowerShell можно выполнить следующий набор команд. Эти команды используют пакет SDK Microsoft Graph PowerShell для получения списка всех приложений в клиенте, использующих ADAL.

1. Откройте Windows PowerShell от имени администратора.

2. Подключение в Microsoft Graph:

   • Connect-MgGraph-Tenant <YOUR_TENANT_ID>

3. Выберите профиль:

   • Select-MgProfile beta

4. Получите список рекомендаций:

   • Get-MgDirectoryRecommendation | Format-List

5. Обновите код для приложений с помощью инструкций по миграции в MSAL.

Часто задаваемые вопросы

Ознакомьтесь со следующими распространенными вопросами при работе с рекомендацией ADAL для MSAL.

Почему требуется 30 дней, чтобы изменить состояние завершения?

Чтобы уменьшить ложные срабатывания, служба использует 30-дневное окно для запросов ADAL. Таким образом, служба может пройти несколько дней без запроса ADAL и не помечена как завершенная.

Как были определены приложения ADAL до выпуска рекомендации?

Книга входа Microsoft Entra была альтернативным методом для идентификации этих приложений. Книга по-прежнему доступна для вас, но для использования книги сначала требуются журналы входа потоковой передачи в Azure Monitor. Рекомендация ADAL для MSAL работает вне поля. Кроме того, книга входа не фиксирует вход субъекта-службы, а рекомендация выполняется.

Почему количество приложений ADAL отличается в книге и рекомендации?

Так как рекомендация фиксирует вход субъекта-службы и книгу не выполняется, рекомендация может отображать больше приложений ADAL.

Разделы справки определить владельца приложения в моем клиенте?

Вы можете найти владельца из сведений о рекомендации. Выберите ресурс, который переносит вас в сведения о приложении. Выберите "Владельцы" в меню навигации.

Может ли состояние измениться от завершенного к активному?

Да. Если приложение было отмечено как завершенное , поэтому запросы ADAL не были сделаны в течение 30 дней, это приложение будет отмечено как завершенное. Если служба обнаруживает новый запрос ADAL, состояние меняется на активный.

Следующие шаги

• Обзор рекомендаций Microsoft Entra
• Узнайте, как использовать рекомендации Microsoft Entra
• Изучение свойств API Microsoft Graph для рекомендаций