Microsoft Entra 建议:从 Azure Active Directory 身份验证库迁移到 Microsoft 身份验证库
Microsoft Entra 建议功能提供个性化的见解和可操作的指导,使你的租户与推荐的最佳做法保持一致。
本文介绍从 Azure Active Directory 身份验证库 (ADAL) 迁移到 Microsoft 身份验证库的建议。 此建议在 Microsoft Graph 的建议 API 中称为 AdalToMsalMigration
。
说明
ADAL 目前计划于 2023 年 6 月 30 日终止支持。 我们建议客户迁移到 Microsoft 身份验证库 (MSAL),MSAL 将取代 ADAL。
如果租户具有仍使用 ADAL 的应用程序,则会显示此建议。 服务将租户中从 ADAL 发出令牌请求的任何应用标记为 ADAL 应用程序。 同时使用 ADAL 和 MSAL 的应用程序被标记为 ADAL 应用程序。
当应用程序识别为 ADAL 应用程序时,建议每天回顾 30 天,以查找租户内应用程序的任何新 ADAL 请求。 如果 ADAL 建议在 30 天内没有发送任何新 ADAL 请求,则建议被标记为已完成。 所有应用完成后,推荐状态将更改为已完成。 如果为已完成的应用检测到新 ADAL 请求,则状态将变回活动状态。
值
MSAL 设计用来提供安全的解决方案,使开发人员无需担心实现细节。 MSAL 简化了获取、管理、缓存和刷新令牌的方式。 MSAL 还采用最佳做法以增强复原能力。 有关迁移到 MSAL 的详细信息,请参阅将应用程序迁移到 MSAL。
使用 ADAL 的现有应用将在支持结束日期后继续运行。
操作计划
将应用从 ADAL 迁移到 MSAL 的第一步是标识租户中当前使用 ADAL 的所有应用程序。 可使用 Microsoft Graph API 或 Microsoft Graph PowerShell SDK 以编程方式识别应用。 如需针对 Microsoft Graph PowerShell SDK 的步骤,可在 Microsoft Entra 管理中心查看建议详细信息。
可以使用 Microsoft Graph 来识别需要迁移到 MSAL 的应用。 如果要开始使用,请参阅如何将 Microsoft Graph 与 Microsoft Entra 建议配合使用。
- 登录到图形资源管理器。
- 从下拉列表中选择 GET 作为 HTTP 方法。
- 将 API 版本设置为“beta 版本”。
- 在 Microsoft Graph 中运行以下查询,将
<TENANT_ID>
占位符替换为租户 ID。 此查询将返回租户中受影响资源的列表。https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources
以下响应提供使用 ADAL 的受影响资源的详细信息:
{
"id": "<APPLICATION_ID>",
"subjectId": "<APPLICATION_ID>",
"recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
"resourceType": "app",
"addedDateTime": "2023-03-29T09:29:01.1708723Z",
"postponeUntilDateTime": null,
"lastModifiedDateTime": "0001-01-01T00:00:00Z",
"lastModifiedBy": "System",
"displayName": "sample-adal-app",
"owner": null,
"rank": 1,
"portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
"apiUrl": null,
"status": "completedBySystem",
"additionalDetails": [
{
"key": "Library",
"value": "ADAL.Net"
}
]
}
常见问题
使用从 ADAL 迁移到 MSAL 的建议时,请查看以下常见问题。
为什么需要 30 天才能将状态更改为已完成?
为了减少误报,服务对 ADAL 请求使用了 30 天的时间范围。 这样,服务可以在没有 ADAL 请求的情况下运行几天,并且不会被错误地标记为已完成。
在建议发布之前,ADAL 应用程序是如何识别的?
要识别这些应用,还可使用 Microsoft Entra 登录工作簿。 仍然可以使用工作簿,但使用工作簿需要先将登录日志流式传输到 Azure Monitor。 ADAL 到 MSAL 的建议是开箱即用的。 此外,登录工作簿不会捕获服务主体登录,而建议会捕获。
为什么工作簿和推荐中 ADAL 应用程序的数量不同?
由于建议捕获服务主体登录,而工作簿没有,因此建议可能会显示更多 ADAL 应用程序。
如何在租户中识别应用程序的所有者?
可以从推荐详细信息中找到所有者。 选择资源,它将转到应用程序的详细信息。 从导航菜单中选择“所有者”。
状态是否可以从已完成更改为活动?
是的。 如果应用程序被标记为已完成 - 因此在 30 天的时间范围内没有提出 ADAL 请求 - 那么该应用程序将被标记为完成。 如果服务检测到新 ADAL 请求,状态将变回活动状态。