Microsoft Entra 建議：從 Azure Active Directory 驗證連結庫移轉至 Microsoft 驗證連結庫

Microsoft Entra 建議 是一項功能，提供個人化深入解析和可採取動作的指引，讓您的租使用者符合建議的最佳做法。

本文涵蓋從 Azure Active Directory 驗證連結庫 （ADAL） 移轉至 Microsoft 驗證連結庫的建議。 Microsoft Graph 中的建議 API 中會呼叫 AdalToMsalMigration 這項建議。

描述

ADAL 目前定於 2023 年 6 月 30 日終止支援。 我們建議客戶移轉至取代ADAL的 Microsoft 驗證連結庫 （MSAL）。

如果您的租使用者有仍使用ADAL的應用程式，就會顯示這項建議。 服務會將租使用者中的任何應用程式標示為 ADAL 應用程式，以做為 ADAL 應用程式的令牌要求。 同時使用ADAL和 MSAL 的應用程式會標示為ADAL應用程式。

當應用程式識別為ADAL應用程式時，建議每天會回頭查看租用戶內應用程式的任何新ADAL要求30天。 如果 ADAL 建議未傳送任何新的 ADAL 要求 30 天，則建議會標示為已完成。 當所有應用程式都完成時，建議狀態會變更為已完成。 如果偵測到已完成之應用程式的新 ADAL 要求，狀態會變更回作用中。

值

MSAL 的設計目的是要啟用安全的解決方案，而開發人員不需要擔心實作詳細數據。 MSAL 可簡化如何取得、管理、快取和重新整理令牌。 MSAL 也會使用復原的最佳做法。 如需移轉至 MSAL 的詳細資訊，請參閱 將應用程式遷移至 MSAL。

使用ADAL的現有應用程式將會在終止支援日期之後繼續運作。

行動方案：

將應用程式從 ADAL 移轉至 MSAL 的第一個步驟是識別您租使用者中目前使用 ADAL 的所有應用程式。 您可以使用 Microsoft Graph API 或 Microsoft Graph PowerShell SDK，以程式設計方式識別您的應用程式。 Microsoft Graph PowerShell SDK 的步驟會在 Microsoft Entra 系統管理中心的建議詳細數據中提供。

Microsoft Graph API

您可以使用 Microsoft Graph 來識別需要移轉至 MSAL 的應用程式。 若要開始使用，請參閱 如何搭配 Microsoft Entra 建議使用 Microsoft Graph。

1. 登入 Graph 總管。
2. 從下拉式清單中選取 [GET ] 作為 HTTP 方法。
3. 將 API 版本設定為 Beta。
4. 在 Microsoft Graph 中執行下列查詢，將 <TENANT_ID> 佔位元取代為您的租用戶識別碼。 此查詢會傳回租使用者中受影響的資源清單。
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

下列回應會使用ADAL提供受影響資源的詳細資料：

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

您可以在 Windows PowerShell 中執行下列命令集。 這些命令會使用 Microsoft Graph PowerShell SDK 來取得租使用者中所有使用 ADAL 的應用程式清單。

1. 以系統管理員身分開啟 Windows PowerShell。

2. 連線 至 Microsoft Graph：

   • Connect-MgGraph-Tenant <YOUR_TENANT_ID>

3. 選取您的設定檔：

   • Select-MgProfile beta

4. 取得建議清單：

   • Get-MgDirectoryRecommendation | Format-List

5. 使用如何移轉至 MSAL 中的指示更新應用程式的程式代碼。

常見問題集

當您使用 ADAL 至 MSAL 建議時，請檢閱下列常見問題。

為什麼需要 30 天的時間才能將狀態變更為已完成？

為了減少誤判，服務會針對ADAL要求使用30天的時間範圍。 如此一來，服務就可以在沒有ADAL要求的情況下進行數天，且不會誤標示為已完成。

ADAL 應用程式在發佈建議之前如何識別？

Microsoft Entra 登入活頁簿是識別這些應用程式的替代方法。 活頁簿仍可供您使用，但使用活頁簿需要先將登入記錄串流處理至 Azure 監視器。 ADAL to MSAL 建議現用。 此外，登入活頁簿不會擷取服務主體登入，但建議會擷取。

為什麼活頁簿和建議中的ADAL應用程式數目不同？

因為建議會擷取服務主體登入，而且活頁簿不會，因此建議可能會顯示更多 ADAL 應用程式。

如何? 識別租用戶中應用程式的擁有者？

您可以從建議詳細數據中找到擁有者。 選取資源，這會帶您前往應用程式詳細數據。 從導覽功能表中選取 [ 擁有者 ]。

狀態是否可以從已完成變更為作用中？

是。 如果應用程式標示為已完成，因此在 30 天時段內沒有提出 ADAL 要求，該應用程式就會標示為完成。 如果服務偵測到新的 ADAL 要求，狀態會變更回作用 中。

下一步

• 檢閱 Microsoft Entra 建議概觀
• 瞭解如何使用 Microsoft Entra 建議
• 探索 Microsoft Graph API 屬性以取得建議