Microsoft Entra 建議:從 Azure Active Directory 驗證連結庫移轉至 Microsoft 驗證連結庫
Microsoft Entra 建議 是一項功能,提供個人化深入解析和可採取動作的指引,讓您的租使用者符合建議的最佳做法。
本文涵蓋從 Azure Active Directory 驗證連結庫 (ADAL) 移轉至 Microsoft 驗證連結庫的建議。 Microsoft Graph 中的建議 API 中會呼叫 AdalToMsalMigration
這項建議。
描述
ADAL 目前定於 2023 年 6 月 30 日終止支援。 我們建議客戶移轉至取代ADAL的 Microsoft 驗證連結庫 (MSAL)。
如果您的租使用者有仍使用ADAL的應用程式,就會顯示這項建議。 服務會將租使用者中的任何應用程式標示為 ADAL 應用程式,以做為 ADAL 應用程式的令牌要求。 同時使用ADAL和 MSAL 的應用程式會標示為ADAL應用程式。
當應用程式識別為ADAL應用程式時,建議每天會回頭查看租用戶內應用程式的任何新ADAL要求30天。 如果 ADAL 建議未傳送任何新的 ADAL 要求 30 天,則建議會標示為已完成。 當所有應用程式都完成時,建議狀態會變更為已完成。 如果偵測到已完成之應用程式的新 ADAL 要求,狀態會變更回作用中。
值
MSAL 的設計目的是要啟用安全的解決方案,而開發人員不需要擔心實作詳細數據。 MSAL 可簡化如何取得、管理、快取和重新整理令牌。 MSAL 也會使用復原的最佳做法。 如需移轉至 MSAL 的詳細資訊,請參閱 將應用程式遷移至 MSAL。
使用ADAL的現有應用程式將會在終止支援日期之後繼續運作。
行動方案:
將應用程式從 ADAL 移轉至 MSAL 的第一個步驟是識別您租使用者中目前使用 ADAL 的所有應用程式。 您可以使用 Microsoft Graph API 或 Microsoft Graph PowerShell SDK,以程式設計方式識別您的應用程式。 Microsoft Graph PowerShell SDK 的步驟會在 Microsoft Entra 系統管理中心的建議詳細數據中提供。
您可以使用 Microsoft Graph 來識別需要移轉至 MSAL 的應用程式。 若要開始使用,請參閱 如何搭配 Microsoft Entra 建議使用 Microsoft Graph。
- 登入 Graph 總管。
- 從下拉式清單中選取 [GET ] 作為 HTTP 方法。
- 將 API 版本設定為 Beta。
- 在 Microsoft Graph 中執行下列查詢,將
<TENANT_ID>
佔位元取代為您的租用戶識別碼。 此查詢會傳回租使用者中受影響的資源清單。https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources
下列回應會使用ADAL提供受影響資源的詳細資料:
{
"id": "<APPLICATION_ID>",
"subjectId": "<APPLICATION_ID>",
"recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
"resourceType": "app",
"addedDateTime": "2023-03-29T09:29:01.1708723Z",
"postponeUntilDateTime": null,
"lastModifiedDateTime": "0001-01-01T00:00:00Z",
"lastModifiedBy": "System",
"displayName": "sample-adal-app",
"owner": null,
"rank": 1,
"portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
"apiUrl": null,
"status": "completedBySystem",
"additionalDetails": [
{
"key": "Library",
"value": "ADAL.Net"
}
]
}
常見問題集
當您使用 ADAL 至 MSAL 建議時,請檢閱下列常見問題。
為什麼需要 30 天的時間才能將狀態變更為已完成?
為了減少誤判,服務會針對ADAL要求使用30天的時間範圍。 如此一來,服務就可以在沒有ADAL要求的情況下進行數天,且不會誤標示為已完成。
ADAL 應用程式在發佈建議之前如何識別?
Microsoft Entra 登入活頁簿是識別這些應用程式的替代方法。 活頁簿仍可供您使用,但使用活頁簿需要先將登入記錄串流處理至 Azure 監視器。 ADAL to MSAL 建議現用。 此外,登入活頁簿不會擷取服務主體登入,但建議會擷取。
為什麼活頁簿和建議中的ADAL應用程式數目不同?
因為建議會擷取服務主體登入,而且活頁簿不會,因此建議可能會顯示更多 ADAL 應用程式。
如何? 識別租用戶中應用程式的擁有者?
您可以從建議詳細數據中找到擁有者。 選取資源,這會帶您前往應用程式詳細數據。 從導覽功能表中選取 [ 擁有者 ]。
狀態是否可以從已完成變更為作用中?
是。 如果應用程式標示為已完成,因此在 30 天時段內沒有提出 ADAL 要求,該應用程式就會標示為完成。 如果服務偵測到新的 ADAL 要求,狀態會變更回作用 中。