Microsoft Entra 建議:從 Azure Active Directory 驗證程式庫移轉至 Microsoft 驗證程式庫

  • 發行項

Microsoft Entra 建議是可以提供您個人化深入解析和可操作指導以讓您租用戶符合建議最佳實務的功能。

本文涵蓋從 Azure Active Directory 驗證程式庫 (ADAL) 移轉至 Microsoft 驗證程式庫的建議。 此建議在 Microsoft Graph 的建議 API 中名為 AdalToMsalMigration

描述

ADAL 目前定於 2023 年 6 月 30 日終止支援。 我們建議客戶移轉至 Microsoft 驗證程式庫 (MSAL),以取代 ADAL。

如果您的租用戶有仍使用 ADAL 的應用程式,就會顯示這項建議。 此服務會將租用戶中任何從 ADAL 發出權杖要求的應用程式,標示為 ADAL 應用程式。 同時使用 ADAL 和 MSAL 的應用程式會標示為 ADAL 應用程式。

當應用程式識別為 ADAL 應用程式時,系統建議每天會回溯 30 天,查看租用戶內是否有來自應用程式的新 ADAL 要求。 如果 ADAL 建議在 30 天內未傳送任何新的 ADAL 要求,則建議會標示為已完成。 當所有應用程式都完成時,建議狀態會變更為已完成。 如果偵測到已完成之應用程式的新 ADAL 要求,狀態會變更回作用中。

MSAL 設計用於啟用安全的解決方案,因此開發人員無需擔憂實作詳細資料。 MSAL 可簡化權杖的取得、管理、快取和重新整理方式。 MSAL 也會使用最佳做法來提高系統的復原能力。 如需移轉至 MSAL 的詳細資訊,請參閱將應用程式移轉至 MSAL

使用 ADAL 的現有應用程式將會在終止支援日期之後繼續運作。

行動方案:

將應用程式從 ADAL 移轉至 MSAL 的第一個步驟是識別您租用戶中目前使用 ADAL 的所有應用程式。 您可以使用 Microsoft Graph API 或 Microsoft Graph PowerShell SDK,以程式設計方式識別您的應用程式。 Microsoft Entra 系統管理中心的 [建議詳細資料] 中,會提供 Microsoft Graph PowerShell SDK 的步驟。

您可以使用 Microsoft Graph 來識別需要移轉至 MSAL 的應用程式。 若要開始使用,請參閱如何使用 Microsoft Graph 搭配 Microsoft Entra 建議

  1. 登入 Graph 總管
  2. 從下拉式清單中選取 [GET] 作為 HTTP 方法。
  3. 將 API 版本設定為搶鮮版 (Beta)
  4. 在 Microsoft Graph 中執行下列查詢,並將 <TENANT_ID> 預留位置取代為您的租用戶識別碼。 此查詢會傳回租用戶中受影響的資源清單。
    • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

下列回應會使用 ADAL 提供受影響資源的詳細資料:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

常見問題集

當您使用 ADAL 移轉至 MSAL 的建議時,請檢閱下列常見問題。

為什麼需要 30 天的時間才能將狀態變更為已完成?

為了減少誤判,服務會使用 30 天的時間範圍來檢查 ADAL 要求。 如此一來,即使數天內沒有 ADAL 要求,服務也不會錯誤地標示為已完成。

ADAL 應用程式在發佈建議之前如何識別?

Microsoft Entra 登入活頁簿是識別這些應用程式的替代方法。 活頁簿仍可供您使用,但需要先將登入記錄串流處理至 Azure 監視器才能使用活頁簿。 ADAL 移轉至 MSAL 的建議可直接使用。 此外,登入活頁簿不會擷取服務主體登入,但建議則會擷取。

為什麼活頁簿和建議中的 ADAL 應用程式數目不同?

因為建議會擷取服務主體登入,而且活頁簿不會,因此建議可能會顯示更多 ADAL 應用程式。

如何識別租用戶中應用程式的擁有者?

您可以從建議詳細資料中找到擁有者。 選取資源後,將會引導您前往應用程式詳細資料。 從導覽功能表中選取 [擁有者]

狀態是否會從 [已完成] 變更為 [作用中]

是。 如果應用程式在 30 天內沒有發出任何 ADAL 要求,該應用程式就會標示為完成。 如果服務偵測到新的 ADAL 要求,狀態會變更回 [作用中]

下一步