Compartir a través de

获取租户中使用 ADAL 的应用的完整列表

本文介绍如何使用 Azure Monitor 工作簿获取租户中使用 ADAL 的所有应用的列表。

Azure Active Directory 身份验证库 (ADAL) 已弃用。 强烈建议迁移到取代 ADAL 的 Microsoft 身份验证库 (MSAL)。 Microsoft 不再在 ADAL 上发布新功能和安全修补程序。 使用 ADAL 的应用程序将无法利用最新的安全功能,从而容易受到将来的安全威胁的影响。 如果有使用 ADAL 的现有应用程序,请确保将其迁移到 MSAL

登录工作簿

工作簿是一组查询,用于收集和可视化 Microsoft Entra 日志中提供的信息。 在此处了解有关登录日志架构的详细信息

Microsoft Entra 管理中心中的登录工作簿整合了各种类型的登录事件的日志,包括交互式、非交互式和服务主体登录。这样的聚合可提供有关租户中 ADAL 应用程序的使用情况的详细见解,以帮助全面了解和管理 ADAL 应用程序的迁移。

下面,我们提供了有关访问工作簿的综合说明,并随后演示了可视化应用程序列表的有效方法。

步骤 1:将 Microsoft Entra 登录事件发送到 Azure Monitor

默认情况下,Microsoft Entra 不会将登录事件发送到 Azure Monitor,Azure Monitor 中的登录工作簿才需要。

按照将 Microsoft Entra 登录和审核日志与 Azure Monitor 集成中的步骤,将 AD 配置为将登录事件发送到 Azure Monitor。 在“诊断设置”配置步骤中,选中“SignInLogs”复选框。

在配置 Microsoft Entra 以将事件发送到 Azure Monitor 之前未发生的任何登录事件,将显示在登录工作簿中。

步骤 2:访问 Microsoft Entra 管理中心中的登录工作簿

提示

本文中的步骤可能因开始使用的门户而略有不同。

当按照 Azure Monitor 集成中的说明将 Microsoft Entra 登录和审核日志与 Azure Monitor 集成时,就可以访问登录工作簿:

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“监视和运行状况”>“工作簿”
  3. “使用情况”部分中,打开“登录”工作簿。

突出显示登录工作簿的 Microsoft Entra 管理中心工作簿界面的屏幕截图。

步骤 3:识别使用 ADAL 的应用

“登录工作簿”页底部的表中列出了过去 30 天内处于活动状态的 ADAL 应用。 还可以通过选择“下载”按钮导出这些应用的列表。 将这些应用更新为使用 MSAL。

登录工作簿的屏幕截图,其中显示了使用 Active Directory 身份验证库的处于活动状态的应用。

如果没有使用 ADAL 的应用,则这一部分的工作簿将显示以下视图:

登录工作簿的屏幕截图,其中无应用使用 Active Directory 身份验证库。

工作簿的以下部分显示所有应用登录数据。 这包括应用的总数和登录活动(包括位置和设备)。

登录工作簿的屏幕截图,其中显示了应用的详细登录信息。

步骤 4:深入分析应用程序使用情况和身份验证数据

若要全面评估租户中 ADAL 应用程序的影响,必须分析更详细的数据,而不仅仅是身份识别。

  • 应用程序 ID:每个应用程序的唯一标识符。
  • 应用显示名称:应用程序的名称,有助于轻松识别整个组织中的应用。
  • SigninCount:每个应用程序的登录数。
  • ADAL 版本:应用程序使用的特定 ADAL 版本。
  • IP 地址:显示发起登录尝试的客户端 IP 地址。
  • 位置:提供城市、省/州、国家/地区以及从何处发出登录请求。
  • 设备登录:共享设备操作系统的详细信息,包括特定版本。

若要访问此增强的数据视图,请在工作簿中应用自定义筛选器和查询。 此信息不仅有助于识别关键应用程序,还有助于规划迁移策略,方法是根据应用程序的使用情况和暴露级别确定其优先级。

步骤 5:更新 ADAL 应用程序

使用 ADAL 识别应用程序后,请将它们更新到 MSAL。 迁移过程因你在使用的应用程序类型而异。 按照下面为每个应用程序类型提供的准则进行操作。

单页应用 (SPA)

步骤 6:监视以验证成功迁移

借助步骤 4 的详细数据,可以有效地确定和管理应用程序到 MSAL 的迁移过程。 下面介绍如何使用此数据调查登录方案并确保平稳过渡:

  • 优先顺序SigninCount 较高和 ADAL Version 较旧的应用程序应优先,因为它们表示着更高的使用率和潜在更高的风险。 首先迁移这些应用程序,以最大程度地减少组织面临的重大风险。
  • 安全分析:使用 IP Address 检测登录模式。 例如,如果从用户或组织拥有的服务发出登录请求来标识调用的来源。
  • 兼容性检查:在迁移之前,请评估应用程序使用的 ADAL Version。 某些版本可能存在关于特定 MSAL 功能的已知问题。 了解这些细微差别将有助于规划最大程度减少功能中断的迁移。
  • 测试方案:更新到 MSAL 后,监视以比较迁移前后的行为。 此比较有助于验证迁移是否成功,以及应用程序在新环境中是否按预期方式运行。

利用登录工作簿中的详细数据,组织可以战略性地规划和执行从 ADAL 到 MSAL 的迁移,确保中断最少并维护可靠的安全协议。

后续步骤

若要详细了解 MSAL(包括使用情况信息以及可用于不同编程语言和应用程序类型的库),请参阅: