Compartir a través de

Microsoft Entra 建议:从 Azure Active Directory 身份验证库迁移到 Microsoft 身份验证库

Microsoft Entra 建议功能提供个性化的见解和可操作的指导,使你的租户与推荐的最佳做法保持一致。

本文介绍从 Azure Active Directory 身份验证库 (ADAL) 迁移到 Microsoft 身份验证库 (MSAL) 的建议。 此建议在 Microsoft Graph 的建议 API 中称为 AdalToMsalMigration

说明

创建“从 ADAL 迁移到 MSAL”建议是为了提高对租户内使用 ADAL 的所有应用程序的认识和警惕。 对于有应用程序使用 ADAL 的租户,将触发此建议。 它将任何通过 ADAL 请求令牌的应用程序标记为“ADAL 应用程序”,包括同时使用 ADAL 和 MSAL 的应用程序。

Azure Active Directory 身份验证库 (ADAL) 已弃用。 强烈建议迁移到取代 ADAL 的 Microsoft 身份验证库 (MSAL)。 Microsoft 不再在 ADAL 上发布新功能和安全修补程序。 使用 ADAL 的应用程序将无法利用最新的安全功能,从而容易受到将来的安全威胁的影响。 如果有使用 ADAL 的现有应用程序,请确保将其迁移到 MSAL

工作原理

系统每天都会检查过去 30 天内是否有新的 ADAL 令牌请求。 如果应用程序在 30 天内未发出新请求,则其建议状态将标记为已完成。 所有应用程序都满足此条件后,总体建议状态会更新为“已完成”。 如果检测到之前已完成的应用程序有新的 ADAL 请求,其状态将恢复为“活动”。

MSAL 设计用来提供安全的解决方案,使开发人员无需担心实现细节。 MSAL 简化了获取、管理、缓存和刷新令牌的方式。 MSAL 还采用最佳做法以增强复原能力。 有关 MSAL 支持方案的详细信息,请参阅将应用程序迁移到 MSAL

操作计划

若要识别和获取租户中当前正在使用 ADAL 的所有应用程序的详细信息,可以使用登录工作簿。 若要以编程方式获取所有应用的列表,还可以使用 Microsoft Graph API 或 Microsoft Graph PowerShell SDK。

Microsoft Entra 管理中心中的登录工作簿整合了各种类型的登录事件(包括交互式登录、非交互式登录和服务主体登录)的日志。这样的聚合可提供有关租户中 ADAL 应用程序的使用情况的详细见解,以帮助全面了解和管理 ADAL 应用程序的迁移。 若要对 ADAL 应用登录数据进行更详细的分析和更深入的调查,可以在租户中启用 Microsoft Entra 登录工作簿。 此工具通过提供全面的登录数据见解来支持迁移。

常见问题解答

在处理 ADAL 到 MSAL 迁移时,请查看以下常见问题。

为什么需要 30 天才能将状态更改为已完成?

为了减少误报,服务对 ADAL 请求使用了 30 天的时间范围。 这样,服务可以在没有 ADAL 请求的情况下运行几天,并且不会被错误地标记为已完成。

如何在租户中识别应用程序的所有者?

可以从建议详细信息中找到所有者。 选择资源,它将转到应用程序的详细信息。 转到“管理”>“所有者”以查看当前所有者。 查看所有者至少需要应用程序管理员角色。

状态是否可以从已完成更改为活动

是的。 如果应用程序被标记为已完成 - 因此在 30 天的时间范围内没有提出 ADAL 请求 - 那么该应用程序将被标记为完成。 如果服务检测到新 ADAL 请求,状态将变回活动状态。 建议只能由系统更新。

如何集成 Microsoft Entra 登录工作簿?

详细步骤可参阅 Microsoft Entra 登录工作簿

为什么登录工作簿中和建议中的 ADAL 应用程序数量不同?

  • 聚合数据与事务数据:建议聚合了过去 30 天的数据,提供了应用程序活动的汇总视图。 相反,登录工作簿则以事务形式详细记录每个登录请求,从而进行更详细的分析。

  • 期限灵活性:可以在从最近 30 分钟到最长 30 天的范围内对登录工作簿数据进行筛选。 这种选择期限的灵活性可能会导致应用程序计数的变化,从而可能会使结果出现偏差。

  • 访问历史数据:在登录工作簿中查看超过 7 天的数据需要 Microsoft Entra ID P1 或 P2 租户订阅。 与建议中的聚合数据相比,此要求会影响可访问的历史数据量。