Recommandation Microsoft Entra : effectuez la migration de la bibliothèque d’authentification Azure Active Directory vers les bibliothèques d’authentification Microsoft
Les recommandations Microsoft Entra constituent une fonctionnalité qui vous fournit des informations personnalisées et des conseils exploitables pour adapter votre locataire aux meilleures pratiques recommandées.
Cet article englobe les suggestions à suivre pour effectuer la migration de la bibliothèque d’authentification Azure Active Directory (ADAL) vers les bibliothèques d’authentification Microsoft (MSAL). Cette recommandation est appelée AdalToMsalMigration
dans l’API recommandations de Microsoft Graph.
Description
La suggestion « Migrer d’ADAL vers MSAL » est créée vous sensibiliser et vous alerter sur toutes les applications en utilisant ADAL au sein de votre tenant. Cette suggestion est déclenchée pour les tenants avec des applications en tirant parti d’ADAL. Elle marque les applications demandant un jeton via ADAL comme « application ADAL », notamment celles qui utilisent ADAL et MSAL.
La bibliothèque d'authentification Active Directory (ADAL) a été dépréciée. Nous vous recommandons vivement de migrer vers la bibliothèque d’authentification Microsoft (MSAL), qui remplace ADAL. Microsoft ne publie plus de nouvelles fonctionnalités et correctifs de sécurité sur ADAL. Les applications utilisant ADAL ne pourront pas utiliser les dernières fonctionnalités de sécurité, ce qui les rend vulnérables aux futures menaces de sécurité. Si vous avez des applications existantes qui utilisent ADAL, veillez à les migrer vers MSAL.
Fonctionnement
Le système vérifie quotidiennement les nouvelles demandes de jeton ADAL sur les 30 derniers jours. Si une application n’effectue aucune demande pendant 30 jours, son état de suggestion est marqué comme effectué. L’état global de la suggestion se met à jour vers « effectué » une fois que toutes les applications répondent à ces critères. Si une nouvelle demande ADAL est détectée pour une application précédemment terminée, son état revient à « actif ».
Valeur
MSAL est conçue pour permettre une solution sécurisée sans que les développeurs aient à se soucier des détails d’implémentation. MSAL simplifie l’acquisition, la gestion, la mise en cache et l’actualisation des jetons. MSAL utilise également les meilleures pratiques en termes de résilience. Pour découvrir plus d’informations sur les scénarios pris en charge par MSAL, consultez Migrer des applications vers MSAL.
Plan d’action
Pour identifier et obtenir des détails sur toutes les applications de votre tenant utilisant actuellement ADAL, vous pouvez utiliser un classeur des connexions. Pour obtenir par programmation la liste de toutes les applications, vous pouvez utiliser l’API Microsoft Graph ou le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.
Le classeur des connexions dans le centre d’administration Microsoft Entra regroupe les journaux des différents types d’événements de connexion, notamment les connexions interactives, non interactives et de principal de service. Cette agrégation fournit des insights détaillés sur l’utilisation des applications ADAL sur votre locataire pour vous aider à comprendre et à gérer entièrement la migration de vos applications ADAL. Pour obtenir une analyse plus détaillée et un examen approfondi des données de connexion d’applications de la Bibliothèque d'authentification Active Directory, vous pouvez activer le Journal de connexion Microsoft Entra. Cet outil prend en charge la migration en offrant des aperçus complets sur les données de connexion.
Forum aux questions
Passez en revue les questions courantes suivantes lorsque vous utilisez la migration d’ADAL vers MSAL.
Pourquoi faut-il attendre 30 jours pour faire passer l’état à terminé ?
Pour réduire les faux positifs, le service utilise une période de 30 jours pour les demandes ADAL. Le service peut de cette façon passer plusieurs jours sans demande ADAL et ne pas être faussement marqué comme terminé.
Comment faire pour identifier le propriétaire d’une application dans mon tenant ?
Vous pouvez localiser le propriétaire à partir des détails de la recommandation. Sélectionnez la ressource, ce qui vous permet d’accéder aux détails de l’application. Accédez à Gérer>Propriétaires pour afficher les propriétaires actuels. L’affichage des propriétaires exige au moins le rôle Administrateur d’application.
L’état peut-il passer de terminé à actif ?
Oui. Si une application a été marquée comme terminée (aucune demande ADAL n’a donc été effectuée pendant la période de 30 jours), cette application est marquée comme terminée. Si le service détecte une nouvelle demande ADAL, le statut redevient actif. Les suggestions peuvent uniquement être mises à jour par le système.
Comment puis-je intégrer un classeur des connexions Microsoft Entra ?
Vous trouverez les étapes détaillées dans le Journal de connexion Microsoft Entra.
Pourquoi le nombre d’applications ADAL est-il différent dans le classeur des connexions et la suggestion ?
Données agrégées par rapport au données transactionnelles : les suggestions agrègent les données sur les 30 derniers jours, fournissant ainsi un affichage récapitulatif des activités de l’application. Inversement, le classeur des connexions détaille chaque demande de connexion en tant que transaction, ce qui permet une analyse plus détaillée.
Flexibilité du délai d’exécution : les données du classeur des connexions peut être filtré aussi récemment que sur les 30 dernières minutes et jusqu’à 30 jours. Cette flexibilité du délai d’exécution peut entraîner des variations du nombre d’applications, faussant éventuellement les résultats.
Accès aux données historiques : l’affichage des données de plus de 7 jours dans le classeur des connexions nécessite un abonnement tenant Microsoft Entra ID P1 ou P2. Cette exigence affecte le volume de données historiques accessible par rapport aux données agrégées dans la suggestion.