Recomendação do Microsoft Entra: Migrações da Biblioteca de Autenticação do Active Directory para as Bibliotecas de Autenticação da Microsoft

As recomendações do Microsoft Entra são um recurso que fornece insights personalizados e diretrizes acionáveis para alinhar o locatário com as melhores práticas.

Este artigo aborda a recomendação de migrar da ADAL (Biblioteca de Autenticação do Azure Active Directory) para as Bibliotecas de Autenticação da Microsoft (MSAL). Essa recomendação é chamada de AdalToMsalMigration na API de recomendações do Microsoft Graph.

Descrição

A recomendação "migrar da ADAL para a MSAL" é criada para aumentar a conscientização e alertar você sobre todos os aplicativos que usam a ADAL em seu locatário. Essa recomendação é disparada para locatários com aplicativos usando a ADAL. Ele rotula qualquer aplicativo que solicite um token via ADAL como um "aplicativo ADAL", incluindo esses aplicativos usando a ADAL e a MSAL.

A Biblioteca de Autenticação do Azure Active Directory (ADAL) foi preterida. É altamente recomendável migrar para a MSAL (Biblioteca de Autenticação da Microsoft), que substitui a ADAL. A Microsoft não lança mais novos recursos e correções de segurança na ADAL. Os aplicativos que usam a ADAL não poderão utilizar os recursos de segurança mais recentes, deixando-os vulneráveis a futuras ameaças à segurança. Se você tiver aplicativos existentes que usam a ADAL, migre-os para a MSAL.

Como ele funciona

O sistema verifica diariamente se há novas solicitações de token ADAL nos últimos 30 dias. Se um aplicativo não fizer novas solicitações por 30 dias, seu status de recomendação será marcado como concluído. O status geral da recomendação é atualizado para "concluído" depois que todos os aplicativos atendem a esse critério. Se uma nova solicitação ADAL for detectada para um aplicativo concluído anteriormente, seu status será revertido para "ativo".

Valor

A MSAL foi projetada para habilitar uma solução segura sem que os desenvolvedores precisem se preocupar com os detalhes da implementação. A MSAL simplifica como os tokens são adquiridos, gerenciados, armazenados em cache e atualizados. A MSAL também usa as práticas recomendadas para resiliência. Para obter mais informações sobre cenários compatíveis com a MSAL, consulte Migrar aplicativos para a MSAL.

Plano de ação

Para identificar e obter detalhes de todos os aplicativos em seu locatário que estão atualmente usando a ADAL, você pode usar a Pasta de Trabalho de Entradas. Para obter a lista de todos os aplicativos programaticamente, você também pode usar a API do Microsoft Graph ou o SDK do Microsoft Graph PowerShell.

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}",
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Perguntas frequentes

Examine as perguntas comuns a seguir enquanto trabalha na migração da ADAL para a MSAL.

Por que são necessários 30 dias para alterar o status para concluído?

Para reduzir os falsos positivos, o serviço usa uma janela de 30 dias para solicitações da ADAL. Dessa forma, o serviço pode passar vários dias sem uma solicitação da ADAL e não ser falsamente marcado como concluído.

Como identifico o proprietário de um aplicativo no meu locatário?

Você pode localizar o proprietário nos detalhes da recomendação. Selecione o recurso, que o levará aos detalhes do aplicativo. Vá para Gerenciar>Proprietários para exibir os proprietários atuais. Exibir os proprietários requer pelo menos a função Administrador de aplicativos.

O status pode ser alterado de concluído para ativo?

Sim. Se um aplicativo foi marcado como concluído - portanto, nenhuma solicitação da ADAL foi feita durante o período de 30 dias - esse aplicativo será marcado como concluído. Se o serviço detectar uma nova solicitação de ADAL, o status será alterado de volta para ativo. As recomendações só podem ser atualizadas pelo sistema.

Como posso integrar a pasta de trabalho de entradas do Microsoft Entra?

Você pode encontrar as etapas detalhadas na pasta de trabalho Entradas do Microsoft Entra.

Por que o número de aplicativos ADAL é diferente na pasta de trabalho de entradas e na recomendação?

• Dados agregados versus Dados transacionais: a recomendação agrega dados nos últimos 30 dias, fornecendo uma exibição resumida das atividades do aplicativo. Por outro lado, a pasta de trabalho de entrada detalha cada solicitação de entrada como uma transação, o que permite uma análise mais detalhada.

• Flexibilidade de Quadro de Tempo: Os dados da pasta de trabalho de entradas podem ser filtrados dos últimos 30 minutos para até 30 dias. Essa flexibilidade na seleção do período de tempo pode levar a variações na contagem de aplicativos, potencialmente distorcendo os resultados.

• Acesso a dados históricos: exibir dados com mais de 7 dias na pasta de trabalho de entradas requer uma assinatura de locatário do Microsoft Entra ID P1 ou P2. Esse requisito afeta o volume de dados históricos acessíveis em comparação com os dados agregados na recomendação.

Conteúdo relacionado

• Obter uma lista de aplicativos usando a Biblioteca de Autenticação do Active Directory no locatário
• Saiba como usar as recomendações do Microsoft Entra
• Explore as propriedades da API do Microsoft Graph para obter recomendações