Microsoft Entra 建議:從 Azure Active Directory 驗證程式庫移轉至 Microsoft 驗證程式庫
Microsoft Entra 建議是可以提供您個人化深入解析和可操作指導以讓您租用戶符合建議最佳實務的功能。
本文涵蓋從 Azure Active Directory 驗證連結庫 (ADAL) 移轉至 Microsoft 驗證連結庫 (MSAL) 的建議。 此建議會在 Microsoft Graph 的建議 API 中呼叫 AdalToMsalMigration。
描述
系統會建立「從 ADAL 移轉至 MSAL」建議,以提高您對於租用戶內使用 ADAL 的所有應用程式的認識和警示。 對於使用ADAL的應用程式租使用者,會觸發此建議。 它會將透過ADAL要求令牌的任何應用程式標示為「ADAL 應用程式」,包括使用ADAL和 MSAL 的應用程式。
Azure Active Directory 驗證程式庫 (ADAL) 已被取代。 強烈建議移轉至 Microsoft 驗證程式庫 (MSAL),該程式庫取代了 ADAL。 Microsoft 不再發行 ADAL 的新功能和安全性修正程式。 使用ADAL的應用程式將無法利用最新的安全性功能,使其容易受到未來安全性威脅的影響。 如果您現有的應用程式使用 ADAL,請務必將其移轉至 MSAL。
運作方式
系統會每天檢查過去 30 天內是否有新的 ADAL 令牌要求。 如果應用程式未提出 30 天的新要求,其建議狀態會標示為已完成。 所有應用程式都符合此準則後,整體建議狀態會更新為「已完成」。 如果針對先前完成的應用程式偵測到新的 ADAL 要求,其狀態會還原為「作用中」。
值
MSAL 設計用於啟用安全的解決方案,因此開發人員無需擔憂實作詳細資料。 MSAL 可簡化權杖的取得、管理、快取和重新整理方式。 MSAL 也會使用最佳做法來提高系統的復原能力。 如需 MSAL 支援案例的詳細資訊,請參閱 將應用程式遷移至 MSAL。
行動方案
若要識別並取得您租使用者中目前使用ADAL的所有應用程式詳細數據,您可以使用登入活頁簿。 若要以程序設計方式取得所有應用程式的清單,您也可以使用 Microsoft Graph API 或 Microsoft Graph PowerShell SDK。
Microsoft Entra 系統管理中心的登入活頁簿會合併各種類型的登入事件記錄,包括互動式、非互動式和服務主體登入。此匯總提供租使用者中 ADAL 應用程式使用量的詳細深入解析,以協助您完全瞭解和管理 ADAL 應用程式的移轉。 如需 ADAL 應用程式登入數據的更詳細分析和更深入的調查,您可以在租用戶中啟用 Microsoft Entra 登入活頁簿 。 此工具提供完整的登入數據深入解析,以支援移轉。
常見問題集
當您處理 ADAL 至 MSAL 移轉時,請檢閱下列常見問題。
為什麼需要 30 天的時間才能將狀態變更為已完成?
為了減少誤判,服務會使用 30 天的時間範圍來檢查 ADAL 要求。 如此一來,即使數天內沒有 ADAL 要求,服務也不會錯誤地標示為已完成。
如何識別租用戶中應用程式的擁有者?
您可以從建議詳細數據中找到擁有者。 選取資源後,將會引導您前往應用程式詳細資料。 移至 [ 管理>擁有者 ] 以檢視目前的擁有者。 檢視擁有者至少 需要應用程式管理員 角色。
狀態是否會從 [已完成] 變更為 [作用中] ?
是。 如果應用程式在 30 天內沒有發出任何 ADAL 要求,該應用程式就會標示為完成。 如果服務偵測到新的 ADAL 要求,狀態會變更回 [作用中]。 建議只能由系統更新。
如何整合 Microsoft Entra 登入活頁簿?
您可以在 Microsoft Entra 登入活頁簿中找到詳細步驟。
為什麼登入活頁簿和建議中的ADAL應用程式數目不同?
匯總數據與事務數據: 建議會匯總過去 30 天內的數據,並提供應用程式活動的摘要檢視。 相反地,登入活頁簿會詳細說明每個登入要求做為交易,這可讓您進行更詳細的分析。
時間範圍彈性: 登入活頁簿數據可從最近 30 分鐘篩選到最多 30 天。 選取時間範圍時的這種彈性可能會導致應用程式計數的變化,可能會扭曲結果。
存取歷程記錄數據: 在登入活頁簿中檢視超過 7 天的數據需要Microsoft Entra ID P1 或 P2 租使用者訂用帳戶。 相較於建議中的匯總數據,這項需求會影響可存取的歷史數據量。