Application Insights に対する Azure AD Authentication

[アーティクル]
01/28/2023

Application Insights では、新たに Azure Active Directory (Azure AD) 認証がサポートされています。認証されたテレメトリのみが Application Insights リソースに取り込まれるよう、Azure AD を使用して設定できるようになりました。

さまざまな認証システムを使用すると、資格情報の管理が困難なため、煩雑であり、リスクも高まります。マネージド ID と Azure Active Directory を使用して排他的に認証されたテレメトリのみがリソースに取り込まれるよう、ローカル認証の無効化を選択することが可能になりました。この機能は、(アラートやオートスケールなどの) 運用上の重要な決定と、ビジネスの意思決定の両方を行うために使用されるテレメトリのセキュリティと信頼性を強化するためのステップです。

前提条件

Azure AD 認証インジェストを有効にするための前提条件を次に示します。

パブリッククラウド内である必要があります
次の知識が必要です。
Azure 組み込みロールを使用したアクセスを許可するために、リソースグループに対する "所有者" ロールを持っていること。
サポートされていないシナリオについて理解していること。

サポートされていないシナリオ

次の SDK と機能は、Azure AD 認証インジェストでの使用がサポートされていません。

Application Insights Java 2.x SDK
Azure AD 認証は Application Insights Java Agent 3.2.0 以降でのみ使用できます。
ApplicationInsights JavaScript Web SDK
Application Insights OpenCensus Python SDK と Python バージョン 3.4 および 3.5
証明書/シークレットベースの Azure AD は運用環境では推奨されていません。代わりにマネージド ID を使用してください。
App Service、VM/仮想マシンスケールセット、Azure Functions などに対して既定でオンになっているコードレス監視 (言語)。
可用性テスト
Profiler

Azure AD ベースの認証の構成と有効化

まだ ID がない場合、マネージド ID またはサービスプリンシパルを使用して作成します。
1. マネージド ID の使用 (推奨):
  
  (VM、App Service などの) Azure サービス用のマネージド ID を設定します。
2. サービスプリンシパルの使用 (非推奨):
  
  リソースにアクセスできる Azure AD アプリケーションとサービスプリンシパルの作成方法の詳細については、サービスプリンシパルの作成に関するページを参照してください。
Azure サービスにロールを割り当てます。

Azure ロールの割り当てに関するページの手順に従って、ターゲットの Application Insights リソースからの "Monitoring Metrics Publisher" (メトリック発行元の監視) ロールを、テレメトリの送信元の Azure リソースに追加します。

Note

"Monitoring Metrics Publisher" ロールは、"メトリック" が名前に含まれていますが、すべてのテレメトリを App Insights リソースに発行します。
以下の言語別の構成ガイダンスに従います。

Note

Application Insights .NET SDK での Azure AD のサポートは、バージョン 2.18-Beta3 以降に含まれています。

Application Insights .NET SDK では、Azure Identity によって提供される資格情報クラスがサポートされています。

DefaultAzureCredential はローカル開発に対して推奨されます。
ManagedIdentityCredential は、システム割り当ておよびユーザー割り当てのマネージド ID に対して推奨されます。
- システム割り当ての場合は、パラメーターを指定せずに既定のコンストラクターを使用します。
- ユーザー割り当ての場合は、clientId をコンストラクターに渡します。
ClientSecretCredential はサービスプリンシパルに対して推奨されます。
- tenantId、clientId、clientSecret をコンストラクターに渡します。

.NET を使用して手動で TelemetryConfiguration を作成および構成する例を次に示します。

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

.NET Core を使用して TelemetryConfiguration を構成する例を次に示します。

services.Configure<TelemetryConfiguration>(config =>
{
       var credential = new DefaultAzureCredential();
       config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

Note

インストルメンテーションキーのインジェストのサポートは、2025 年 3 月 31 日に終了します。インストルメンテーションキーのインジェストは引き続き機能しますが、この機能の更新プログラムやサポートは提供されなくなります。接続文字列に移行することで、新機能をご利用いただけます。

Note

Application Insights Node.JS での Azure AD のサポートは、バージョン 2.1.0-beta.1 以降に含まれています。

Application Insights Node.JS では、Azure Identity によって提供される資格情報クラスがサポートされています。

DefaultAzureCredential

import appInsights from "applicationinsights";
import { DefaultAzureCredential } from "@azure/identity"; 
 
const credential = new DefaultAzureCredential();
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

ClientSecretCredential

import appInsights from "applicationinsights";
import { ClientSecretCredential } from "@azure/identity"; 
 
const credential = new ClientSecretCredential(
    "<YOUR_TENANT_ID>",
    "<YOUR_CLIENT_ID>",
    "<YOUR_CLIENT_SECRET>"
  );
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

Note

Application Insights Java エージェントでの Azure AD のサポートは、Java 3.2.0-BETA 以降に含まれています。

Java エージェントを使用してアプリケーションを構成します。

重要

Java エージェントを使用してアプリを構成するときは、"IngestionEndpoint" を含む完全な接続文字列を使用してください。たとえば、「 InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/ 」のように指定します。

Note

2\.X SDK から 3.X Java エージェントへの移行の詳細については、「Application Insights Java 2.x SDK からのアップグレード」を参照してください。
使用している認証に応じて、json 構成を ApplicationInsights.json 構成ファイルに追加します。ユーザーがマネージド ID を使用することを推奨します。

システム割り当てマネージド ID

次に示すのは、Azure AD を使用した認証にシステム割り当てマネージド ID を使用するように Java エージェントを構成する方法の例です。

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "preview": { 
    "authentication": { 
      "enabled": true, 
      "type": "SAMI" 
    } 
  } 
}

ユーザー割り当てマネージド ID

次に示すのは、Azure AD を使用した認証にユーザー割り当てマネージド ID を使用するように Java エージェントを構成する方法の例です。

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "preview": { 
    "authentication": { 
      "enabled": true, 
      "type": "UAMI", 
      "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
    } 
  }     
}

クライアントシークレット

次に示すのは、Azure AD を使用した認証にサービスプリンシパルを使用するように Java エージェントを構成する方法の例です。このタイプの認証は開発中にのみ使用することをお勧めします。認証機能を追加することの最終的な目標は、シークレットを排除することです。

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint",
   "preview": { 
        "authentication": { 
          "enabled": true, 
          "type": "CLIENTSECRET", 
          "clientId":"<YOUR CLIENT ID>", 
          "clientSecret":"<YOUR CLIENT SECRET>", 
          "tenantId":"<YOUR TENANT ID>" 
    } 
  } 
}

Note

Azure AD 認証は、Python v2.7、v3.6、v3.7 でのみ使用できます。 Application Insights Opencensus Python SDK での Azure AD のサポートは、ベータバージョン opencensus-ext-azure 1.1b0 以降に含まれています。

適切な資格情報を作成し、Azure Monitor エクスポーターのコンストラクターに渡します。リソースのインストルメンテーションキーとインジェストエンドポイントを使用して接続文字列が設定されていることを確認してください。

Opencensus Azure Monitor エクスポーターでサポートされている認証のタイプを以下に示します。マネージド ID は運用環境でお勧めします。

システム割り当てマネージド ID

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential()
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

ユーザー割り当てマネージド ID

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential(client_id="<client-id>")
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

クライアントシークレット

from azure.identity import ClientSecretCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

tenant_id = "<tenant-id>"
client_id = "<client-id"
client_secret = "<client-secret>"

credential = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Note

ローカル認証の無効化

Azure AD 認証が有効になったら、ローカル認証を無効にすることを選択できます。この構成によって、Azure AD によって排他的に認証されたテレメトリを取り込むことができ、これは (たとえば、API キーを通じて) データアクセスに影響を及ぼします。

ローカル認証は、Azure portal、Azure Policy、またはプログラムを使用して無効化できます。

Azure portal

Application Insights リソースで、左側のメニューの [構成] 見出しの下にある [プロパティ] を選択します。次に、ローカル認証が有効になっている場合は、 [Enabled (click to change)](有効 (クリックして変更)) を選択します。
[無効] を選択し、変更を適用します。
リソースでローカル認証が無効になると、対応する情報が [概要] ペインに表示されます。

Azure Policy

"DisableLocalAuth" の Azure Policy は、このプロパティが "true" に設定されていない場合に、ユーザーが新しい Application Insights リソースを作成することを拒否します。ポリシー名は "Application Insights components should block non-AAD auth ingestion" (Application Insights コンポーネントは AAD 認証以外のインジェストをブロックする必要がある) です。

このポリシー定義をサブスクリプションに適用するには、新しいポリシー割り当てを作成してポリシーを割り当てます。

ポリシーテンプレートの定義を次に示します。

{
    "properties": {
        "displayName": "Application Insights components should block non-AAD auth ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

プログラムによる有効化

プロパティ DisableLocalAuth は、Application Insights リソースでローカル認証を無効にするために使用されます。このプロパティを true に設定すると、すべてのアクセスで Azure AD 認証を使用することが必須になります。

次に示すサンプルの Azure Resource Manager テンプレートは、ワークスペースベースの Application Insights リソースを作成してローカル認証を無効にするために使用できます。

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

トラブルシューティング

ここでは、サポートチケットを発行する前にユーザーが問題解決のために実行できる各種トラブルシューティングのシナリオと手順について説明します。

インジェスト HTTP エラー

インジェストサービスでは、SDK 言語に関係なく、特定のエラーを返します。ネットワークトラフィックは、Fiddler などのツールを使用して収集できます。接続文字列に設定されたインジェストエンドポイントへのトラフィックをフィルター処理する必要があります。

HTTP/1.1 400 Authentication not supported (認証がサポートされていません)

このエラーは、リソースが Azure AD 専用に構成されていることを示します。 SDK が正しく構成されておらず、正しくない API に送信されています。

Note

"v2/track" では Azure AD はサポートされていません。 SDK が正しく構成されると、テレメトリは "v2.1/track" に送信されます。

次のステップで、SDK 構成を確認する必要があります。

HTTP/1.1 401 Authorization required (認証が必要です)

このエラーは、SDK は正しく構成されているが、有効なトークンを取得できなかったことを示しています。このエラーは、Azure Active Directory の問題を示している可能性があります。

次の手順として、SDK ログの例外、または Azure ID からのネットワークエラーを特定する必要があります。

HTTP/1.1 403 Unauthorized (権限がありません)

このエラーは、Application Insights のリソースまたはサブスクリプションに対するアクセス許可を付与されていない資格情報を使用して SDK が構成されていることを示します。

次の手順として、Application Insights リソースのアクセスの制御を確認する必要があります。 SDK は、"監視メトリック発行者" ロールが付与された資格情報を使用して構成されている必要があります。

言語固有のトラブルシューティング

イベントソース

Application Insights .NET SDK は、イベントソースを使用してエラーログを出力します。イベントソースログの収集の詳細については、「データが存在しない場合のトラブルシューティング」の「PerfView でログを収集する」を参照してください。

SDK でトークンを取得できなかった場合、次の例外メッセージがログに記録されます: Failed to get AAD Token. Error message:

内部ログは、次の設定を使用して有効にすることができます。有効にすると、Azure AD 統合に関連したエラーを含むエラーログがコンソールに表示されます。たとえば、指定した資格情報が誤っていた場合のトークン生成失敗や、指定した資格情報を使用してインジェストエンドポイントを認証できなかった場合のエラーです。

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

HTTP トラフィック

Fiddler などのツールを使用してネットワークトラフィックを検査できます。 Fiddler 経由でトラフィックをトンネリングできるようにするには、構成ファイルに次のプロキシ設定を追加します。

"proxy": {
"host": "localhost",
"port": 8888
}

または、アプリケーションの実行中に次の jvm 引数を追加します: -Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

エージェントで Azure AD が有効な場合、送信トラフィックには HTTP ヘッダー "Authorization" が含まれます。

401 権限がありません

次の WARN メッセージがログファイル WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials に記録されている場合、エージェントがテレメトリを送信できなかったことを示しています。おそらくは、エージェントで Azure AD 認証を有効にしていない一方で、Application Insights リソースでは DisableLocalAuth: true が構成されています。有効な資格情報を渡しており、Application Insights リソースにアクセスするためのアクセス許可をその資格情報が持っていることを確認してください。

Fiddler を使用している場合、応答ヘッダーが次のようになることがあります: HTTP/1.1 401 Unauthorized - please provide the valid authorization token。

CredentialUnavailableException

次の例外がログファイル com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established に記録されている場合、エージェントがアクセストークンを取得できなかったことを示しています。ユーザー割り当てマネージド ID 構成で無効な clientId が指定されていることが原因である可能性があります。

Failed to send telemetry (テレメトリを送信できませんでした)

次の WARN メッセージがログファイル WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials に記録されている場合、エージェントがテレメトリを送信できなかったことを示しています。この警告の原因として考えられるのは、指定された資格情報では、テレメトリをコンポーネントに取り込むためのアクセスが許可されていないことです

Fiddler を使用している場合、応答ヘッダーが次のようになることがあります: HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component。

根本原因として考えられるのは、次のいずれかです。

システム割り当てマネージド ID を有効にしてリソースを作成した。または、ユーザー割り当て ID をリソースに関連付けたが、Monitoring Metrics Publisher ロールをリソース (SAMI を使用している場合) またはユーザー割り当て ID (UAMI を使用している場合) に追加するのを忘れていた可能性がある。
アクセストークンを取得するための適切な資格情報を指定したが、その資格情報が適切な Application Insights リソースに属していない。 Application Insights リソースで、リソース (VM、App Service など) またはユーザー割り当て ID に Monitoring Metrics Publisher ロールが付与されていることを確認してください。

無効な TenantId

次の例外がログファイル com.microsoft.aad.msal4j.MsalServiceException: Specified tenant identifier <TENANT-ID> is neither a valid DNS name, nor a valid external domain. に記録されている場合、エージェントがアクセストークンを取得できなかったことを示しています。考えられる理由は、クライアントシークレット構成で tenantId が無効または間違っている可能性があります。

無効なクライアントシークレット

次の例外がログファイル com.microsoft.aad.msal4j.MsalServiceException: Invalid client secret is provided に記録されている場合、エージェントがアクセストークンを取得できなかったことを示しています。考えられる理由は、クライアントシークレット構成で clientSecret が無効である可能性があります。

無効な ClientId

次の例外がログファイル com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory に記録されている場合、エージェントがアクセストークンを取得できなかったことを示しています。考えられる理由は、クライアントシークレット構成で "clientId" が無効または間違っている可能性があります

このシナリオは、アプリケーションがテナントの管理者によってインストールされていない場合や、アプリケーションがテナント内のいずれのユーザーによっても同意されていない場合に発生することがあります。間違ったテナントに認証要求を送信した可能性があります。

"credential error" で始まるエラー (ステータスコードなし)

使用している資格情報に何らかの問題があるため、クライアントは認可用のトークンを取得できません。これは、状態に関する必要なデータの欠落が原因です。たとえば、システムの ManagedIdentityCredential を渡したが、リソースはシステム管理 ID を使用するように構成されていない場合などです。

"authentication error" で始まるエラー (ステータスコードなし)

クライアントは、指定された資格情報で認証できませんでした。通常は、使用する資格情報のロール割り当てが正しくない場合に発生します。

エラーログにステータスコード 400 が記録されている

可能性が高い原因は、資格情報の欠落です。または、資格情報が None に設定されているが、Application Insights リソースは DisableLocalAuth: true を使用して構成されていることです。有効な資格情報を渡しており、Application Insights リソースにアクセスするためのアクセス許可をその資格情報が持っていることを確認してください。

エラーログにステータスコード 403 が記録されている

通常は、指定した資格情報で、Application Insights リソースのテレメトリを取り込むためのアクセスが許可されていない場合に発生します。 AI リソースのロール割り当てが正しいことを確認してください。

Application Insights に対する Azure AD Authentication

前提条件

サポートされていないシナリオ

Azure AD ベースの認証の構成と有効化

DefaultAzureCredential

ClientSecretCredential

システム割り当てマネージド ID

ユーザー割り当てマネージド ID

クライアントシークレット

システム割り当てマネージド ID

ユーザー割り当てマネージド ID

クライアントシークレット

ローカル認証の無効化

Azure portal

Azure Policy

プログラムによる有効化

トラブルシューティング

インジェスト HTTP エラー

HTTP/1.1 400 Authentication not supported (認証がサポートされていません)

HTTP/1.1 401 Authorization required (認証が必要です)

HTTP/1.1 403 Unauthorized (権限がありません)

言語固有のトラブルシューティング

イベントソース

HTTP トラフィック

401 権限がありません

CredentialUnavailableException

Failed to send telemetry (テレメトリを送信できませんでした)

無効な TenantId

無効なクライアントシークレット

無効な ClientId

"credential error" で始まるエラー (ステータスコードなし)

"authentication error" で始まるエラー (ステータスコードなし)

エラーログにステータスコード 400 が記録されている

エラーログにステータスコード 403 が記録されている

次のステップ

その他のリソース

その他のリソース

Application Insights に対する Azure AD Authentication

前提条件

サポートされていないシナリオ

Azure AD ベースの認証の構成と有効化

ローカル認証の無効化

Azure portal

Azure Policy

プログラムによる有効化

トラブルシューティング

インジェスト HTTP エラー

HTTP/1.1 400 Authentication not supported (認証がサポートされていません)

HTTP/1.1 401 Authorization required (認証が必要です)

HTTP/1.1 403 Unauthorized (権限がありません)

言語固有のトラブルシューティング

イベント ソース

次のステップ

その他のリソース

その他のリソース

イベントソース