Microsoft Entra-verificatie voor Azure Monitor-logboeken

Azure Monitor kan gegevens verzamelen in Azure Monitor-logboeken uit meerdere bronnen. Deze bronnen omvatten agents op virtuele machines, Application Insights, diagnostische instellingen voor Azure-resources en de Data Collector-API.

Log Analytics-agents gebruiken een werkruimtesleutel als inschrijvingssleutel om de initiële toegang te verifiëren en een certificaat in te richten dat verder wordt gebruikt om een beveiligde verbinding tot stand te brengen tussen de agent en Azure Monitor. Zie Gegevens verzenden van agents voor meer informatie. De Data Collector-API gebruikt dezelfde werkruimtesleutel om toegang te autoriseren.

Deze opties kunnen lastig zijn en een risico vormen omdat het lastig is om referenties, met name werkruimtesleutels, op grote schaal te beheren. U kunt zich afmelden voor lokale verificatie en ervoor zorgen dat alleen telemetriegegevens die uitsluitend worden geverifieerd met beheerde identiteiten en Microsoft Entra-id worden opgenomen in Azure Monitor. Deze functie verbetert de beveiliging en betrouwbaarheid van de telemetrie die wordt gebruikt om kritieke operationele en zakelijke beslissingen te nemen.

Microsoft Entra-integratie voor Azure Monitor-logboeken inschakelen en afhankelijkheid van deze gedeelde geheimen verwijderen:

1. Schakel lokale verificatie voor Log Analytics-werkruimten uit.
2. Zorg ervoor dat alleen geverifieerde telemetriegegevens worden opgenomen in uw Application Insights-resources met Microsoft Entra-verificatie voor Application Insights (preview).

Vereisten

• Migreren naar Azure Monitor Agent vanuit de Log Analytics-agents. Azure Monitor Agent vereist geen sleutels, maar vereist in plaats daarvan een door het systeem beheerde identiteit.
• Migreer naar de API voor logboekopname van de HTTP-gegevensverzamelaar-API om gegevens naar Azure Monitor-logboeken te verzenden.

Machtigingen vereist

Als u lokale verificatie voor een Log Analytics-werkruimte wilt uitschakelen, hebt u bijvoorbeeld machtigingen nodig microsoft.operationalinsights/workspaces/write voor de werkruimte, zoals opgegeven door de ingebouwde rol Log Analytics-inzender.

Lokale verificatie uitschakelen voor Log Analytics-werkruimten

Het uitschakelen van lokale verificatie kan de beschikbaarheid van bepaalde functionaliteit beperken, met name:

• Bestaande Log Analytics-agents werken niet meer. Alleen Azure Monitor Agent wordt ondersteund. Azure Monitor Agent mist enkele mogelijkheden die beschikbaar zijn via de Log Analytics-agent. Voorbeelden hiervan zijn het verzamelen van aangepaste logboeken en het verzamelen van IIS-logboeken.
• De Data Collector-API (preview) biedt geen ondersteuning voor Microsoft Entra-verificatie en is niet beschikbaar voor het opnemen van gegevens.
• VM-inzichten en containerinzichten werken niet meer. Lokale autorisatie is de enige autorisatiemethode die wordt ondersteund door deze functies.

U kunt lokale verificatie uitschakelen met behulp van Azure Policy. U kunt deze ook programmatisch uitschakelen via een Azure Resource Manager-sjabloon, PowerShell of de Azure CLI.

Azure Policy

Met Azure Policy kunt DisableLocalAuth u geen nieuwe Log Analytics-werkruimte maken, tenzij deze eigenschap is ingesteld op true. De beleidsnaam is Log Analytics Workspaces should block non-Azure Active Directory based ingestion. Als u deze beleidsdefinitie wilt toepassen op uw abonnement, maakt u een nieuwe beleidstoewijzing en wijst u het beleid toe.

De beleidssjabloondefinitie:

{
  "properties": {
    "displayName": "Log Analytics Workspaces should block non-Azure Active Directory based ingestion.",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Enforcing log ingestion to require Azure Active Directory authentication prevents unauthenticated logs from an attacker which could lead to incorrect status, false alerts, and incorrect logs stored in the system.",
    "metadata": {
      "version": "1.0.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy"
        },
        "allowedValues": [
          "Deny",
          "Audit",
          "Disabled"
        ],
        "defaultValue": "Audit"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.OperationalInsights/workspaces"
          },
          {
            "field": "Microsoft.OperationalInsights/workspaces/features.disableLocalAuth",
            "notEquals": "true"
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]"
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/e15effd4-2278-4c65-a0da-4d6f6d1890e2",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "e15effd4-2278-4c65-a0da-4d6f6d1890e2"
}

Azure Resource Manager

De DisableLocalAuth eigenschap wordt gebruikt om lokale verificatie in uw Log Analytics-werkruimte uit te schakelen. Wanneer deze eigenschap is ingesteld true, dwingt deze eigenschap af dat Microsoft Entra-verificatie moet worden gebruikt voor alle toegang.

Gebruik de volgende Azure Resource Manager-sjabloon om lokale verificatie uit te schakelen:

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaces_name": {
            "defaultValue": "workspace-name",
            "type": "string"
        },
        "workspace_location": {
          "defaultValue": "region-name",
          "type": "string"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.OperationalInsights/workspaces",
            "apiVersion": "2020-08-01",
            "name": "[parameters('workspaces_name')]",
            "location": "[parameters('workspace_location')]",
            "properties": {
                 "sku": {
                    "name": "PerGB2018"
                },
                "retentionInDays": 30,
                "features": {
                    "disableLocalAuth": false,
                    "enableLogAccessUsingOnlyResourcePermissions": true
                }
            }
        }
    ]
}

Azure-CLI

De DisableLocalAuth eigenschap wordt gebruikt om lokale verificatie in uw Log Analytics-werkruimte uit te schakelen. Wanneer deze eigenschap is ingesteld true, dwingt deze eigenschap af dat Microsoft Entra-verificatie moet worden gebruikt voor alle toegang.

Gebruik de volgende Azure CLI-opdrachten om lokale verificatie uit te schakelen:

    az resource update --ids "/subscriptions/[Your subscription ID]/resourcegroups/[Your resource group]/providers/microsoft.operationalinsights/workspaces/[Your workspace name]--api-version "2021-06-01" --set properties.features.disableLocalAuth=True

PowerShell

De DisableLocalAuth eigenschap wordt gebruikt om lokale verificatie in uw Log Analytics-werkruimte uit te schakelen. Wanneer deze eigenschap is ingesteld true, dwingt deze eigenschap af dat Microsoft Entra-verificatie moet worden gebruikt voor alle toegang.

Gebruik de volgende PowerShell-opdrachten om lokale verificatie uit te schakelen:

    $workspaceSubscriptionId = "[You subscription ID]"
    $workspaceResourceGroup = "[You resource group]"
    $workspaceName = "[Your workspace name]"
    $disableLocalAuth = $false
    
    # login
    Connect-AzAccount
    
    # select subscription
    Select-AzSubscription -SubscriptionId $workspaceSubscriptionId
    
    # get private link workspace resource
    $workspace = Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ResourceGroupName $workspaceResourceGroup -ResourceName $workspaceName -ApiVersion "2021-06-01"
    
    # set DisableLocalAuth
    $workspace.Properties.Features | Add-Member -MemberType NoteProperty -Name DisableLocalAuth -Value $disableLocalAuth -Force
    $workspace | Set-AzResource -Force

Volgende stappen

Zie Microsoft Entra-verificatie voor Application Insights (preview).