Autenticação do Microsoft Entra para o Application Insights

O Application Insights agora oferece suporte à autenticação Microsoft Entra. Usando o Microsoft Entra ID, você pode garantir que apenas a telemetria autenticada seja ingerida em seus recursos do Application Insights.

Usar vários sistemas de autenticação pode ser complicado e arriscado porque é difícil gerenciar credenciais em escala. Agora você pode optar por desativar a autenticação local para garantir que apenas a telemetria exclusivamente autenticada usando identidades gerenciadas e o Microsoft Entra ID seja ingerido em seu recurso. Esse recurso é uma etapa para aumentar a segurança e a confiabilidade da telemetria usada para tomar decisões operacionais críticas (alertas e dimensionamento automático) e de negócios.

Nota

Este documento aborda a ingestão de dados no Application Insights usando a autenticação baseada em ID do Microsoft Entra. Para obter informações sobre como consultar dados no Application Insights, consulte Consultar o Application Insights usando a autenticação do Microsoft Entra.

Pré-requisitos

As etapas preliminares a seguir são necessárias para habilitar a ingestão autenticada do Microsoft Entra. Precisa de:

• Esteja na nuvem pública.
• Esteja familiarizado com:
  • Identidade gerida.
  • Entidade de serviço.
  • Atribuição de funções do Azure.
• Ter uma função de Proprietário para o grupo de recursos para conceder acesso usando funções internas do Azure.
• Entenda os cenários sem suporte.

Cenários não suportados

Os seguintes SDKs (Software Development Kits) e recursos não são suportados para uso com a ingestão autenticada do Microsoft Entra:

• SDK Java 2.x do Application Insights.
  A autenticação do Microsoft Entra só está disponível para o Application Insights Java Agent maior ou igual a 3.2.0.
• SDK da Web JavaScript do ApplicationInsights.
• Application Insights OpenCensus Python SDK com Python versão 3.4 e 3.5.
• Autoinstrumentação por padrão /monitoramento sem código (para idiomas) para o Serviço de Aplicativo do Azure, Máquinas Virtuais do Azure/Conjuntos de Dimensionamento de Máquina Virtual do Azure e Azure Functions.
• Criador de perfil.

Configurar e habilitar a autenticação baseada em ID do Microsoft Entra

1. Se você ainda não tiver uma identidade, crie uma usando uma identidade gerenciada ou uma entidade de serviço.

   • Recomendamos o uso de uma identidade gerenciada:

     Configure uma identidade gerenciada para seu serviço do Azure (Máquinas Virtuais ou Serviço de Aplicativo).

   • Não recomendamos o uso de uma entidade de serviço:

     Para obter mais informações sobre como criar um aplicativo Microsoft Entra e uma entidade de serviço que possa acessar recursos, consulte Criar uma entidade de serviço.

2. Atribua uma função ao serviço do Azure.

   Siga as etapas em Atribuir funções do Azure para adicionar a função Monitoring Metrics Publisher do recurso de destino do Application Insights ao recurso do Azure do qual a telemetria é enviada.

   Nota

   Embora a função Monitoring Metrics Publisher diga "métricas", ela publicará toda a telemetria no recurso do Application Insights.

3. Siga as orientações de configuração de acordo com o idioma a seguir.

.NET

Nota

O suporte para o Microsoft Entra ID no SDK do .NET do Application Insights está incluído a partir da versão 2.18-Beta3.

O SDK do .NET do Application Insights dá suporte às classes de credenciais fornecidas pela Identidade do Azure.

• Recomendamos para o DefaultAzureCredential desenvolvimento local.
• Recomendamos ManagedIdentityCredential para identidades gerenciadas atribuídas pelo sistema e pelo usuário.
  • Para system-assigned, use o construtor padrão sem parâmetros.
  • Para o usuário atribuído, forneça o ID do cliente para o construtor.

O exemplo a seguir mostra como criar e configurar TelemetryConfiguration manualmente usando o .NET:

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

O exemplo a seguir mostra como configurar TelemetryConfiguration usando o .NET Core:

services.Configure<TelemetryConfiguration>(config =>
{
       var credential = new DefaultAzureCredential();
       config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

Node.js

Nota

O suporte para o Microsoft Entra ID no Application Insights Node.JS está incluído a partir da versão 2.1.0-beta.1.

O Application Insights Node.JS dá suporte às classes de credenciais fornecidas pela Identidade do Azure.

DefaultAzureCredential

import appInsights from "applicationinsights";
import { DefaultAzureCredential } from "@azure/identity"; 
 
const credential = new DefaultAzureCredential();
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

Java

Nota

O suporte para Microsoft Entra ID no agente Java do Application Insights está incluído a partir do Java 3.2.0-BETA.

1. Configure seu aplicativo com o agente Java.

   Importante

   Use a cadeia de conexão completa, que inclui IngestionEndpoint, quando você configurar seu aplicativo com o agente Java. Por exemplo, use InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/.

2. Adicione a configuração JSON ao arquivo de configuração ApplicationInsights.json , dependendo da autenticação que você está usando. Recomendamos o uso de identidades gerenciadas.

Nota

Para obter mais informações sobre como migrar do SDK para o 3.X agente Java, consulte Atualizando do 2.X SDK Java 2.x do Application Insights.

Identidade gerida atribuída pelo sistema

O exemplo a seguir mostra como configurar o agente Java para usar a identidade gerenciada atribuída ao sistema para autenticação com o ID do Microsoft Entra.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
} 

Identidade gerida atribuída pelo utilizador

O exemplo a seguir mostra como configurar o agente Java para usar a identidade gerenciada atribuída pelo usuário para autenticação com o ID do Microsoft Entra.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
} 

Configuração da variável de ambiente

A APPLICATIONINSIGHTS_AUTHENTICATION_STRING variável de ambiente permite que o Application Insights se autentique no Microsoft Entra ID e envie telemetria.

• Para a identidade atribuída ao sistema:

Definição da aplicação	Value
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Para identidade atribuída pelo usuário:

Definição da aplicação	Value
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Defina a APPLICATIONINSIGHTS_AUTHENTICATION_STRING variável de ambiente usando essa cadeia de caracteres.

Em Unix/Linux:

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

No Windows:

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Depois de configurá-lo, reinicie o aplicativo. Agora, ele envia telemetria para o Application Insights usando a autenticação do Microsoft Entra.

Python

Nota

A autenticação do Microsoft Entra só está disponível para Python v2.7, v3.6 e v3.7. O suporte para o Microsoft Entra ID no SDK Python do OpenCensus do Application Insights está incluído a partir da versão beta opencensus-ext-azure 1.1b0.

Nota

O OpenCensus Python SDK foi preterido, mas a Microsoft o suporta até a aposentadoria em 30 de setembro de 2024. Agora recomendamos a oferta Python baseada em OpenTelemetry e fornecemos orientação de migração.

Crie as credenciais apropriadas e passe-as para o construtor do exportador do Azure Monitor. Verifique se a cadeia de conexão está configurada com a chave de instrumentação e o ponto de extremidade de ingestão do recurso.

Os OpenCensus exportadores do Azure Monitor dão suporte a esses tipos de autenticação. Recomendamos o uso de identidades gerenciadas em ambientes de produção.

Identidade gerida atribuída pelo sistema

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential()
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Identidade gerida atribuída pelo utilizador

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential(client_id="<client-id>")
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Desativar autenticação local

Depois que a autenticação do Microsoft Entra estiver habilitada, você poderá optar por desabilitar a autenticação local. Essa configuração permite que você ingira telemetria autenticada exclusivamente pelo ID do Microsoft Entra e afeta o acesso aos dados (por exemplo, por meio de chaves de API).

Você pode desabilitar a autenticação local usando o portal do Azure ou a Política do Azure ou programaticamente.

Portal do Azure

1. No recurso do Application Insights, selecione Propriedades sob o título Configurar no menu à esquerda. Selecione Ativado (clique para alterar) se a autenticação local estiver ativada.

   

2. Selecione Desativado e aplique alterações.

   

3. Depois de desativar a autenticação local no seu recurso, você verá as informações correspondentes no painel Visão geral .

   

Azure Policy

A Política do Azure para DisableLocalAuth nega aos usuários a capacidade de criar um novo recurso do Application Insights sem essa propriedade definida como true. O nome da política é Application Insights components should block non-AAD auth ingestion.

Para aplicar esta definição de política à sua subscrição, crie uma nova atribuição de política e atribua a política.

O exemplo a seguir mostra a definição do modelo de política:

{
    "properties": {
        "displayName": "Application Insights components should block non-AAD auth ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Capacitação programática

A propriedade DisableLocalAuth é usada para desabilitar qualquer autenticação local em seu recurso do Application Insights. Quando essa propriedade é definida como true, ela impõe que a autenticação do Microsoft Entra deve ser usada para todo o acesso.

O exemplo a seguir mostra o modelo do Azure Resource Manager que você pode usar para criar um recurso do Application Insights baseado em espaço de trabalho com LocalAuth desabilitado.

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

Público do token

Ao desenvolver um cliente personalizado para obter um token de acesso do Microsoft Entra ID para enviar telemetria ao Application Insights, consulte a tabela a seguir para determinar a cadeia de caracteres de audiência apropriada para seu ambiente de host específico.

Versão na nuvem do Azure	Valor do público do token
Nuvem pública do Azure	https://monitor.azure.com
Microsoft Azure operado pela nuvem 21Vianet	https://monitor.azure.cn
Azure US Government nuvem	https://monitor.azure.us

Se você estiver usando nuvens soberanas, também poderá encontrar as informações do público na cadeia de conexão. A cadeia de conexão segue esta estrutura:

InstrumentationKey={profile. InstrumentationKey}; IngestionEndpoint={ingestionEndpoint}; LiveEndpoint={liveDiagnosticsEndpoint}; AADAudience={aadAudience}

O parâmetro de audiência, AADAudience, pode variar dependendo do seu ambiente específico.

Resolução de Problemas

Esta seção fornece cenários de solução de problemas distintos e etapas que você pode seguir para resolver um problema antes de gerar um tíquete de suporte.

Erros HTTP de ingestão

O serviço de ingestão retorna erros específicos, independentemente do idioma do SDK. O tráfego de rede pode ser coletado usando uma ferramenta como o Fiddler. Você deve filtrar o tráfego para o ponto de extremidade de ingestão definido na cadeia de conexão.

Autenticação HTTP/1.1 400 não suportada

Este erro mostra que o recurso está definido apenas para Microsoft Entra. Você precisa configurar corretamente o SDK porque ele está enviando para a API errada.

Nota

"v2/track" não suporta Microsoft Entra ID. Quando o SDK estiver configurado corretamente, a telemetria será enviada para "v2.1/track".

Em seguida, você deve revisar a configuração do SDK.

HTTP/1.1 401 Autorização necessária

Esse erro indica que o SDK está configurado corretamente, mas não é possível adquirir um token válido. Este erro pode indicar um problema com o Microsoft Entra ID.

Em seguida, você deve identificar exceções nos logs do SDK ou erros de rede da Identidade do Azure.

HTTP/1.1 403 Não autorizado

Esse erro significa que o SDK usa credenciais sem permissão para o recurso ou assinatura do Application Insights.

Primeiro, verifique o controle de acesso do recurso do Application Insights. Você deve configurar o SDK com credenciais que tenham a função Monitoring Metrics Publisher.

Solução de problemas específica do idioma

.NET

Origem do evento

O SDK do .NET do Application Insights emite logs de erro usando a fonte de eventos. Para saber mais sobre como coletar logs de origem de eventos, consulte Solução de problemas sem dados - coletar logs com o PerfView.

Se o SDK não conseguir obter um token, a mensagem de exceção será registrada como Failed to get AAD Token. Error message:.

Node.js

Os logs internos podem ser ativados usando a seguinte configuração. Depois de ativados, os logs de erros serão mostrados no console, incluindo qualquer erro relacionado à integração do Microsoft Entra. Os exemplos incluem falha na geração do token quando as credenciais erradas são fornecidas ou erros quando o ponto de extremidade de ingestão não consegue autenticar usando as credenciais fornecidas.

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

Java

Tráfego HTTP

Você pode inspecionar o tráfego de rede usando uma ferramenta como o Fiddler. Para habilitar o tráfego para o túnel através do Fiddler, adicione as seguintes configurações de proxy no arquivo de configuração:

"proxy": {
"host": "localhost",
"port": 8888
}

Ou adicione os seguintes args Java Virtual Machine (JVM) durante a execução do seu aplicativo: -Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

Se o Microsoft Entra ID estiver habilitado no agente, o tráfego de saída incluirá o cabeçalho AuthorizationHTTP .

401 Não Autorizado

Se você vir a mensagem WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials no log, isso significa que o agente não pôde enviar telemetria. Você provavelmente não habilitou a autenticação do Microsoft Entra no agente, enquanto seu recurso do Application Insights tem DisableLocalAuth: true. Certifique-se de passar uma credencial válida com permissão de acesso ao seu recurso do Application Insights.

Se estiver a utilizar o Fiddler, poderá ver o cabeçalho HTTP/1.1 401 Unauthorized - please provide the valid authorization tokende resposta .

CredentialUnavailableException

Se você vir a exceção, com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established no arquivo de log, isso significa que o agente não conseguiu adquirir o token de acesso. A causa provável é um ID de cliente inválido na sua configuração de Identidade Gerenciada Atribuída pelo Usuário.

Falha ao enviar telemetria

Se você vir a mensagem WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials no log, isso significa que o agente não pôde enviar telemetria. O motivo provável é que as credenciais usadas não permitem a ingestão de telemetria.

Usando o Fiddler, você pode notar a resposta HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component.

O problema pode dever-se a:

• Criar o recurso com uma identidade gerenciada atribuída pelo sistema ou associar uma identidade atribuída pelo usuário sem adicionar a função Monitoring Metrics Publisher a ele.
• Usando as credenciais corretas para tokens de acesso, mas vinculando-as ao recurso errado do Application Insights. Verifique se seu recurso (máquina virtual ou serviço de aplicativo) ou identidade atribuída pelo usuário tem funções de Editor de Métricas de Monitoramento em seu recurso do Application Insights.

ID de cliente inválida

Se a exceção, com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory no log, significa que o agente não conseguiu obter o token de acesso. Essa exceção provavelmente acontece porque o ID do cliente na configuração secreta do cliente é inválido ou incorreto.

Esse problema ocorre se o administrador não instalar o aplicativo ou nenhum usuário locatário consentir com ele. Isso também acontece se você enviar sua solicitação de autenticação para o locatário errado.

Python

O erro começa com "erro de credencial" (sem código de status)

Algo está incorreto sobre a credencial que você está usando e o cliente não consegue obter um token para autorização. É porque faltam os dados necessários para o Estado. Um exemplo seria passar um sistema ManagedIdentityCredential , mas o recurso não está configurado para usar a identidade gerenciada pelo sistema.

O erro começa com "erro de autenticação" (sem código de status)

O cliente não conseguiu autenticar com a credencial fornecida. Esse erro geralmente ocorre quando a credencial usada não tem as atribuições de função corretas.

Estou a receber um código de estado 400 nos meus registos de erros

Você provavelmente não tem uma credencial ou sua credencial está definida como None, mas seu recurso do Application Insights está configurado com DisableLocalAuth: true. Verifique se você está passando uma credencial válida e se ela tem permissão para acessar seu recurso do Application Insights.

Estou a receber um código de estado 403 nos meus registos de erros

Esse erro geralmente ocorre quando as credenciais fornecidas não concedem acesso à telemetria de ingestão para o recurso do Application Insights. Verifique se o recurso do Application Insights tem as atribuições de função corretas.

Próximos passos

• Monitorizar a telemetria no portal
• Diagnosticar com o Live Metrics Stream
• Consultar o Application Insights usando a autenticação do Microsoft Entra