Microsoft Entra-autentisering för Azure Monitor-loggar
Azure Monitor kan samla in data i Azure Monitor-loggar från flera källor. Dessa källor omfattar agenter på virtuella datorer, Application Insights, diagnostikinställningar för Azure-resurser och API:et datainsamlare.
Log Analytics-agenter använder en arbetsytenyckel som registreringsnyckel för att verifiera den första åtkomsten och etablera ett certifikat som ytterligare används för att upprätta en säker anslutning mellan agenten och Azure Monitor. Mer information finns i Skicka data från agenter. API:et datainsamlare använder samma arbetsytenyckel för att auktorisera åtkomst.
De här alternativen kan vara besvärliga och utgöra en risk eftersom det är svårt att hantera autentiseringsuppgifter, särskilt arbetsytenycklar, i stor skala. Du kan välja bort lokal autentisering och se till att endast telemetri som uteslutande autentiseras med hjälp av hanterade identiteter och Microsoft Entra-ID matas in i Azure Monitor. Den här funktionen förbättrar säkerheten och tillförlitligheten för den telemetri som används för att fatta viktiga operativa beslut och affärsbeslut.
Så här aktiverar du Microsoft Entra-integrering för Azure Monitor-loggar och tar bort beroendet av dessa delade hemligheter:
- Inaktivera lokal autentisering för Log Analytics-arbetsytor.
- Kontrollera att endast autentiserad telemetri matas in i dina Application Insights-resurser med Microsoft Entra-autentisering för Application Insights.
- Följ metodtipsen för att använda Entra-autentisering.
Förutsättningar
- Migrera till Azure Monitor-agenten från Log Analytics-agenterna. Azure Monitor-agenten kräver inga nycklar, utan kräver i stället en systemhanterad identitet.
- Migrera till API :et för logginmatning från HTTP Data Collector-API:et för att skicka data till Azure Monitor-loggar.
Behörigheter som krävs
Om du vill inaktivera lokal autentisering för en Log Analytics-arbetsyta behöver microsoft.operationalinsights/workspaces/write
du behörigheter på arbetsytan, till exempel den inbyggda rollen Log Analytics-deltagare.
Inaktivera lokal autentisering för Log Analytics-arbetsytor
Om du inaktiverar lokal autentisering kan det begränsa tillgängligheten för vissa funktioner, särskilt:
- Befintliga Log Analytics-agenter slutar fungera. Endast Azure Monitor Agent stöds. Azure Monitor-agenten saknar vissa funktioner som är tillgängliga via Log Analytics-agenten. Exempel är anpassad loggsamling och IIS-loggsamling.
- API:et för datainsamlare (förhandsversion) stöder inte Microsoft Entra-autentisering och kommer inte att vara tillgängligt för inmatning av data.
- VM Insights stöds endast med Azure Monitor Agent (AMA).
Du kan inaktivera lokal autentisering med hjälp av Azure Policy. Du kan också inaktivera den programmatiskt via en Azure Resource Manager-mall, PowerShell eller Azure CLI.
Azure Policy for DisableLocalAuth
tillåter inte att du skapar en ny Log Analytics-arbetsyta om inte den här egenskapen är inställd på true
. Principnamnet är Log Analytics Workspaces should block non-Azure Active Directory based ingestion
. Om du vill tillämpa den här principdefinitionen på din prenumeration skapar du en ny principtilldelning och tilldelar principen.
Principmallsdefinitionen:
{
"properties": {
"displayName": "Log Analytics Workspaces should block non-Azure Active Directory based ingestion.",
"policyType": "BuiltIn",
"mode": "Indexed",
"description": "Enforcing log ingestion to require Azure Active Directory authentication prevents unauthenticated logs from an attacker which could lead to incorrect status, false alerts, and incorrect logs stored in the system.",
"metadata": {
"version": "1.0.0",
"category": "Monitoring"
},
"parameters": {
"effect": {
"type": "String",
"metadata": {
"displayName": "Effect",
"description": "Enable or disable the execution of the policy"
},
"allowedValues": [
"Deny",
"Audit",
"Disabled"
],
"defaultValue": "Audit"
}
},
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.OperationalInsights/workspaces"
},
{
"field": "Microsoft.OperationalInsights/workspaces/features.disableLocalAuth",
"notEquals": "true"
}
]
},
"then": {
"effect": "[parameters('effect')]"
}
}
},
"id": "/providers/Microsoft.Authorization/policyDefinitions/e15effd4-2278-4c65-a0da-4d6f6d1890e2",
"type": "Microsoft.Authorization/policyDefinitions",
"name": "e15effd4-2278-4c65-a0da-4d6f6d1890e2"
}