你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Application Insights 的 Microsoft Entra 身份验证

项目
04/12/2024

Application Insights 现在支持 Microsoft Entra 身份验证。通过使用 Microsoft Entra ID，可以确保在 Application Insights 资源中仅引入经过身份验证的遥测数据。

使用各种身份验证系统可能既麻烦又有风险，因为很难大规模管理凭据。你现在可以选择退出本地身份验证，以确保只在资源中引入使用托管标识和 Microsoft Entra ID 专门进行身份验证的遥测数据。此功能是增强用于执行关键操作（警报和自动缩放）和业务决策的遥测的安全性和可靠性的一个步骤。

注意

本文档介绍了如何使用基于 Microsoft Entra ID 的身份验证将数据引入 Application Insights。有关查询 Application Insights 中数据的信息，请参阅使用 Microsoft Entra 身份验证查询 Application Insights。

先决条件

若要启用经由 Microsoft Entra 身份验证的引入，需要执行以下初步步骤。你需要：

位于公有云中。
熟悉以下内容：
- 托管标识。
- 服务主体。
- 分配 Azure 角色。
如果要使用 Azure 内置角色授予访问权限，则需要在资源组中拥有“所有者”角色。
了解不受支持的方案。

不支持的方案

不支持将以下软件开发工具包 (SDK) 和功能用于 Microsoft Entra 身份验证引入：

Application Insights Java 2.x SDK。
Microsoft Entra 身份验证仅适用于 Application Insights Java 代理版本 3.2.0 及更高。
ApplicationInsights JavaScript web SDK。
具有 Python 3.4 和 3.5 版的 Application Insights OpenCensus Python SDK。
针对 Azure 应用服务、Azure 虚拟机/Azure 虚拟机规模集和 Azure Functions 的默认启用的自动检测/无代码监视（用于语言）。
探查器。

配置和启用基于 Microsoft Entra ID 的身份验证

如果你还没有标识，请使用托管标识或服务主体创建一个。
- 建议使用托管标识：
  
  为你的 Azure 服务（虚拟机或应用服务）设置托管标识。
- 不建议使用服务主体：
  
  如需详细了解如何创建可以访问资源的 Microsoft Entra 应用程序和服务主体，请参阅创建服务主体。
向 Azure 服务分配角色。

按照分配 Azure 角色中的步骤，将“监视指标发布者”角色从目标 Application Insights 资源添加到发送遥测数据的 Azure 资源。

注意

尽管“监视指标发布者”角色名字里有“指标”，但它会将所有遥测数据发布到 Application Insights 资源。
遵循配置指南，并按照后面的语言进行操作。

注意

从版本 2.18-Beta3 开始，包含对 Application Insights .NET SDK 中 Microsoft Entra ID 的支持。

Application Insights .NET SDK 支持 Azure 标识提供的凭据类。

建议使用 DefaultAzureCredential 进行本地开发。
建议使用 ManagedIdentityCredential 处理系统分配和用户分配的托管标识。
- 对于系统分配的托管标识，使用不带参数的默认构造函数。
- 对于用户分配的托管标识，请向构造函数提供客户端 ID。

以下示例演示如何使用 .NET 手动创建和配置 TelemetryConfiguration：

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

以下示例演示如何使用 .NET Core 配置 TelemetryConfiguration：

services.Configure<TelemetryConfiguration>(config =>
{
       var credential = new DefaultAzureCredential();
       config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

注意

从版本 2.1.0-beta.1 开始，包含对 Application Insights Node.JS 中 Microsoft Entra ID 的支持。

Application Insights Node.JS 支持 Azure 标识提供的凭据类。

DefaultAzureCredential

import appInsights from "applicationinsights";
import { DefaultAzureCredential } from "@azure/identity"; 
 
const credential = new DefaultAzureCredential();
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

注意

从 Java 3.2.0-BETA 开始，包含对 Application Insights Java 代理中 Microsoft Entra ID 的支持。

使用 Java 代理配置应用程序。

重要

使用 Java 代理配置应用时，请使用包含 IngestionEndpoint 的完整连接字符串。例如，使用 InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/。
根据所使用的身份验证，将 JSON 配置添加到 ApplicationInsights.json 配置文件中。我们建议使用托管标识。

注意

有关从 2.X SDK 迁移到 3.X Java 代理的详细信息，请参阅从 Application Insights Java 2.x SDK 升级。

系统分配的托管标识

以下示例演示了如何配置 Java 代理以使用系统分配的托管标识进行 Microsoft Entra ID 身份验证。

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
}

用户分配的托管标识

以下示例演示了如何配置 Java 代理以使用用户分配的托管标识进行 Microsoft Entra ID 身份验证。

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
}

环境变量配置

APPLICATIONINSIGHTS_AUTHENTICATION_STRING 环境变量允许 Application Insights 向 Microsoft Entra ID 进行身份验证并发送遥测数据。

对于系统分配的标识：

应用设置	值
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	`Authorization=AAD`

对于用户分配的标识：

应用设置	值
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	`Authorization=AAD;ClientId={Client id of the User-Assigned Identity}`

使用此字符串设置 APPLICATIONINSIGHTS_AUTHENTICATION_STRING 环境变量。

在 Unix/Linux 中：

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

在 Windows 中：

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

设置后，重启应用程序。现在，它使用 Microsoft Entra 身份验证将遥测数据发送到 Application Insights。

注意

Microsoft Entra 身份验证仅适用于 Python v2.7、v3.6 和 v3.7。从 beta 版本 opencensus-ext-azure 1.1b0 开始，包含对 Application Insights OpenCensus Python SDK 中 Microsoft Entra ID 的支持。

注意

OpenCensus Python SDK 已弃用，但 Microsoft 会提供对它的支持，直至 2024 年 9 月 30 日停用它。我们现在推荐基于 OpenTelemetry 的 Python 产品/服务并提供迁移指南。

构造适当的凭据，然后将其传递给 Azure Monitor 导出程序的构造函数。请确保使用资源的检测密钥和引入终结点设置连接字符串。

OpenCensus Azure Monitor 导出程序支持这些身份验证类型。建议在生产环境中使用托管标识。

系统分配的托管标识

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential()
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

用户分配的托管标识

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential(client_id="<client-id>")
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

“禁用本地身份验证”

启用 Microsoft Entra 身份验证后，可以选择禁用本地身份验证。使用此配置可以引入由 Microsoft Entra ID 专门验证的遥测数据，这将影响数据访问（例如通过 API 密钥访问数据）。

可以使用 Azure 门户、Azure Policy 或以编程方式禁用本地身份验证。

Azure 门户

在 Application Insights 资源的左侧菜单中的“配置”标题下选择“属性”。如果已启用本地身份验证，请选择“已启用（单击更改）”。
选择“已禁用”并应用更改。
在资源上禁用本地身份验证后，“概述”窗格中将显示相应的信息。

Azure Policy

DisableLocalAuth 的 Azure Policy 拒绝用户在未将此属性设置为 true 的情况下创建新的 Application Insights 资源。策略名称为 Application Insights components should block non-AAD auth ingestion。

若要将此策略定义应用到订阅，请创建新的策略分配并分配该策略。

以下示例显示了策略模板定义：

{
    "properties": {
        "displayName": "Application Insights components should block non-AAD auth ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

编程启用

属性 DisableLocalAuth 用于禁用你的 Application Insights 资源上的任何本地身份验证。设置为 true 时，此属性强制所有访问都必须使用 Microsoft Entra 身份验证。

下面的示例展示了 Azure 资源管理器模板，可用于创建禁用 LocalAuth 的基于工作区的 Application Insights 资源。

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

令牌受众

在开发自定义客户端以从 Microsoft Entra ID 获取访问令牌以将遥测数据提交到 Application Insights 时，请参阅下表以确定适合特定主机环境的受众字符串。

Azure 云版本	令牌受众值
Azure 公有云	`https://monitor.azure.com`
由世纪互联运营的 Microsoft Azure 云	`https://monitor.azure.cn`
Azure 美国政府云	`https://monitor.azure.us`

如果使用主权云，还可以在连接字符串中找到受众信息。连接字符串遵循以下结构：

InstrumentationKey={profile.InstrumentationKey};IngestionEndpoint={ingestionEndpoint};LiveEndpoint={liveDiagnosticsEndpoint};AADAudience={aadAudience}

受众参数 AADAudience 可能因具体环境而异。

故障排除

本部分提供了不同的故障排除场景和步骤，你可以在提交支持工单之前采取这些步骤来解决问题。

引入 HTTP 错误

引入服务会返回具体错误，而不考虑 SDK 语言。可以使用 Fiddler 之类的工具收集网络流量。你应该要筛选发往连接字符串中设置的引入终结点的流量。

不支持 HTTP/1.1 400 身份验证

此错误显示资源设置为仅限 Microsoft Entra 使用。需要正确配置 SDK，因为它正在发送到错误的 API。

注意

“v2/track”不支持 Microsoft Entra ID。正确配置 SDK 后，遥测数据将发送到“v2.1/track”。

接下来，你应该查看 SDK 配置。

需要 HTTP/1.1 401 授权

此错误表示 SDK 已正确配置，但无法获取有效的令牌。此错误可能表示 Microsoft Entra ID 存在问题。

接下来，需要识别 SDK 日志中的异常或来自 Azure 标识的网络错误。

HTTP/1.1 403 未授权

此错误表示 SDK 使用的凭据没有 Application Insights 资源或订阅的权限。

首先，检查 Application Insights 资源的访问控制。必须使用具有“监视指标发布者”角色的凭据配置 SDK。

特定于语言的疑难解答

事件源

Application Insights .NET SDK 使用事件源发出错误日志。若要详细了解如何收集事件源日志，请参阅疑难解答：无数据 - 使用 PerfView 收集日志。

如果 SDK 未能获取令牌，则异常消息将记录为 Failed to get AAD Token. Error message:。

可以通过以下设置启用内部日志。启用它们后，错误日志将显示在控制台中，包括与 Microsoft Entra 集成相关的任何错误。例如，在提供错误凭据的情况下无法生成令牌; 在引入终结点无法使用所提供的凭据进行身份验证时的错误。

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

HTTP 流量

可以使用 Fiddler 等工具检查网络流量。若要使流量通过 Fiddler 进行隧道传输，请在配置文件中添加以下代理设置：

"proxy": {
"host": "localhost",
"port": 8888
}

或者在运行应用程序时添加以下 Java 虚拟机 (JVM) 参数：-Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

如果在代理中启用了 Microsoft Entra ID，出站流量将包含 HTTP 头 Authorization。

401 未授权

如果日志中出现消息 WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials，则表示代理无法发送遥测数据。可能未在代理上启用 Microsoft Entra 身份验证，而 Application Insights 资源有 DisableLocalAuth: true。确保向 Application Insights 资源传递具有访问权限的有效凭据。

如果使用 Fiddler，则可能会看到此响应头 HTTP/1.1 401 Unauthorized - please provide the valid authorization token。

CredentialUnavailableException

如果日志文件中出现异常 com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established，则表示代理未能获取访问令牌。可能是因为用户分配的托管标识配置中的客户端 ID 无效。

无法发送遥测数据

如果日志中出现消息 WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials，则表示代理无法发送遥测数据。可能是因为使用的凭据不支持遥测数据引入。

使用 Fiddler 时，你可能会注意到响应 HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component。

出现此问题的原因可能是：

使用系统分配的托管标识或关联用户分配的标识创建资源时，没有为其添加“监视指标发布者”角色。
使用了正确的访问令牌凭据，但将其链接到了错误的 Application Insights 资源。请确保资源（虚拟机或应用服务）或用户分配的标识在 Application Insights 资源中具有“监视指标发布者”角色。

客户端 ID 无效

如果日志文件中出现异常 com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory，则表示代理未能获取访问令牌。此异常发生的原因可能是因为客户端密码配置中的客户端 ID 无效或不正确。

如果管理员未安装应用程序，或者租户用户未同意该应用程序，则会出现此问题。如果将身份验证请求发送到错误的租户，也会出现此问题。

错误以“凭据错误”开头（没有状态代码）

使用的凭据有错误，并且客户端无法获取用于授权的令牌。这是因为缺少状态所需的数据。例如，传入了系统 ManagedIdentityCredential，但资源未配置为使用系统托管的标识。

错误以“身份验证错误”开头（没有状态代码）

客户端未能使用给定的凭据进行身份验证。此错误通常是由于使用的凭据没有正确的角色分配。

我的错误日志中出现状态代码 400

你可能缺少凭据或凭据设置为 None，但 Application Insights 资源配置为 DisableLocalAuth: true。请确保传递了有效的凭据，并且它有权访问 Application Insights 资源。

我的错误日志中出现状态代码 403

此错误的通常原因是，提供的凭据未授予为 Application Insights 资源引入遥测数据的权限。确保你的 Application Insights 资源具有正确的角色分配。

Application Insights 的 Microsoft Entra 身份验证

先决条件

不支持的方案

配置和启用基于 Microsoft Entra ID 的身份验证

DefaultAzureCredential

系统分配的托管标识

用户分配的托管标识

环境变量配置

系统分配的托管标识

用户分配的托管标识

“禁用本地身份验证”

Azure 门户

Azure Policy

编程启用

令牌受众

故障排除

引入 HTTP 错误

不支持 HTTP/1.1 400 身份验证

需要 HTTP/1.1 401 授权

HTTP/1.1 403 未授权

特定于语言的疑难解答

事件源

HTTP 流量

401 未授权

CredentialUnavailableException

无法发送遥测数据

客户端 ID 无效

错误以“凭据错误”开头（没有状态代码）

错误以“身份验证错误”开头（没有状态代码）

我的错误日志中出现状态代码 400

我的错误日志中出现状态代码 403

后续步骤

其他资源