Authentification Microsoft Entra pour Application Insights

Application Insights prend désormais en charge l’authentification Microsoft Entra. À l’aide de Microsoft Entra ID, vous pouvez désormais vous assurer que seules les données de télémétrie authentifiées sont ingérées dans les ressources de vos Application Insights.

L’utilisation de différents systèmes d’authentification peut être fastidieuse et risquée, car il est difficile de gérer des informations d’identification à grande échelle. Vous pouvez maintenant choisir de ne pas utiliser l'authentification locale pour vous assurer que seule la télémétrie exclusivement authentifiée à l’aide des identités managées et de Microsoft Entra ID est ingérée dans votre ressource. Cette fonctionnalité est une étape permettant d’améliorer la sécurité et la fiabilité des données de télémétrie utilisées pour prendre les décisions opérationnelles critiques (alertes et mise à l’échelle automatique) et des décisions métier.

Remarque

Ce document aborde l’ingestion de données dans Application Insights en utilisant l’authentification basée sur Microsoft Entra ID. Pour plus d’informations sur l’interrogation de données dans Application Insights, consultez l’article Interroger Application Insights à l’aide de l’authentification Microsoft Entra.

Prérequis

Les étapes préliminaires suivantes permettent d’active l’ingestion authentifiée Microsoft Entra. Vous devez :

• Être dans le cloud public.
• Familiarisez-vous avec :
  • Identité managée.
  • Le principal du service.
  • Attribution de rôles Azure.
• Disposer d’un rôle Propriétaire au groupe de ressources si vous souhaitez accorder l’accès à l’aide de rôles intégrés Azure.
• Comprenez les scénarios non pris en charge.

Scénarios non pris en charge

Les kits de développement logiciel suivants (SDK) et les fonctionnalités ne sont pas pris en charge pour une utilisation avec l’ingestion authentifiée de Microsoft Entra :

• SDK Application Insights Java 2.x.
  L'authentification Microsoft Entra est uniquement disponible à partir de la version 3.2.0 d’Application Insights Java Agent.
• SDK web JavaScript ApplicationInsights.
• Application Insights OpenCensus Python SDK avec Python version 3.4 et 3.5.
• Surveillance sans code/instrumentation automatique activée par défaut (pour les langues) pour Azure App Service, Machines Virtuelles Microsoft Azure/Microsoft Azure Virtual Machine Scale Sets et Azure Functions.
• Profiler.

Configurer et activer l’authentification basée sur Microsoft Entra ID

1. Si vous n’avez pas encore d’identité, créez-en une à l’aide d’une identité managée ou d’un principal de service.

   • Nous vous recommandons d’utiliser une identité managée :

     Configurez une identité managée pour votre service Azure (Machines Virtuelles ou App Service).

   • Nous vous déconseillons d’utiliser un principal de service :

     Pour plus d'informations sur la création d'une application et d’un principal de service Microsoft Entra pouvant accéder aux ressources, voir Créer un principal de service.

2. Affecter un rôle au service Azure.

   Suivez les étapes décrites dans assigner des rôles Azure pour ajouter le rôle Éditeur des métriques de surveillance de la ressource Application Insights cible à la ressource Azure à partir de laquelle les données de télémétrie sont envoyées.

   Notes

   Bien que le rôle Éditeur des métriques de surveillance indique « mesures », il publie toutes les données de télémétrie dans la ressource Application Insights.

3. Suivez les instructions de configuration conformément à la langue qui suit.

.NET

Remarque

La prise en charge de Microsoft Entra ID dans le kit de développement logiciel (SDK) Application Insights .NET est incluse à partir de la version 2.18-Beta3.

Application Insights SDK .net prend en charge les classes d’informations d’identification fournies par l' identité Azure.

• Nous vous recommandons DefaultAzureCredential pour le développement local.
• Nous vous recommandons ManagedIdentityCredential pour les identités managées attribuées par le système et par l'utilisateur.
  • Pour l’affectation par le système, utilisez le constructeur par défaut sans paramètres.
  • Pour la valeur assignée à l’utilisateur, fournissez l’ID client au constructeur.

L’exemple suivant montre comment créer et configurer TelemetryConfiguration manuellement à l’aide de .NET :

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

L’exemple suivant montre comment configurer TelemetryConfiguration à l’aide de .NET Core :

services.Configure<TelemetryConfiguration>(config =>
{
       var credential = new DefaultAzureCredential();
       config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

Node.JS

Remarque

La prise en charge de Microsoft Entra ID dans Application Insights Node.JS est incluse à partir de la version 2.1.0-beta.1.

Application Insights Node.JS prend en charge les classes d’informations d’identification fournies par l’identité Azure.

DefaultAzureCredential

import appInsights from "applicationinsights";
import { DefaultAzureCredential } from "@azure/identity"; 
 
const credential = new DefaultAzureCredential();
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

Java

Remarque

La prise en charge de Microsoft Entra ID dans l’agent Java Application Insights est incluse à partir de la version Java 3.2.0-BETA.

1. Configurez votre application avec l'agent Java.

   Important

   Utilisez la chaîne de connexion complète qui comprend IngestionEndpoint lors de la configuration de votre application avec l’agent Java. Par exemple, utilisez InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/.

2. Ajoutez la configuration JSON au fichier de configuration ApplicationInsights.json selon l’authentification que vous utilisez. Nous vous recommandons d’utiliser des identités managées.

Remarque

Si vous souhaitez obtenir plus d’informations sur la migration du Kit de développement logiciel (SDK) 2.X vers l’agent Java 3.X, consultez Mise à niveau à partir du SKD Application Insights pour Java 2.X.

Identité managée affectée par le système

L’exemple suivant montre comment configurer l’agent Java pour utiliser l’identité managée affectée par le système pour l’authentification avec Microsoft Entra ID.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
} 

Identité managée affectée par l’utilisateur

L’exemple suivant montre comment configurer l’agent Java pour utiliser l’identité managée affectée par l’utilisateur pour l’authentification avec Microsoft Entra ID.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
} 

Configuration de variable d'environnement

La variable d’environnement APPLICATIONINSIGHTS_AUTHENTICATION_STRING permet à Application Insights de s’authentifier auprès de Microsoft Entra ID et d’envoyer des données de télémétrie.

• Pour l'identité affectée par le système :

Paramètre d’application	Valeur
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Pour l’identité affectée par l’utilisateur :

Paramètre d’application	Valeur
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Définissez la variable d’environnement APPLICATIONINSIGHTS_AUTHENTICATION_STRING à l’aide cette chaîne.

Sous Unix/Linux :

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Sous Windows :

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Une fois la variable d’environnement définie, redémarrez votre application. Elle envoie désormais des données de télémétrie à Application Insights à l’aide de l’authentification Microsoft Entra.

Python

Remarque

L’authentification Microsoft Entra est disponible uniquement pour Python v2.7, v3.6 et v3.7. La prise en charge de Microsoft Entra ID dans le kit de développement logiciel (SDK) OpenCensus Application Insights Python est incluse à partir de la version bêta opencensus-ext-azure 1.1b0.

Remarque

Le SDK Python OpenCensus est déconseillé, mais Microsoft le prend en charge jusqu’à sa mise hors service le 30 septembre 2024. Nous recommandons désormais l’offre Python basée sur OpenTelemetry et fournissons des conseils de migration.

Construisez les informations d'identification appropriées et passez-les dans le constructeur de l'exportateur Azure Monitor. Assurez-vous que votre chaîne de connexion est configurée avec la clé d’instrumentation et le point de terminaison d’ingestion de votre ressource.

Les exportateurs Azure Monitor OpenCensus prennent en charge ces types d’authentification. Nous vous recommandons d’utiliser les identités managées dans les environnements de production.

Identité managée affectée par le système

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential()
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Identité managée affectée par l’utilisateur

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential(client_id="<client-id>")
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Désactiver l’authentification locale

Une fois l’authentification Microsoft Entra activée, vous pouvez choisir de désactiver l’authentification locale. Cette configuration vous permet d’ingérer des données de télémétrie exclusivement authentifiées par Microsoft Entra ID et affecte l’accès aux données (par exemple, via des clés API).

Vous pouvez désactiver l’authentification locale à l’aide du Portail Azure, Azure Policy ou par programmation.

Portail Azure

1. À partir de votre ressource Application Insights, sélectionnez Propriétés sous le titre Configurer dans le menu de gauche. Sélectionnez Activé (cliquez pour modifier) si l'authentification locale est activée.

   

2. Sélectionnez Désactivé et appliquez les modifications.

   

3. Après avoir désactivé l’authentification locale sur votre ressource, les informations correspondantes s’affichent dans le volet Vue d’ensemble .

   

Azure Policy

Azure Policy pour DisableLocalAuth empêche les utilisateurs de créer une ressource Application Insights sans définir cette propriété sur true. Le nom de la stratégie est Application Insights components should block non-AAD auth ingestion.

Pour appliquer cette définition de stratégie à votre abonnement, créez une nouvelle affectation de stratégie, puis affectez la stratégie.

L’exemple suivant montre la définition du modèle de stratégie :

{
    "properties": {
        "displayName": "Application Insights components should block non-AAD auth ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Activation par programmation

La propriété DisableLocalAuth est utilisée pour désactiver toute authentification locale sur votre ressource Application Insights. Lorsque la valeur est true, cette propriété impose l’utilisation de l’authentification Microsoft Entra pour tous les accès.

L’exemple suivant montre le modèle Azure Resource Manager que vous pouvez utiliser pour créer une ressource d’Application Insights basée sur un espace de travail avec LocalAuth désactivé.

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

Audience du jeton

Lorsque vous développez un client personnalisé pour obtenir un jeton d’accès auprès de Microsoft Entra ID dans le but d’envoyer des données de télémétrie à Application Insights, reportez-vous au tableau suivant pour déterminer la chaîne d’audience appropriée pour votre environnement hôte particulier.

Version cloud Azure	Valeur d’audience du jeton
Cloud public Azure	https://monitor.azure.com
Cloud Microsoft Azure géré par 21Vianet	https://monitor.azure.cn
Cloud Azure US Government	https://monitor.azure.us

Si vous utilisez des clouds souverains, vous trouverez également les informations d’audience dans la chaîne de connexion. La chaîne de connexion suit cette structure :

InstrumentationKey={profile.InstrumentationKey};IngestionEndpoint={ingestionEndpoint};LiveEndpoint={liveDiagnosticsEndpoint};AADAudience={aadAudience}

Le paramètre d’audience, AADAudience, peut varier en fonction de votre environnement spécifique.

Dépannage

Cette section fournit des scénarios de résolution des problèmes distincts et des étapes que vous pouvez entreprendre pour résoudre les problèmes avant de générer un ticket de support.

Erreurs HTTP d’ingestion

Le service d'ingestion renvoie des erreurs spécifiques, quelle que soit la langue du SDK. Le trafic réseau peut être collecté à l’aide d’un outil comme Fiddler. Filtrez le trafic destiné au point de terminaison d’ingestion défini dans la chaîne de connexion.

Authentification HTTP/1.1 400 non prise en charge

Cette erreur indique que la ressource est définie pour Microsoft Entra-seulement. Vous devez configurer correctement le Kit de développement logiciel (SDK), car il envoie à l’API incorrecte.

Remarque

« v2/track » ne prend pas en charge Microsoft Entra ID. Lorsque le SDK est correctement configuré, la télémétrie sera envoyée à "v2.1/track".

Ensuite, vous devriez passer en revue la configuration du kit de développement (SDK).

HTTP/1.1 401 Autorisation requise

Cette erreur indique que le kit SDK est correctement configuré, mais qu’il ne parvient pas à acquérir de jeton valide. Cette erreur peut indiquer un problème avec Microsoft Entra ID.

Ensuite, vous devriez identifier les exceptions dans les journaux du kit SDK ou les erreurs réseau provenant de l’identité Azure.

HTTP/1.1 403 Non autorisé

Cette erreur signifie que le Kit de développement logiciel (SDK) utilise des informations d’identification sans autorisation pour la ressource ou l’abonnement Application Insights.

Tout d’abord, vérifiez le contrôle d’accès de la ressource Application Insights. Vous devez configurer le Kit de développement logiciel (SDK) avec les informations d’identification qui ont le rôle Serveur de publication des métriques de surveillance.

Résolution des problèmes propres à la langue

.NET

Source de l'événement

Le kit SDK .NET Application Insights émet des journaux d’erreurs à l’aide de la source de l’événement. Pour en savoir plus sur la collecte des journaux des sources d’événements, consultez la section Dépannage des journaux de collecte de données avec PerfView.

Si le kit SDK ne parvient pas à obtenir de jeton, le message d’exception est enregistré Failed to get AAD Token. Error message:.

Node.JS

Les journaux internes peuvent être activés à l’aide de la configuration suivante. Une fois activés, les journaux des erreurs s’affichent dans la console, y compris toute erreur liée à l’intégration de Microsoft Entra. Il peut s’agir d’une erreur lors de la génération d’un jeton quand des informations d’identification incorrectes sont fournies ou lorsque le point de terminaison d’ingestion échoue à s’authentifier à l’aide des informations d’identification fournies.

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

Java

Trafic HTTP

Vous pouvez inspecter le trafic réseau à l’aide d’un outil comme Fiddler. Pour activer le trafic pour le tunnel via Fiddler, ajoutez les paramètres de proxy suivants dans le fichier de configuration :

"proxy": {
"host": "localhost",
"port": 8888
}

Vous pouvez également ajouter les arguments JVM (Java Virtual Machine) suivants lors de l’exécution de votre application : -Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

Si Microsoft Entra ID est activé dans l’agent, le trafic sortant inclut l’en-tête HTTP Authorization.

401 Non autorisé

Si le message s’affiche, WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials dans le journal, cela signifie que l’agent n’a pas pu envoyer de données de télémétrie. Vous n’avez probablement pas activé l’authentification Microsoft Entra sur l’agent, tandis que votre ressource Application Insights a DisableLocalAuth: true. Veillez à transmettre des informations d’identification valides avec l’autorisation d’accès à votre ressource Application Insights.

Si vous utilisez Fiddler, l’en-tête de réponse HTTP/1.1 401 Unauthorized - please provide the valid authorization token peut s’afficher.

CredentialUnavailableException

Si vous voyez l’exception, com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established dans le fichier journal, cela signifie que l’agent n’a pas pu acquérir le jeton d’accès. La cause probable est un ID client non valide dans votre configuration d’identité managée affectée par l’utilisateur.

Échec de l’envoi de la télémétrie

Si le message s’affiche, WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials dans le journal, cela signifie que l’agent n’a pas pu envoyer de données de télémétrie. La raison probable est que les informations d’identification utilisées n’autorisent pas l’ingestion de télémétrie.

À l’aide de Fiddler, vous pouvez remarquer la réponse HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component.

Le problème peut être dû à :

• Création de la ressource avec une identité managée affectée par le système ou association d’une identité affectée par l’utilisateur sans y ajouter le rôle Éditeur de métriques de surveillance.
• Utilisation des informations d’identification correctes pour les jetons d’accès, mais les liant à la ressource Application Insights incorrecte. Vérifiez que votre ressource (machine virtuelle ou app service) ou l’identité affectée par l’utilisateur possède des rôles d’éditeur de métriques de surveillance dans votre ressource Application Insights.

ID client non valide

Si l’exception, com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory dans le journal, cela signifie que l’agent n’a pas pu obtenir le jeton d’accès. Cette exception se produit probablement parce que l’ID client dans votre configuration de clé secrète client n’est pas valide ou incorrect.

Ce problème se produit si l’administrateur n’installe pas l’application ou qu’aucun utilisateur client ne le consent. Cela se produit également si vous envoyez votre demande d’authentification au locataire incorrect.

Python

L’erreur commence par « erreur d’informations d’identification » (sans code d’état)

Un problème se pose sur les informations d’identification que vous utilisez et le client n’est pas en mesure d’obtenir un jeton pour l’autorisation. Cela est dû au fait qu’un statut manque aux données requises. Par exemple, en passant ManagedIdentityCredential dans un système alors que la ressource n’est pas configurée pour utiliser l’identité managée par le système.

L’erreur commence par « erreur d’authentification » (sans code d’état)

Le client n’a pas pu s’authentifier avec les informations d’identification fournies. Cette erreur se produit généralement lorsque les informations d’identification utilisées n’ont pas d’attributions de rôles correctes.

J’obtiens un code d’état 400 dans mes journaux des erreurs

Vous n’avez probablement pas d’informations d’identification ou vos informations d’identification ont la valeur None , mais votre Application Insights ressource est configurée avec DisableLocalAuth: true. Assurez-vous que vous passez des informations d’identification valides et qu’il est autorisé à accéder à votre ressource d’Application Insights.

J’obtiens un code d’état 403 dans mes journaux des erreurs

Cette erreur se produit généralement lorsque les informations d’identification fournies n’accordent pas l’accès aux données de télémétrie d’ingestion pour la ressource Application Insights. Vérifiez que votre ressource Application Insights dispose des attributions de rôle appropriées.

Étapes suivantes

• Navigation et tableaux de bord dans le portail Application Insights
• Diagnostiquer à l’aide de la fonctionnalité Flux de métriques temps réel.
• Interroger Application Insights à l’aide de l’authentification Microsoft Entra