Autenticação do Microsoft Entra para o Application Insights

2025-04-18

O Application Insights agora oferece suporte à autenticação Microsoft Entra. Usando o Microsoft Entra ID, você pode garantir que apenas a telemetria autenticada seja ingerida em seus recursos do Application Insights.

Usar vários sistemas de autenticação pode ser complicado e arriscado porque é difícil gerenciar credenciais em escala. Agora pode optar por não utilizar a autenticação local para garantir que apenas a telemetria exclusivamente autenticada usando Identidades Geridas e o Microsoft Entra ID seja incorporada no seu recurso. Esse recurso é uma etapa para aumentar a segurança e a confiabilidade da telemetria usada para tomar decisões operacionais críticas (alertas e dimensionamento automático) e de negócios.

Pré-requisitos

As etapas preliminares a seguir são necessárias para habilitar a ingestão autenticada do Microsoft Entra. Precisa de:

Esteja na nuvem pública.
Esteja familiarizado com:
- Identidade gerida.
- Principal de serviço.
- Atribuição de funções do Azure.
Conceder acesso usando funções internas do Azure requer ter uma função de Proprietário para o grupo de recursos.
Entenda os cenários sem suporte.

Cenários não suportados

Os seguintes SDKs (Software Development Kits) e recursos não são suportados para uso com a ingestão autenticada do Microsoft Entra:

SDK Java 2.x do Application Insights.
A autenticação do Microsoft Entra só está disponível para o Application Insights Java Agent maior ou igual a 3.2.0.
Web SDK do ApplicationInsights em JavaScript.
Application Insights OpenCensus Python SDK com Python versão 3.4 e 3.5.
Instrumentação automática para Python no Serviço de Aplicativo do Azure
Application Insights Profiler para .NET.

Configurar e habilitar a autenticação baseada em ID do Microsoft Entra

Crie uma identidade utilizando uma identidade gerida ou um principal de serviço, caso ainda não tenha um.
- Recomendamos o uso de uma identidade gerenciada:
  
  Configure uma identidade gerenciada para seu serviço do Azure (Máquinas Virtuais ou Serviço de Aplicativo).
- Não recomendamos o uso de um principal de serviço:
  
  Para obter mais informações sobre como criar uma aplicação Microsoft Entra e um principal de serviço que possa acessar recursos, consulte Criar um principal de serviço.
Atribua a função RBAC (controlo de acesso baseado em funções) necessária à identidade de Azure, ao principal de serviço ou à conta de utilizador do Azure.

Siga as etapas em Atribuir funções do Azure para adicionar a função Monitoring Metrics Publisher à identidade esperada, entidade de serviço ou conta de usuário do Azure definindo o recurso Application Insights de destino como o escopo da função.

Nota

Embora a função Monitoring Metrics Publisher diga "métricas", ela publica toda a telemetria no recurso do Application Insights.
Siga as orientações de configuração de acordo com o idioma a seguir.

Nota

O suporte para o Microsoft Entra ID no SDK .NET do Application Insights está incluído desde a versão 2.18-Beta3.
Damos suporte às classes de credenciais fornecidas pela Identidade do Azure.

Recomendamos DefaultAzureCredential para o desenvolvimento local.
Autentique-se no Visual Studio com a conta de usuário esperada do Azure. Para obter mais informações, consulte Autenticar via Visual Studio.
Recomendamos ManagedIdentityCredential para identidades gerenciadas atribuídas pelo sistema e pelo usuário.
- Para valores atribuídos pelo sistema, utilize o construtor padrão sem parâmetros.
- Para o usuário atribuído, forneça o ID do cliente para o construtor.

Instale o pacote Azure.Identity mais recente:
```
dotnet add package Azure.Identity
```

Forneça a classe de credencial desejada:

// Create a new ASP.NET Core web application builder.    
var builder = WebApplication.CreateBuilder(args);

// Add the OpenTelemetry telemetry service to the application.
// This service will collect and send telemetry data to Azure Monitor.
builder.Services.AddOpenTelemetry().UseAzureMonitor(options => {
    // Set the Azure Monitor credential to the DefaultAzureCredential.
    // This credential will use the Azure identity of the current user or
    // the service principal that the application is running as to authenticate
    // to Azure Monitor.
    options.Credential = new DefaultAzureCredential();
});

// Build the ASP.NET Core web application.
var app = builder.Build();

// Start the ASP.NET Core web application.
app.Run();

Configuração da variável de ambiente

Use a variável de ambiente APPLICATIONINSIGHTS_AUTHENTICATION_STRING para que o Application Insights possa autenticar-se com o Microsoft Entra ID e enviar telemetria ao usar a autoinstrumentação dos Serviços de Aplicativo do Azure.

Para a identidade atribuída ao sistema:

Definição da aplicação	Valor
STRING_AUTENTICAÇÃO_APPLICATIONINSIGHTS	`Authorization=AAD`

Para identidade atribuída pelo usuário:

Definição da aplicação	Valor
If needed, possible translations could maintain the technical meaning while offering a pt-PT version, such as "CADEIA_DE_AUTENTICAÇÃO_DA_APPLICATIONINSIGHTS". However, it depends on the technical context's requirements for translation or not. In this particular case, due to lack of additional context, the string remains untranslated.	`Authorization=AAD;ClientId={Client id of the User-Assigned Identity}`

API clássica

O exemplo a seguir mostra como configurar TelemetryConfiguration usando o .NET Core:

services.Configure<TelemetryConfiguration>(config =>
{
    var credential = new DefaultAzureCredential();
    config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

Nota

O suporte para o Microsoft Entra ID no SDK .NET do Application Insights está incluído desde a versão 2.18-Beta3.
Damos suporte às classes de credenciais fornecidas pela Identidade do Azure.

Recomendamos DefaultAzureCredential para o desenvolvimento local.
Autentique-se no Visual Studio com a conta de usuário esperada do Azure. Para obter mais informações, consulte Autenticar via Visual Studio.
Recomendamos ManagedIdentityCredential para identidades gerenciadas atribuídas pelo sistema e pelo usuário.
- Para valores atribuídos pelo sistema, utilize o construtor padrão sem parâmetros.
- Para o usuário atribuído, forneça o ID do cliente para o construtor.

Instale o pacote Azure.Identity mais recente:
```
dotnet add package Azure.Identity
```

Forneça a classe de credencial desejada:

// Create a DefaultAzureCredential.
var credential = new DefaultAzureCredential();

// Create a new OpenTelemetry tracer provider and set the credential.
// It is important to keep the TracerProvider instance active throughout the process lifetime.
var tracerProvider = Sdk.CreateTracerProviderBuilder()
    .AddAzureMonitorTraceExporter(options =>
    {
        options.Credential = credential;
    })
    .Build();

// Create a new OpenTelemetry meter provider and set the credential.
// It is important to keep the MetricsProvider instance active throughout the process lifetime.
var metricsProvider = Sdk.CreateMeterProviderBuilder()
    .AddAzureMonitorMetricExporter(options =>
    {
        options.Credential = credential;
    })
    .Build();

// Create a new logger factory and add the OpenTelemetry logger provider with the credential.
// It is important to keep the LoggerFactory instance active throughout the process lifetime.
var loggerFactory = LoggerFactory.Create(builder =>
{
    builder.AddOpenTelemetry(logging =>
    {
        logging.AddAzureMonitorLogExporter(options =>
        {
            options.Credential = credential;
        });
    });
});

Configuração da variável de ambiente

Para a identidade atribuída ao sistema:

Definição da aplicação	Valor
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	`Authorization=AAD`

Para identidade atribuída pelo usuário:

Definição da aplicação	Valor
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	`Authorization=AAD;ClientId={Client id of the User-Assigned Identity}`

API clássica

O exemplo a seguir mostra como criar e configurar TelemetryConfiguration manualmente usando o .NET:

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

Nota

O suporte para Microsoft Entra ID no agente Java do Application Insights está incluído a partir do Java 3.2.0-BETA.
Damos suporte às classes de credenciais fornecidas pela Identidade do Azure.

Configure seu aplicativo com o agente Java.

Importante

Use a cadeia de conexão completa, que inclui IngestionEndpoint, quando você configurar seu aplicativo com o agente Java. Por exemplo, use InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/.
Adicione a configuração JSON ao arquivo de configuração ApplicationInsights.json , dependendo da autenticação que você está usando. Recomendamos o uso de identidades gerenciadas.

Configuração da variável de ambiente

A APPLICATIONINSIGHTS_AUTHENTICATION_STRING variável de ambiente permite que o Application Insights se autentique com o Microsoft Entra ID e envie telemetria. Configure-o com base no tipo de identidade que você está usando:

Identidade atribuída ao sistema
Defina a variável de APPLICATIONINSIGHTS_AUTHENTICATION_STRING ambiente para:
```
Authorization=AAD
```
Identidade atribuída pelo utilizador
Defina a variável de APPLICATIONINSIGHTS_AUTHENTICATION_STRING ambiente para:
```
Authorization=AAD;ClientId={Client id of the User-Assigned Identity}
```
Substitua {Client id of the User-Assigned Identity} pelo ID real do cliente da identidade atribuída a utilizador.

Defina a APPLICATIONINSIGHTS_AUTHENTICATION_STRING variável de ambiente usando essa cadeia de caracteres.

Em Unix/Linux:

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

No Windows:

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Depois de configurá-lo, reinicie o aplicativo. Agora, ele envia telemetria para o Application Insights usando a autenticação do Microsoft Entra.

Configuração manual

Nota

Para obter mais informações sobre como migrar do SDK para o 2.X agente Java, consulte Atualizando do 3.X SDK Java 2.x do Application Insights.
Para obter mais informações sobre Java, consulte a documentação suplementar do Java.

Identidade gerida atribuída pelo sistema

O exemplo a seguir mostra como configurar o agente Java para usar a identidade gerenciada atribuída ao sistema para autenticação com o ID do Microsoft Entra.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
}

Identidade gerida atribuída pelo utilizador

O exemplo a seguir mostra como configurar o agente Java para usar a identidade gerenciada atribuída pelo usuário para autenticação com o ID do Microsoft Entra.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
}

Nota

O suporte para o Microsoft Entra ID no Application Insights Node.JS está incluído a partir da versão 2.1.0-beta.1.
Damos suporte às classes de credenciais fornecidas pela Identidade do Azure.

Recomendamos DefaultAzureCredential para o desenvolvimento local.
Recomendamos ManagedIdentityCredential para identidades gerenciadas atribuídas pelo sistema e pelo usuário.
- Para valores atribuídos pelo sistema, utilize o construtor padrão sem parâmetros.
- Para o usuário atribuído, forneça o ID do cliente para o construtor.
Recomendamos ClientSecretCredential para entidades de serviço.
- Forneça a ID do locatário, a ID do cliente e o segredo do cliente para o construtor.

Configuração da variável de ambiente

Para a identidade atribuída ao sistema:

Definição da aplicação	Valor
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	`Authorization=AAD`

Para identidade atribuída pelo usuário:

Definição da aplicação	Valor
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	`Authorization=AAD;ClientId={Client id of the User-Assigned Identity}`

Configuração manual

O exemplo a seguir se aplica ao usar @azure/monitor-opentelemetry:

// Import the useAzureMonitor function, the AzureMonitorOpenTelemetryOptions class, and the ManagedIdentityCredential class from the @azure/monitor-opentelemetry and @azure/identity packages, respectively.
const { useAzureMonitor, AzureMonitorOpenTelemetryOptions } = require("@azure/monitor-opentelemetry");
const { ManagedIdentityCredential } = require("@azure/identity");

// Create a new ManagedIdentityCredential object.
const credential = new ManagedIdentityCredential();

// Create a new AzureMonitorOpenTelemetryOptions object and set the credential property to the credential object.
const options: AzureMonitorOpenTelemetryOptions = {
    azureMonitorExporterOptions: {
        connectionString:
            process.env["APPLICATIONINSIGHTS_CONNECTION_STRING"] || "<your connection string>",
        credential: credential
    }
};

// Enable Azure Monitor integration using the useAzureMonitor function and the AzureMonitorOpenTelemetryOptions object.
useAzureMonitor(options);

O exemplo a seguir se aplica ao usar applicationinsights o pacote npm.

// Import the applicationinsights module and the DefaultAzureCredential class from the @azure/identity package.
const appInsights = require("applicationinsights");
const { DefaultAzureCredential } = require("@azure/identity");

// Create a new DefaultAzureCredential object to authenticate with Azure Active Directory.
const credential = new DefaultAzureCredential();

// Set up Application Insights with an instrumentation key and ingestion endpoint, then start the Application Insights client.
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();

// Assign the DefaultAzureCredential object to the aadTokenCredential property of the default Application Insights client configuration for authentication.
appInsights.defaultClient.config.aadTokenCredential = credential;

Nota

Damos suporte às classes de credenciais fornecidas pela Identidade do Azure.
Fornecemos informações sobre como configurar o OpenCensus (preterido) separadamente. Consulte Configurar e habilitar a autenticação baseada em ID do Microsoft Entra.

Recomendamos DefaultAzureCredential para o desenvolvimento local.
Recomendamos ManagedIdentityCredential para identidades gerenciadas atribuídas pelo sistema e pelo usuário.
- Para valores atribuídos pelo sistema, utilize o construtor padrão sem parâmetros.
- Para o usuário atribuído, forneça o client_id para o construtor.
Recomendamos ClientSecretCredential para entidades de serviço.
- Forneça a ID do locatário, a ID do cliente e o segredo do cliente para o construtor.

Se estiver a utilizar ManagedIdentityCredential

# Import the `ManagedIdentityCredential` class from the `azure.identity` package.
from azure.identity import ManagedIdentityCredential
# Import the `configure_azure_monitor()` function from the `azure.monitor.opentelemetry` package.
from azure.monitor.opentelemetry import configure_azure_monitor
from opentelemetry import trace

# Configure the Distro to authenticate with Azure Monitor using a managed identity credential.
credential = ManagedIdentityCredential(client_id="<client_id>")
configure_azure_monitor(
    connection_string="your-connection-string",
    credential=credential,
)

tracer = trace.get_tracer(__name__)

with tracer.start_as_current_span("hello with aad managed identity"):
    print("Hello, World!")

Se estiver a utilizar ClientSecretCredential

# Import the `ClientSecretCredential` class from the `azure.identity` package.
from azure.identity import ClientSecretCredential
# Import the `configure_azure_monitor()` function from the `azure.monitor.opentelemetry` package.
from azure.monitor.opentelemetry import configure_azure_monitor
from opentelemetry import trace

# Configure the Distro to authenticate with Azure Monitor using a client secret credential.
credential = ClientSecretCredential(
    tenant_id="<tenant_id",
    client_id="<client_id>",
    client_secret="<client_secret>",
)
configure_azure_monitor(
    connection_string="your-connection-string",
    credential=credential,
)

with tracer.start_as_current_span("hello with aad client secret identity"):
    print("Hello, World!")

Consultar o Application Insights usando a autenticação do Microsoft Entra

Você pode enviar um pedido de consulta através do endpoint do Azure Monitor Application Insights https://api.applicationinsights.io. Para aceder ao ponto de extremidade, é necessário autenticar-se através do Microsoft Entra ID.

Configurar a autenticação

Para acessar a API, registre um aplicativo cliente com o Microsoft Entra ID e solicite um token.

Registre um aplicativo no Microsoft Entra ID.
Na página de visão geral do aplicativo, selecione Permissões de API.
Selecione Adicionar uma permissão.
Na guia APIs que minha organização usa, procure Application Insights e selecione Application Insights API na lista.
Selecione Permissões delegadas.
Marque a caixa de seleção Data.Read.
Selecione Adicionar permissões.

Agora que seu aplicativo está registrado e tem permissões para usar a API, conceda ao aplicativo acesso ao recurso do Application Insights.

Na página de visão geral dos recursos do Application Insights, selecione Controle de acesso (IAM).
Selecione Adicionar atribuição de função.
Selecione a função Leitor e, em seguida, selecione Membros.
Na guia Membros, escolha Selecionar membros.
Digite o nome do seu aplicativo na caixa Selecionar .
Selecione seu aplicativo e escolha Selecionar.
Selecione Rever + atribuir.
Depois de concluir a configuração e as permissões do Ative Directory, solicite um token de autorização.

Nota

Para este exemplo, aplicamos a função Leitor. Essa função é uma das muitas funções internas e pode incluir mais permissões do que você precisa. Funções e permissões mais granulares podem ser criadas.

Solicitar um token de autorização

Antes de começar, certifique-se de que tem todos os valores necessários para fazer o pedido com sucesso. Todos os pedidos requerem:

A ID de tenant do Microsoft Entra.
ID do aplicativo do App Insights - Se você estiver usando chaves de API no momento, é o mesmo ID do aplicativo.
Sua ID de cliente do Microsoft Entra para o aplicativo.
Um segredo de cliente Microsoft Entra para a aplicação.

A API do Application Insights oferece suporte à autenticação do Microsoft Entra com três fluxos diferentes do Microsoft Entra ID OAuth2 :

Credenciais de cliente
Código de autorização
Implícito

Fluxo de credenciais do cliente

No fluxo de credenciais do cliente, o token é usado com o ponto de extremidade do Application Insights. Uma única solicitação é feita para receber um token usando as credenciais fornecidas para seu aplicativo na etapa anterior quando você registra um aplicativo no Microsoft Entra ID.

Use o ponto de https://api.applicationinsights.io extremidade.

URL do token de credenciais do cliente (solicitação POST)

    POST /<your-tenant-id>/oauth2/token
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    grant_type=client_credentials
    &client_id=<app-client-id>
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Uma solicitação bem-sucedida recebe um token de acesso na resposta:

    {
        token_type": "Bearer",
        "expires_in": "86399",
        "ext_expires_in": "86399",
        "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax"
    }

Use o token em solicitações para o ponto de extremidade do Application Insights:

    POST /v1/apps/yous_app_id/query?timespan=P1D
    Host: https://api.applicationinsights.io
    Content-Type: application/json
    Authorization: Bearer <your access token>

    Body:
    {
    "query": "requests | take 10"
    }

Resposta de exemplo:

  "tables": [
    {
      "name": "PrimaryResult",
      "columns": [
        {
          "name": "timestamp",
          "type": "datetime"
        },
        {
          "name": "id",
          "type": "string"
        },
        {
          "name": "source",
          "type": "string"
        },
        {
          "name": "name",
          "type": "string"
        },
        {
          "name": "url",
          "type": "string"
        },
        {
          "name": "success",
          "type": "string"
        },
        {
          "name": "resultCode",
          "type": "string"
        },
        {
          "name": "duration",
          "type": "real"
        },
        {
          "name": "performanceBucket",
          "type": "string"
        },
        {
          "name": "customDimensions",
          "type": "dynamic"
        },
        {
          "name": "customMeasurements",
          "type": "dynamic"
        },
        {
          "name": "operation_Name",
          "type": "string"
        },
        {
          "name": "operation_Id",
          "type": "string"
        },
        {
          "name": "operation_ParentId",
          "type": "string"
        },
        {
          "name": "operation_SyntheticSource",
          "type": "string"
        },
        {
          "name": "session_Id",
          "type": "string"
        },
        {
          "name": "user_Id",
          "type": "string"
        },
        {
          "name": "user_AuthenticatedId",
          "type": "string"
        },
        {
          "name": "user_AccountId",
          "type": "string"
        },
        {
          "name": "application_Version",
          "type": "string"
        },
        {
          "name": "client_Type",
          "type": "string"
        },
        {
          "name": "client_Model",
          "type": "string"
        },
        {
          "name": "client_OS",
          "type": "string"
        },
        {
          "name": "client_IP",
          "type": "string"
        },
        {
          "name": "client_City",
          "type": "string"
        },
        {
          "name": "client_StateOrProvince",
          "type": "string"
        },
        {
          "name": "client_CountryOrRegion",
          "type": "string"
        },
        {
          "name": "client_Browser",
          "type": "string"
        },
        {
          "name": "cloud_RoleName",
          "type": "string"
        },
        {
          "name": "cloud_RoleInstance",
          "type": "string"
        },
        {
          "name": "appId",
          "type": "string"
        },
        {
          "name": "appName",
          "type": "string"
        },
        {
          "name": "iKey",
          "type": "string"
        },
        {
          "name": "sdkVersion",
          "type": "string"
        },
        {
          "name": "itemId",
          "type": "string"
        },
        {
          "name": "itemType",
          "type": "string"
        },
        {
          "name": "itemCount",
          "type": "int"
        }
      ],
      "rows": [
        [
          "2018-02-01T17:33:09.788Z",
          "|0qRud6jz3k0=.c32c2659_",
          null,
          "GET Reports/Index",
          "http://fabrikamfiberapp.azurewebsites.net/Reports",
          "True",
          "200",
          "3.3833",
          "<250ms",
          "{\"_MS.ProcessedByMetricExtractors\":\"(Name:'Requests', Ver:'1.0')\"}",
          null,
          "GET Reports/Index",
          "0qRud6jz3k0=",
          "0qRud6jz3k0=",
          "Application Insights Availability Monitoring",
          "9fc6738d-7e26-44f0-b88e-6fae8ccb6b26",
          "us-va-ash-azr_9fc6738d-7e26-44f0-b88e-6fae8ccb6b26",
          null,
          null,
          "AutoGen_49c3aea0-4641-4675-93b5-55f7a62d22d3",
          "PC",
          null,
          null,
          "52.168.8.0",
          "Boydton",
          "Virginia",
          "United States",
          null,
          "fabrikamfiberapp",
          "RD00155D5053D1",
          "cf58dcfd-0683-487c-bc84-048789bca8e5",
          "fabrikamprod",
          "5a2e4e0c-e136-4a15-9824-90ba859b0a89",
          "web:2.5.0-33031",
          "051ad4ef-0776-11e8-ac6e-e30599af6943",
          "request",
          "1"
        ],
        [
          "2018-02-01T17:33:15.786Z",
          "|x/Ysh+M1TfU=.c32c265a_",
          null,
          "GET Home/Index",
          "http://fabrikamfiberapp.azurewebsites.net/",
          "True",
          "200",
          "716.2912",
          "500ms-1sec",
          "{\"_MS.ProcessedByMetricExtractors\":\"(Name:'Requests', Ver:'1.0')\"}",
          null,
          "GET Home/Index",
          "x/Ysh+M1TfU=",
          "x/Ysh+M1TfU=",
          "Application Insights Availability Monitoring",
          "58b15be6-d1e6-4d89-9919-52f63b840913",
          "emea-se-sto-edge_58b15be6-d1e6-4d89-9919-52f63b840913",
          null,
          null,
          "AutoGen_49c3aea0-4641-4675-93b5-55f7a62d22d3",
          "PC",
          null,
          null,
          "51.141.32.0",
          "Cardiff",
          "Cardiff",
          "United Kingdom",
          null,
          "fabrikamfiberapp",
          "RD00155D5053D1",
          "cf58dcfd-0683-487c-bc84-048789bca8e5",
          "fabrikamprod",
          "5a2e4e0c-e136-4a15-9824-90ba859b0a89",
          "web:2.5.0-33031",
          "051ad4f0-0776-11e8-ac6e-e30599af6943",
          "request",
          "1"
        ]
      ]
    }
  ]
}

Fluxo de código de autorização

O principal fluxo OAuth2 suportado é através de códigos de autorização. Esse método requer duas solicitações HTTP para adquirir um token com o qual chamar a API do Azure Monitor Application Insights. Há duas URLs, com um endpoint por solicitação. Os seus formatos são descritos nas secções seguintes.

URL do código de autorização (solicitação GET)

    GET https://login.microsoftonline.com/YOUR_Azure AD_TENANT/oauth2/authorize?
    client_id=<app-client-id>
    &response_type=code
    &redirect_uri=<app-redirect-uri>
    &resource=https://api.applicationinsights.io

Quando uma solicitação é feita para a URL autorizada, o client\_id é o ID da aplicação do seu aplicativo Microsoft Entra, copiado do menu de propriedades do aplicativo. O redirect\_uri é o homepage/login URL da mesma aplicação Microsoft Entra. Quando uma solicitação é bem-sucedida, este endpoint redireciona-o para a página de início de sessão fornecida no registo com o código de autorização anexado à URL. Veja o seguinte exemplo:

    http://<app-client-id>/?code=AUTHORIZATION_CODE&session_state=STATE_GUID

Neste ponto, você obtém um código de autorização, que agora você usa para solicitar um token de acesso.

URL do token do código de autorização (solicitação POST)

    POST /YOUR_Azure AD_TENANT/oauth2/token HTTP/1.1
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    grant_type=authorization_code
    &client_id=<app client id>
    &code=<auth code fom GET request>
    &redirect_uri=<app-client-id>
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Todos os valores são os mesmos de antes, com algumas adições. O código de autorização é o mesmo código que você recebeu na solicitação anterior após um redirecionamento bem-sucedido. O código é combinado com a chave obtida do aplicativo Microsoft Entra. Se não guardou a chave, pode eliminá-la e criar uma nova a partir do separador teclas do menu da aplicação Microsoft Entra. A resposta é uma cadeia de caracteres JSON que contém o token com o esquema a seguir. Os tipos são indicados para os valores de token.

Exemplo de resposta:

    {
        "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax",
        "expires_in": "3600",
        "ext_expires_in": "1503641912",
        "id_token": "not_needed_for_app_insights",
        "not_before": "1503638012",
        "refresh_token": "eyJ0esdfiJKV1ljhgYF.....Az",
        "resource": "https://api.applicationinsights.io",
        "scope": "Data.Read",
        "token_type": "bearer"
    }

A parte do token de acesso dessa resposta é o que você apresenta à API do Application Insights no Authorization: Bearer cabeçalho. Você também pode usar o token de atualização no futuro para adquirir um novo access_token e refresh_token quando o seu ficar obsoleto. Para esta solicitação, o formato e o endereço final são:

    POST /YOUR_AAD_TENANT/oauth2/token HTTP/1.1
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    client_id=<app-client-id>
    &refresh_token=<refresh-token>
    &grant_type=refresh_token
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Exemplo de resposta:

    {
      "token_type": "Bearer",
      "expires_in": "3600",
      "expires_on": "1460404526",
      "resource": "https://api.applicationinsights.io",
      "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax",
      "refresh_token": "eyJ0esdfiJKV1ljhgYF.....Az"
    }

Fluxo de código implícito

A API do Application Insights suporta o fluxo implícito OAuth2. Para esse fluxo, apenas uma única solicitação é necessária, mas nenhum token de atualização pode ser adquirido.

URL de autorização de código implícito

    GET https://login.microsoftonline.com/YOUR_AAD_TENANT/oauth2/authorize?
    client_id=<app-client-id>
    &response_type=token
    &redirect_uri=<app-redirect-uri>
    &resource=https://api.applicationinsights.io

Uma solicitação bem-sucedida produz um redirecionamento para seu URI de redirecionamento com o token na URL:

    http://YOUR_REDIRECT_URI/#access_token=YOUR_ACCESS_TOKEN&token_type=Bearer&expires_in=3600&session_state=STATE_GUID

Este access_token serve como o valor do cabeçalho Authorization: Bearer quando é passado para a API do Application Insights para autorizar pedidos.

Desativar autenticação local

Depois que a autenticação do Microsoft Entra estiver habilitada, você poderá optar por desabilitar a autenticação local. Essa configuração permite que você ingira telemetria autenticada exclusivamente pelo ID do Microsoft Entra e afeta o acesso aos dados (por exemplo, por meio de chaves de API).

Você pode desabilitar a autenticação local usando o portal do Azure ou a Política do Azure ou programaticamente.

Portal do Azure

No recurso do Application Insights, selecione Propriedades em Configurar no menu à esquerda. Selecione Ativado (clique para alterar) se a autenticação local estiver ativada.
Selecione Desativado e aplique alterações.
Depois de desativar a autenticação local no seu recurso, você verá as informações correspondentes no painel Visão geral .

Política do Azure

A Política do Azure para DisableLocalAuth nega aos usuários a capacidade de criar um novo recurso do Application Insights sem essa propriedade definida como true. O nome da política é Application Insights components should block non-Azure Active Directory based ingestion.

Para aplicar esta definição de política à sua subscrição, crie uma nova atribuição de política e atribua a política.

O exemplo a seguir mostra a definição do modelo de política:

{
    "properties": {
        "displayName": "Application Insights components should block non-Azure Active Directory based ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Habilitação programática

A propriedade DisableLocalAuth é usada para desabilitar qualquer autenticação local em seu recurso do Application Insights. Quando essa propriedade é definida como true, ela impõe que a autenticação do Microsoft Entra deve ser usada para todo o acesso.

O exemplo a seguir mostra o modelo do Azure Resource Manager que você pode usar para criar um recurso do Application Insights baseado em espaço de trabalho com LocalAuth desabilitado.

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "___location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

Público do token

Ao desenvolver um cliente personalizado para obter um token de acesso do Microsoft Entra ID para enviar telemetria ao Application Insights, consulte a tabela a seguir para determinar a string de audiência apropriada para o seu ambiente de alojamento específico.

Versão na nuvem do Azure	Valor do público para o token
Nuvem pública do Azure	`https://monitor.azure.com`
Microsoft Azure operado pela nuvem 21Vianet	`https://monitor.azure.cn`
Nuvem da Azure para o governo dos EUA	`https://monitor.azure.us`

Se você estiver usando nuvens soberanas, também poderá encontrar as informações do público na cadeia de conexão. A cadeia de conexão segue esta estrutura:

InstrumentationKey={profile.InstrumentationKey};IngestionEndpoint={ingestionEndpoint};LiveEndpoint={liveDiagnosticsEndpoint};AADAudience={aadAudience}

O parâmetro de audiência, AADAudience, pode variar dependendo do seu ambiente específico.

Resolução de Problemas

Esta seção fornece cenários de solução de problemas distintos e etapas que você pode seguir para resolver um problema antes de gerar um tíquete de suporte.

Erros HTTP de ingestão

O serviço de ingestão retorna erros específicos, independentemente do idioma do SDK. O tráfego de rede pode ser coletado usando uma ferramenta como o Fiddler. Você deve filtrar o tráfego para o endereço de ingestão definido na string de conexão.

Autenticação HTTP/1.1 400 não suportada

Este erro mostra que o recurso está definido apenas para Microsoft Entra. Você precisa configurar corretamente o SDK porque ele está enviando para a API errada.

Nota

"v2/track" não suporta Microsoft Entra ID. Quando o SDK está configurado corretamente, a telemetria é enviada para v2.1/track.

Em seguida, você deve revisar a configuração do SDK.

HTTP/1.1 401 Autorização necessária

Esse erro indica que o SDK está configurado corretamente, mas não é possível adquirir um token válido. Este erro pode indicar um problema com o Microsoft Entra ID.

Em seguida, você deve identificar exceções nos logs do SDK ou erros de rede da Identidade do Azure.

HTTP/1.1 403 Não autorizado

Esse erro significa que o SDK usa credenciais sem permissão para o recurso ou assinatura do Application Insights.

Primeiro, verifique o controle de acesso do recurso do Application Insights. Você deve configurar o SDK com credenciais que tenham a função Monitoring Metrics Publisher.

Resolução de problemas relacionada ao idioma

O SDK .NET do Application Insights emite logs de erro usando a origem de eventos. Para saber mais sobre como coletar logs de origem de eventos, consulte Solução de problemas sem dados - coletar logs com o PerfView.

Se o SDK não conseguir obter um token, a mensagem de exceção será registrada como Failed to get AAD Token. Error message:.

Tráfego HTTP

Você pode inspecionar o tráfego de rede usando uma ferramenta como o Fiddler. Para permitir que o tráfego passe pelo túnel através do Fiddler, adicione as seguintes definições de proxy no arquivo de configuração:

"proxy": {
"host": "localhost",
"port": 8888
}

Ou adicione os seguintes argumentos da Máquina Virtual Java (JVM) ao executar a sua aplicação: -Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

Se o Microsoft Entra ID estiver habilitado no agente, o tráfego de saída incluirá o cabeçalho AuthorizationHTTP .

401 Não Autorizado

Se você vir a mensagem WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials no log, isso significa que o agente não pôde enviar telemetria. Você provavelmente não habilitou a autenticação do Microsoft Entra no agente, enquanto seu recurso do Application Insights tem DisableLocalAuth: true. Certifique-se de passar uma credencial válida com permissão de acesso ao seu recurso do Application Insights.

Se estiver a utilizar o Fiddler, poderá ver o cabeçalho HTTP/1.1 401 Unauthorized - please provide the valid authorization tokende resposta .

CredentialUnavailableException

Se você vir a exceção, com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established no arquivo de log, isso significa que o agente não conseguiu adquirir o token de acesso. A causa provável é um ID de cliente inválido na sua configuração de Identidade Gerenciada Atribuída pelo Usuário.

Falha ao enviar telemetria

Se você vir a mensagem WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials no log, isso significa que o agente não pôde enviar telemetria. O motivo provável é que as credenciais usadas não permitem a ingestão de telemetria.

Usando o Fiddler, você pode notar a resposta HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component.

O problema pode dever-se a:

Criar o recurso com uma identidade gerenciada atribuída pelo sistema ou associar uma identidade atribuída pelo usuário sem adicionar a função Monitoring Metrics Publisher a ele.
Usando as credenciais corretas para tokens de acesso, mas vinculando-as ao recurso errado do Application Insights. Verifique se seu recurso (máquina virtual ou serviço de aplicativo) ou identidade atribuída pelo usuário tem funções de Editor de Métricas de Monitoramento em seu recurso do Application Insights.

ID de cliente inválida

Se a exceção, com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory no log, significa que o agente não conseguiu obter o token de acesso. Essa exceção provavelmente acontece porque o ID do cliente na configuração secreta do cliente é inválido ou incorreto.

Esse problema ocorre se o administrador não instalar o aplicativo ou nenhum usuário locatário consentir com ele. Isso também acontece se você enviar sua solicitação de autenticação para o locatário errado.

Ative os logs internos usando a configuração a seguir. Depois de ativá-los, o console mostra logs de erros, incluindo qualquer erro relacionado à integração do Microsoft Entra. Os exemplos incluem falha ao gerar o token com as credenciais erradas ou erros quando o ponto de extremidade de ingestão não consegue autenticar usando as credenciais fornecidas.

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

O erro começa com "erro de credencial" (sem código de status)

Algo está incorreto sobre a credencial que você está usando e o cliente não consegue obter um token para autorização. É porque faltam os dados necessários para o Estado. Um exemplo seria passar em um sistema ManagedIdentityCredential, mas o recurso não está configurado para usar a identidade gerida pelo sistema.

O erro começa com "erro de autenticação" (sem código de status)

O cliente não conseguiu autenticar com a credencial fornecida. Esse erro geralmente ocorre quando a credencial usada não tem as atribuições de função corretas.

Estou a receber um código de estado 400 nos meus registos de erros

Você provavelmente não tem uma credencial ou sua credencial está definida como None, mas seu recurso do Application Insights está configurado com DisableLocalAuth: true. Verifique se você está passando uma credencial válida e se ela tem permissão para acessar seu recurso do Application Insights.

Estou a receber um código de estado 403 nos meus registos de erros

Esse erro geralmente ocorre quando as credenciais fornecidas não concedem acesso à telemetria de ingestão para o recurso do Application Insights. Verifique se o recurso do Application Insights tem as atribuições de função corretas.

Partilhar via

Configuração da variável de ambiente

API clássica

Configuração da variável de ambiente

API clássica

Configuração da variável de ambiente

Configuração manual

Identidade gerida atribuída pelo sistema

Identidade gerida atribuída pelo utilizador

Configuração da variável de ambiente

Configuração manual

Origem do evento

Tráfego HTTP

401 Não Autorizado

CredentialUnavailableException

Falha ao enviar telemetria

ID de cliente inválida

O erro começa com "erro de credencial" (sem código de status)

O erro começa com "erro de autenticação" (sem código de status)

Estou a receber um código de estado 400 nos meus registos de erros

Estou a receber um código de estado 403 nos meus registos de erros

Partilhar via

Autenticação do Microsoft Entra para o Application Insights

Pré-requisitos

Cenários não suportados

Configurar e habilitar a autenticação baseada em ID do Microsoft Entra

Configuração da variável de ambiente

API clássica

Consultar o Application Insights usando a autenticação do Microsoft Entra

Configurar a autenticação

Solicitar um token de autorização

Fluxo de credenciais do cliente

URL do token de credenciais do cliente (solicitação POST)

Fluxo de código de autorização

URL do código de autorização (solicitação GET)

URL do token do código de autorização (solicitação POST)

Fluxo de código implícito

URL de autorização de código implícito

Desativar autenticação local

Portal do Azure

Política do Azure

Habilitação programática

Público do token

Resolução de Problemas

Erros HTTP de ingestão

Autenticação HTTP/1.1 400 não suportada

HTTP/1.1 401 Autorização necessária

HTTP/1.1 403 Não autorizado

Resolução de problemas relacionada ao idioma

Próximos passos

Comentários

Recursos adicionais