20250328_Application InsightsのAPIキー廃止とEntra ID統合：DevOps観点からのモニタリング戦略

Transcript

1. Application InsightsのAPIキー廃止とEntra ID統合 ～DevOps観点からのモニタリング戦略 2025.03.28 Yutaka.Osada

2. Agenda • Introduction • はじめに • Azureの代表的なモニタリングコンポーネント • Azure Monitorの概要と役割

   • Log Analyticsの概要と役割 • Application Insightsの概要と役割 • Kusto Query Language (KQL) とは • 現行のAPIキーを使った自動化と廃止の背景 • 新しい認証モデル：Entra ID 統合の概要 • デモ：Postmanを使ったKQL発行 • まとめ DO WHAT MATTERS 2

3. Yutaka Osada （長田 豊） • DevOps Engineer @Avanade Japan •

   業務 • Azureコンポーネントを活用したサー ビス構築 • 技術検証、パフォーマンスチューニン グを得意とし、T-SQLが好き。 • 技術スタック • C#, .NET, Azure(PaaS), Azure DevOps, GitHub • Please follow me DO WHAT MATTERS 3 https://github.com/yutaka-art

4. はじめに DO WHAT MATTERS 4 • 背景 • 2026年3月31日にApplication InsightsのAPIキー認証が

   廃止 • Azure Monitorサービス全体でセキュリティ向上のため、認証方 式が見直し • 従来のAPIキーでは、漏洩や不正利用のリスクが高まっている • Microsoftは2025年9月30日までにEntra IDを使った統合 へ移行を推奨 • より安全で管理しやすい認証・認可方式が必要 • セッションのゴール • Application InsightsのAPIキー廃止が行われる理由を理 解する • 新しい認証モデル（Entra ID統合）のメリットを把握す る • DevOpsの視点から見た、Entra ID統合の効果的な活用方 法を学ぶ

5. Azure Monitorの概要と役割 • Azure Monitorとは？ • Azureリソースやオンプレミス環境の 監視を提供する統合ソリューション • Azure

   Monitorの主な役割 • データ収集と統合 • Azureリソース（仮想マシン、DB、スト レージ）や他のクラウド/オンプレ環境か らデータ収集 • リアルタイム監視・アラート • 異常検知や閾値超過によるアラート通知 • ログ分析・可視化 • ダッシュボード、クエリ（KQL）を使った 柔軟な分析が可能 DO WHAT MATTERS 5 [Azure Monitor] ├── 分析(VM,Storage account,Network …他) ├── アラートルール(通知条件) ├── アクショングループ(通知先) └── Azure Workbooks(ダッシュボード) ログ収集 Log Analytics （ログの分析） Application Insights （アプリ監視特化） ▪DevOps観点でのAzure Monitorの位置付け • 「継続的フィードバック」としてリアルタイムの監 視と通知を提供 • インフラ/アプリケーション監視を一元化し、障害対 応や改善サイクルの迅速化に寄与 • メトリクスを基にした意思決定で、信頼性と品質の 高い運用を可能とする

6. Log Analyticsの概要と役割 • Log Analyticsとは？ • Azure環境やオンプレミス環境から収 集したログやパフォーマンスデータを 蓄積・分析するためのサービス •

   Log Analyticsの主な役割 • Azure Monitorによって収集されたロ グを集中管理・分析するためのワーク スペースを提供 • ログを保管し、履歴データの分析や障 害原因調査、異常検知を支援 • Azureの各種サービス（仮想マシン、 コンテナ、ネットワーク）やオンプレ 環境から収集されたデータの分析を可 能とする DO WHAT MATTERS 6 ▪DevOps観点でのLog Analyticsの位置付け • 分析結果を迅速に開発者や運用チームにフィードバック し、改善アクションにつなげる(継続的改善サイクル) • KQLを使ったアラートルールを構成し、問題の予兆を検 知し障害発生前に対応(予防的な監視) 可視化/ アラート Log Analytics Workspace Application Insights アプリのテレメトリデータ VM AKS Web Apps KQLで分析

7. Application Insightsの概要 と役割 • Application Insightsとは？ • Azure Monitorの一機能として提供される アプリケーション監視に特化したサービ

   ス • Application Insightsの主な役割 • リアルタイム監視とエラー検出 • Applicationのパフォーマンスメトリクス、 リクエスト成功率、エラーレートなど • 例外発生時の詳細なログ出力 • 分散トレースでの診断 • マイクロサービス間の依存関係(DB/APIなど) を可視化し、遅延やボトルネックを特定 • ユーザ行動分析 • ユーザの操作履歴（どのページがどれくらい 閲覧されたかなど）を収集 DO WHAT MATTERS 7 ▪DevOps観点でのApplication Insightsの位置付け • デプロイ後のアプリケーションのパフォーマンスをリア ルタイムで監視し、異常検出時に即座にロールバックや 修正（CI/CDパイプラインと統合したフィードバック ループ） ダッシュ ボード Application Insights Web Apps (API) KQLで分析 Functions • ユーザ行動分析 • user,session,event,fanel • 分散トレース • パフォーマンス • リアルタイム監視 • ライブメトリック etc… Azure DevOps Extension アラート Workbooks Power BI Monitor よりグラフィカルな 可視化

8. Kusto Query Language (KQL) とは DO WHAT MATTERS 8 Kusto

   Query Language (KQL) の基本 • WHAT IS KQL? • Azure Monitor / Log Analytics / Application Insights で使用さ れるクエリ言語 • SQLに似た構文で、ログデータの検索・分析・可視化を高速に 実行できる • Azure PortalのGUI上で直感的に使える（コード不要でデータ 解析が可能） • グラフや表の可視化が可能（時系列データやカテゴリ別分析に 最適） • 現場でよく使われるテーブル • requests:アプリケーションのリクエストログ • traces:アプリケーションのカスタムログ（デバッグ情報など） • exceptions:アプリケーションの例外ログ • KQLの利用方法 • Azure PortalのLog Analytics / Application Insightsから直接ク エリ実行 • Azure Monitorの「Logs」ブレードを開く • 「KQLクエリを入力」 し、結果を即座に確認可能 • カスタムアラートやダッシュボードの作成 • 特定の条件に基づいたログ監視＆アラート通知 • Power BIなどと統合し、リアルタイムモニタリング Azure PortalによるKQL手動発行例

9. 現行のAPIキーを使った自動化と廃止の背景 DO WHAT MATTERS 9 • 従来のAPIキーによるアクセスフロー 1. アプリケーションやスクリプトから Application

   Insights API へデータ取得リクエストを送信 2. APIキー をリクエストヘッダーに含めて認証 3. Application Insights API から KQLクエリ結果やメトリク スデータを取得 4. 外部システムやダッシュボードに連携 • なぜAPIキーを廃止するのか？ • 漏えいリスク：APIキーが流出すると、悪意のある第三者が データへアクセス可能 • 管理が煩雑：発行したAPIキーの管理やローテーションが手 動で必要 • アクセス制御が不十分：APIキー単位のアクセス制御では細 かい権限設定ができない 2025年9月30日までに移行が推奨 されており、それ以降はAPIキーを利用し続けることは非推奨 2026年3月31日以降はAPIキーによるアクセスが完全不可 となるため、早期の対応が必要 シーケンス

10. 新しい認証モデル：Entra ID 統合の概要 DO WHAT MATTERS 10 • ENTRA ID

    統合による改善点 • OAuth 2.0ベースの認証 により、動的なアクセストークン取得 が可能 • ロールベースのアクセス制御（RBAC） を適用し、最小権限の 付与が可能 • サービスプリンシパル（SP）を活用し、安全な自動化が実現 • ENTRA ID 統合のフロー 1. サービスプリンシパル（SP）を作成 • Azure Entra ID の App Registration にアプリを登録 • クライアントID・シークレット or 証明書を発行 • APIスコープへ Application Insights APIのData.Readを付 与 2. Application InsightsのIAMで[1]で作成したSPを閲覧者として 割り当て 3. アクセストークンの取得 • OAuth 2.0 フロー（Client Credentials Flow） に従い、 トークンエンドポイントにリクエスト • MSALライブラリ または REST API を使用してトークン取 得 4. KQLクエリの実行 • 取得したトークンを Bearer トークンとして Application Insights REST API に送信し、データ取得 シーケンス APIスコープ

11. デモ：Postmanを使ったKQL発行（1/2） DO WHAT MATTERS 11 ①Tenant ID ②Client ID ③Client

    Secret このアクセストークンを利用してAPIをCallする

12. デモ：Postmanを使ったKQL発行（2/2） DO WHAT MATTERS 12 • リクエストヘッダへ前ページで取得したアクセ ストークンをセット • Authorizationタブで設定してもOK

    • リクエストボディへKQLを記載 • APIキーを利用するときと同じようにKQLの実行 結果としての情報がレスポンスとして返却される ④Access Token ⑤Application ID ※Application InsightsのAPIアクセスタブより取得

13. まとめ ▪本日のポイント • Azureのモニタリングコンポーネントの役割と特徴 • Azure Monitor： Azure環境全体の監視基盤（統合的なデータ収集・監視・アラート） • Log

    Analytics：ログを収集・統合分析する基盤（KQLによる柔軟な分析） • Application Insights はアプリケーション監視に特化し、テレメトリデータや分散トレースを提供 • Kusto Query Language (KQL) の活用 • Azure Monitor, Log Analytics, Application Insightsで共通利用可能 • クエリによるリアルタイム分析、異常検知、可視化（グラフ化）に役立つ • Application InsightsのAPIキー廃止とEntra ID統合 • 従来のAPIキー認証は2026年3月31日廃止（2025年9月30日までに移行推奨） • Entra ID統合により、よりセキュアで管理しやすい認証方式に移行 • OAuth 2.0ベースのアクセストークン取得でセキュリティ強化 • DevOps観点でのメリット • APIキーの廃止に伴うリスクを回避し、セキュアなモニタリングを実現 • RBACによる最小権限の適用で、DevOpsチーム内のセキュリティを向上 ▪今後のアクションと推奨事項 • 現在の監視環境でのAPIキー使用箇所を洗い出し、早期に移行計画を立案する • Entra ID の認証方式をチームに周知し、開発者間の認識を揃える • CI/CDパイプラインへのEntra ID統合を検討し、モニタリングの自動化を進める • KQLによる監視・分析スキルをDevOpsチーム全体で共有する DO WHAT MATTERS 13 ▪ 参考リンク - [Azure Monitor概要] (https://learn.microsoft.com/azure/azure-monitor/overview) - [Application InsightsとEntra ID統合方法] (https://learn.microsoft.com/ja-jp/azure/azure- monitor/app/azure-ad-authentication?tabs=aspnetcore) - [Kusto Query Language（KQL）リファレンス] (https://learn.microsoft.com/azure/data-explorer/kusto/query/) DevOps Transformation

14. THANK YOU • Yutaka.Osada • [email protected] • https://github.com/yutaka-art DO WHAT

    MATTERS 14