Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20250328_Application InsightsのAPIキー廃止とEntra ID統...

20250328_Application InsightsのAPIキー廃止とEntra ID統合:DevOps観点からのモニタリング戦略

先日、2026年3月31日にApplication InsightsのAPIキー認証が廃止となるアナウンスがMicrosoft社より発信されました。

背景として、Azure Monitorサービス全体でセキュリティ向上のため、認証方式が見直し、従来のAPIキーでは、漏洩や不正利用のリスクが高まっているため、Microsoft社として、2025年9月30日までにEntra IDへの統合を推奨しています。

特に運用保守に携わる皆様に影響がある内容と考えています。
(Application InsightsのAPIキーを利用してデータの取得→可視化システムへの連携、帳票作成など)

これを踏まえて以下の内容でセッションを行います。

■アジェンダ
・Azureの代表的なモニタリングコンポーネント
・Azure Monitorの概要と役割
・Log Analyticsの概要と役割
・Application Insightsの概要と役割
・Kusto Query Language (KQL) とは
・現行のAPIキーを使った自動化と廃止の背景
・新しい認証モデル:Entra ID 統合の概要
・デモ:Postmanを使ったKQL発行
・まとめ

ゴール感は以下のとおり
・Application InsightsのAPIキー廃止が行われる理由を理解する
・新しい認証モデル(Entra ID統合)のメリットを把握する
・DevOpsの視点から見た、Entra ID統合の効果的な活用方法を学ぶ

yutakaosada

March 25, 2025
Tweet

More Decks by yutakaosada

Other Decks in Technology

Transcript

  1. Agenda • Introduction • はじめに • Azureの代表的なモニタリングコンポーネント • Azure Monitorの概要と役割

    • Log Analyticsの概要と役割 • Application Insightsの概要と役割 • Kusto Query Language (KQL) とは • 現行のAPIキーを使った自動化と廃止の背景 • 新しい認証モデル:Entra ID 統合の概要 • デモ:Postmanを使ったKQL発行 • まとめ DO WHAT MATTERS 2
  2. Yutaka Osada (長田 豊) • DevOps Engineer @Avanade Japan •

    業務 • Azureコンポーネントを活用したサー ビス構築 • 技術検証、パフォーマンスチューニン グを得意とし、T-SQLが好き。 • 技術スタック • C#, .NET, Azure(PaaS), Azure DevOps, GitHub • Please follow me DO WHAT MATTERS 3 https://github.com/yutaka-art
  3. はじめに DO WHAT MATTERS 4 • 背景 • 2026年3月31日にApplication InsightsのAPIキー認証が

    廃止 • Azure Monitorサービス全体でセキュリティ向上のため、認証方 式が見直し • 従来のAPIキーでは、漏洩や不正利用のリスクが高まっている • Microsoftは2025年9月30日までにEntra IDを使った統合 へ移行を推奨 • より安全で管理しやすい認証・認可方式が必要 • セッションのゴール • Application InsightsのAPIキー廃止が行われる理由を理 解する • 新しい認証モデル(Entra ID統合)のメリットを把握す る • DevOpsの視点から見た、Entra ID統合の効果的な活用方 法を学ぶ
  4. Azure Monitorの概要と役割 • Azure Monitorとは? • Azureリソースやオンプレミス環境の 監視を提供する統合ソリューション • Azure

    Monitorの主な役割 • データ収集と統合 • Azureリソース(仮想マシン、DB、スト レージ)や他のクラウド/オンプレ環境か らデータ収集 • リアルタイム監視・アラート • 異常検知や閾値超過によるアラート通知 • ログ分析・可視化 • ダッシュボード、クエリ(KQL)を使った 柔軟な分析が可能 DO WHAT MATTERS 5 [Azure Monitor] ├── 分析(VM,Storage account,Network …他) ├── アラートルール(通知条件) ├── アクショングループ(通知先) └── Azure Workbooks(ダッシュボード) ログ収集 Log Analytics (ログの分析) Application Insights (アプリ監視特化) ▪DevOps観点でのAzure Monitorの位置付け • 「継続的フィードバック」としてリアルタイムの監 視と通知を提供 • インフラ/アプリケーション監視を一元化し、障害対 応や改善サイクルの迅速化に寄与 • メトリクスを基にした意思決定で、信頼性と品質の 高い運用を可能とする
  5. Log Analyticsの概要と役割 • Log Analyticsとは? • Azure環境やオンプレミス環境から収 集したログやパフォーマンスデータを 蓄積・分析するためのサービス •

    Log Analyticsの主な役割 • Azure Monitorによって収集されたロ グを集中管理・分析するためのワーク スペースを提供 • ログを保管し、履歴データの分析や障 害原因調査、異常検知を支援 • Azureの各種サービス(仮想マシン、 コンテナ、ネットワーク)やオンプレ 環境から収集されたデータの分析を可 能とする DO WHAT MATTERS 6 ▪DevOps観点でのLog Analyticsの位置付け • 分析結果を迅速に開発者や運用チームにフィードバック し、改善アクションにつなげる(継続的改善サイクル) • KQLを使ったアラートルールを構成し、問題の予兆を検 知し障害発生前に対応(予防的な監視) 可視化/ アラート Log Analytics Workspace Application Insights アプリのテレメトリデータ VM AKS Web Apps KQLで分析
  6. Application Insightsの概要 と役割 • Application Insightsとは? • Azure Monitorの一機能として提供される アプリケーション監視に特化したサービ

    ス • Application Insightsの主な役割 • リアルタイム監視とエラー検出 • Applicationのパフォーマンスメトリクス、 リクエスト成功率、エラーレートなど • 例外発生時の詳細なログ出力 • 分散トレースでの診断 • マイクロサービス間の依存関係(DB/APIなど) を可視化し、遅延やボトルネックを特定 • ユーザ行動分析 • ユーザの操作履歴(どのページがどれくらい 閲覧されたかなど)を収集 DO WHAT MATTERS 7 ▪DevOps観点でのApplication Insightsの位置付け • デプロイ後のアプリケーションのパフォーマンスをリア ルタイムで監視し、異常検出時に即座にロールバックや 修正(CI/CDパイプラインと統合したフィードバック ループ) ダッシュ ボード Application Insights Web Apps (API) KQLで分析 Functions • ユーザ行動分析 • user,session,event,fanel • 分散トレース • パフォーマンス • リアルタイム監視 • ライブメトリック etc… Azure DevOps Extension アラート Workbooks Power BI Monitor よりグラフィカルな 可視化
  7. Kusto Query Language (KQL) とは DO WHAT MATTERS 8 Kusto

    Query Language (KQL) の基本 • WHAT IS KQL? • Azure Monitor / Log Analytics / Application Insights で使用さ れるクエリ言語 • SQLに似た構文で、ログデータの検索・分析・可視化を高速に 実行できる • Azure PortalのGUI上で直感的に使える(コード不要でデータ 解析が可能) • グラフや表の可視化が可能(時系列データやカテゴリ別分析に 最適) • 現場でよく使われるテーブル • requests:アプリケーションのリクエストログ • traces:アプリケーションのカスタムログ(デバッグ情報など) • exceptions:アプリケーションの例外ログ • KQLの利用方法 • Azure PortalのLog Analytics / Application Insightsから直接ク エリ実行 • Azure Monitorの「Logs」ブレードを開く • 「KQLクエリを入力」 し、結果を即座に確認可能 • カスタムアラートやダッシュボードの作成 • 特定の条件に基づいたログ監視&アラート通知 • Power BIなどと統合し、リアルタイムモニタリング Azure PortalによるKQL手動発行例
  8. 現行のAPIキーを使った自動化と廃止の背景 DO WHAT MATTERS 9 • 従来のAPIキーによるアクセスフロー 1. アプリケーションやスクリプトから Application

    Insights API へデータ取得リクエストを送信 2. APIキー をリクエストヘッダーに含めて認証 3. Application Insights API から KQLクエリ結果やメトリク スデータを取得 4. 外部システムやダッシュボードに連携 • なぜAPIキーを廃止するのか? • 漏えいリスク:APIキーが流出すると、悪意のある第三者が データへアクセス可能 • 管理が煩雑:発行したAPIキーの管理やローテーションが手 動で必要 • アクセス制御が不十分:APIキー単位のアクセス制御では細 かい権限設定ができない 2025年9月30日までに移行が推奨 されており、それ以降はAPIキーを利用し続けることは非推奨 2026年3月31日以降はAPIキーによるアクセスが完全不可 となるため、早期の対応が必要 シーケンス
  9. 新しい認証モデル:Entra ID 統合の概要 DO WHAT MATTERS 10 • ENTRA ID

    統合による改善点 • OAuth 2.0ベースの認証 により、動的なアクセストークン取得 が可能 • ロールベースのアクセス制御(RBAC) を適用し、最小権限の 付与が可能 • サービスプリンシパル(SP)を活用し、安全な自動化が実現 • ENTRA ID 統合のフロー 1. サービスプリンシパル(SP)を作成 • Azure Entra ID の App Registration にアプリを登録 • クライアントID・シークレット or 証明書を発行 • APIスコープへ Application Insights APIのData.Readを付 与 2. Application InsightsのIAMで[1]で作成したSPを閲覧者として 割り当て 3. アクセストークンの取得 • OAuth 2.0 フロー(Client Credentials Flow) に従い、 トークンエンドポイントにリクエスト • MSALライブラリ または REST API を使用してトークン取 得 4. KQLクエリの実行 • 取得したトークンを Bearer トークンとして Application Insights REST API に送信し、データ取得 シーケンス APIスコープ
  10. デモ:Postmanを使ったKQL発行(1/2) DO WHAT MATTERS 11 ①Tenant ID ②Client ID ③Client

    Secret このアクセストークンを利用してAPIをCallする
  11. デモ:Postmanを使ったKQL発行(2/2) DO WHAT MATTERS 12 • リクエストヘッダへ前ページで取得したアクセ ストークンをセット • Authorizationタブで設定してもOK

    • リクエストボディへKQLを記載 • APIキーを利用するときと同じようにKQLの実行 結果としての情報がレスポンスとして返却される ④Access Token ⑤Application ID ※Application InsightsのAPIアクセスタブより取得
  12. まとめ ▪本日のポイント • Azureのモニタリングコンポーネントの役割と特徴 • Azure Monitor: Azure環境全体の監視基盤(統合的なデータ収集・監視・アラート) • Log

    Analytics:ログを収集・統合分析する基盤(KQLによる柔軟な分析) • Application Insights はアプリケーション監視に特化し、テレメトリデータや分散トレースを提供 • Kusto Query Language (KQL) の活用 • Azure Monitor, Log Analytics, Application Insightsで共通利用可能 • クエリによるリアルタイム分析、異常検知、可視化(グラフ化)に役立つ • Application InsightsのAPIキー廃止とEntra ID統合 • 従来のAPIキー認証は2026年3月31日廃止(2025年9月30日までに移行推奨) • Entra ID統合により、よりセキュアで管理しやすい認証方式に移行 • OAuth 2.0ベースのアクセストークン取得でセキュリティ強化 • DevOps観点でのメリット • APIキーの廃止に伴うリスクを回避し、セキュアなモニタリングを実現 • RBACによる最小権限の適用で、DevOpsチーム内のセキュリティを向上 ▪今後のアクションと推奨事項 • 現在の監視環境でのAPIキー使用箇所を洗い出し、早期に移行計画を立案する • Entra ID の認証方式をチームに周知し、開発者間の認識を揃える • CI/CDパイプラインへのEntra ID統合を検討し、モニタリングの自動化を進める • KQLによる監視・分析スキルをDevOpsチーム全体で共有する DO WHAT MATTERS 13 ▪ 参考リンク - [Azure Monitor概要] (https://learn.microsoft.com/azure/azure-monitor/overview) - [Application InsightsとEntra ID統合方法] (https://learn.microsoft.com/ja-jp/azure/azure- monitor/app/azure-ad-authentication?tabs=aspnetcore) - [Kusto Query Language(KQL)リファレンス] (https://learn.microsoft.com/azure/data-explorer/kusto/query/) DevOps Transformation