Azure Active Directory의 로그인 로그(미리 보기)

로그인 오류 및 패턴을 검토하면 사용자가 애플리케이션 및 서비스에 액세스하는 방법에 대한 중요한 인사이트를 얻을 수 있습니다. Azure AD(Azure Active Directory)에서 제공하는 로그인 로그는 IT 관리자가 분석할 수 있는 강력한 유형의 활동 로그입니다. 이 문서에서는 로그인 로그에 액세스하고 활용하는 방법을 설명합니다.

테넌트 상태를 모니터링하는 데 도움이 되는 두 개의 다른 활동 로그도 사용할 수 있습니다.

  • 감사 – 테넌트의 리소스에 적용된 사용자 및 그룹 관리 또는 업데이트와 같은 테넌트 변경 내용에 대한 정보입니다.
  • 프로비전 – ServiceNow에서 그룹 만들기 또는 Workday에서 가져온 사용자와 같은 프로비저닝 서비스에서 수행하는 활동입니다.

Azure AD 클래식 로그인 로그는 대화형 사용자 로그인에 대한 개요를 제공합니다. 이제 세 개의 로그인 로그가 미리 보기로 제공됩니다.

  • 비 대화형 사용자 로그인
  • 서비스 주체 로그인
  • Azure 리소스 로그인에 대한 관리 ID

이 문서에서는 Azure 리소스 로그인에 대한 비대화형, 애플리케이션 및 관리 ID의 미리 보기가 포함된 로그인 로그의 개요를 제공합니다. 미리 보기 기능이 없는 로그인 보고서에 대한 자세한 내용은 Azure Active Directory의 로그인를 참조하세요.

로그인 로그에 액세스하려면 어떻게 해야 합니까?

에서 언제든지 고유한 로그인 기록에 https://mysignins.microsoft.com액세스할 수 있습니다.

테넌트 로그인 로그에 액세스하려면 다음 역할 중 하나가 있어야 합니다.

  • 전역 관리자
  • 보안 관리자
  • 보안 Reader
  • 전역 Reader
  • 보고서 구독자

로그인 활동 보고서는 Azure AD의 모든 버전에서 제공됩니다. Azure Active Directory P1 또는 P2 라이선스가 있는 경우 Microsoft Graph API 통해 로그인 활동 보고서에 액세스할 수 있습니다. Azure Active Directory Premium 시작하기를 참조하여 Azure Active Directory 버전을 업그레이드하세요. 업그레이드 전에 데이터 활동이 없는 프리미엄 라이선스로 업그레이드한 후 Graph에 데이터가 표시되려면 며칠이 걸립니다.

Azure AD 로그인 로그 미리 보기에 액세스하려면 다음을 수행합니다.

  1. 적절한 최소 권한 역할을 사용하여 Azure Portal에 로그인합니다.

  2. Azure Active Directory>로그인 로그로 이동합니다.

  3. 새 로그인 미리 보기 사용해 보기 링크를 선택합니다.

    로그인 로그 페이지의 미리 보기 링크 스크린샷

    레거시 보기로 다시 전환하려면 여기를 클릭하여 미리 보기 링크를 그대로 둡니다.

    로그인 로그 페이지의 미리 보기 종료 링크 스크린샷.

다음 Azure AD 영역에서 로그인 로그에 액세스할 수도 있습니다.

  • 사용자
  • 그룹
  • Enterprise 애플리케이션

로그인 로그 페이지에서 다음 중에서 전환할 수 있습니다.

  • 대화형 사용자 로그인: 사용자가 암호, MFA 앱을 통한 응답, 생체 인식 요소 또는 QR 코드와 같은 인증 요소를 제공하는 로그인.

  • 비대화형 사용자 로그인: 사용자를 대신하여 클라이언트에서 수행하는 로그인입니다. 이러한 로그인에는 사용자의 상호 작용이나 인증 요소가 필요하지 않습니다. 예를 들어, 사용자가 자격 증명을 입력할 필요가 없는 새로 고침 및 액세스 토큰을 사용한 인증 및 권한 부여가 있습니다.

  • 서비스 주체 로그인: 사용자를 포함하지 않는 앱 및 서비스 주체별 로그인 이러한 로그인에서 앱 또는 서비스는 리소스를 인증하거나 액세스할 수 있는 자격 증명을 자체적으로 제공합니다.

  • Azure 리소스 로그인에 대한 관리 ID: Azure에서 관리하는 비밀이 있는 Azure 리소스로 로그인합니다. 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.

로그인 로그 형식의 스크린샷.

로그인 로그 보기

로그인 로그를 보다 효과적으로 보려면 필요에 맞게 보기를 사용자 지정하는 데 잠시 시간을 할애하세요. 포함할 열을 지정하고 데이터를 필터링하여 범위를 좁힐 수 있습니다.

대화형 사용자 로그인

대화형 사용자 로그인은 Microsoft Authenticator 앱과 같은 Azure AD 또는 도우미 앱과 직접 상호 작용하거나 Azure AD 인증 요소를 제공합니다. 사용자는 암호, MFA 챌린지에 대한 응답, 생체 인식 요소 또는 QR 코드를 제공하여 Azure AD 또는 도우미 앱에 제공할 수 있습니다. 이 로그에는 Azure AD에 페더레이션된 ID 공급자의 페더레이션된 로그인도 포함됩니다.

참고

대화형 사용자 로그인 로그에는 이전에 Microsoft Exchange 클라이언트의 일부 비대화형 로그인이 포함되어 있습니다. 이러한 로그인은 대화형이 아니었지만 추가 가시성을 위해 대화형 사용자 로그인 로그에 포함되었습니다. 2020년 11월 비 대화형 사용자 로그인 로그가 공개 미리 보기에 들어가면 이러한 비 대화형 로그인 로그는 정확성을 높이기 위해 비 대화형 사용자 로그인 로그로 이동되었습니다.

보고서 크기: 작은
예:

  • 사용자는 Azure AD 로그인 화면에서 사용자 이름과 암호를 제공합니다.
  • 사용자가 SMS MFA 문제를 전달합니다.
  • 사용자는 생체 인식 제스처를 제공하여 비즈니스용 Windows Hello가 설치된 Windows PC의 잠금을 해제합니다.
  • 사용자는 AD FS SAML 어설션을 사용하여 Azure AD에 페더레이션됩니다.

기본 필드 외에도 대화형 로그인 로그에는 다음이 표시됩니다.

  • 로그인 위치
  • 조건부 액세스가 적용되었는지 여부

도구 모음에서 을 클릭하여 목록 보기를 사용자 지정할 수 있습니다.

열 사용자 지정 단추 스크린샷

비 대화형 사용자 로그인

대화형 사용자 로그인과 마찬가지로 비대화형 로그인은 사용자를 대신하여 수행됩니다. 이러한 로그인은 사용자를 대신하여 클라이언트 앱 또는 OS 구성 요소에서 수행되었으며 사용자가 인증 요소를 제공할 필요가 없습니다. 대신 디바이스 또는 클라이언트 앱은 토큰 또는 코드를 사용하여 사용자를 대신하여 리소스를 인증하거나 액세스합니다. 일반적으로 사용자는 이러한 로그인이 백그라운드에서 발생하는 것으로 인식합니다.

보고서 크기:
예:

  • 클라이언트 앱은 OAuth 2.0 새로 고침 토큰을 사용하여 액세스 토큰을 가져옵니다.
  • 클라이언트는 OAuth 2.0 인증 코드를 사용하여 액세스 토큰을 얻고 토큰을 새로 고칩니다.
  • 사용자는 인증 요소를 제공하거나 Azure AD 프롬프트와 상호 작용하지 않고 Azure AD 조인 PC에서 웹 또는 Windows 앱에 대해 SSO(Single Sign-On)를 수행합니다.
  • 사용자가 FOCI(클라이언트 ID 제품군)를 사용하여 모바일 디바이스에서 세션을 수행하는 동안 두 번째 Microsoft Office 앱에 로그인합니다.

기본 필드 외에도 비 대화형 로그인 로그에는 다음이 표시됩니다.

  • 리소스 ID
  • 그룹화된 로그인 수

이 보고서에 표시된 필드는 사용자 지정할 수 없습니다.

비활성화된 열 옵션의 스크린샷.

데이터를 보다 쉽게 요약하기 위해 비 대화형 로그인 이벤트가 그룹화됩니다. 클라이언트는 짧은 기간 동안 동일한 사용자를 대신하여 많은 비대화형 로그인을 만드는 경우가 많습니다. 비대화형 로그인은 로그인을 시도한 시간을 제외하고 동일한 특성을 공유합니다. 예를 들어, 클라이언트는 사용자를 대신하여 시간당 한 번씩 액세스 토큰을 받을 수 있습니다. 사용자 또는 클라이언트의 상태가 변경되지 않으면 IP 주소, 리소스 및 기타 모든 정보는 각 액세스 토큰 요청에 대해 동일합니다. 변경되는 유일한 상태는 로그인 날짜 및 시간입니다.

Azure AD 시간 및 날짜가 아닌 동일한 여러 로그인을 로그하는 경우 해당 로그인은 동일한 엔터티에서 온 것이며 단일 행으로 집계됩니다. 여러 개의 동일한 로그인이 있는 행(발급된 날짜 및 시간 제외)은 # 로그인 열에 1보다 큰 값을 갖습니다. 이러한 집계된 로그인은 동일한 타임스탬프를 갖는 것처럼 보일 수도 있습니다. 시간 집계 필터는 1시간, 6시간 또는 24시간으로 설정할 수 있습니다. 행을 확장하여 모든 다른 로그인과 다른 타임스탬프를 볼 수 있습니다.

로그인은 다음 데이터가 일치하는 경우 비 대화형 사용자로 집계됩니다.

  • 애플리케이션
  • 사용자
  • IP 주소
  • 상태
  • 리소스 ID

비대화형 로그인의 IP 주소가 새로 고침 토큰 요청이 들어오는 실제 원본 IP와 일치하지 않습니다. 대신 원래 토큰 발행에 사용된 원래 IP를 보여 줍니다.

서비스 주체 로그인

대화형 및 비대화형 사용자 로그인과 달리 서비스 주체 로그인에는 사용자가 포함되지 않습니다. 대신 앱 또는 서비스 주체와 같은 비사용자 계정에서 로그인합니다(관리 ID 로그인 로그에만 포함된 관리 ID 로그인 제외). 이러한 로그인에서 앱 또는 서비스는 리소스를 인증하거나 액세스하기 위한 인증서 또는 앱 비밀과 같은 자체 자격 증명을 제공합니다.

보고서 크기:
예:

  • 서비스 주체는 인증서를 사용하여 Microsoft Graph를 인증하고 액세스합니다.
  • 애플리케이션은 클라이언트 암호를 사용하여 OAuth 클라이언트 자격 증명 흐름에서 인증합니다.

이 보고서에 표시된 필드는 사용자 지정할 수 없습니다.

서비스 주체 로그인 로그의 데이터를 보다 쉽게 요약하기 위해 서비스 주체 로그인 이벤트가 그룹화됩니다. 동일한 조건에서 동일한 엔터티의 로그인은 단일 행으로 집계됩니다. 행을 확장하여 모든 다른 로그인과 다른 타임스탬프를 볼 수 있습니다. 로그인은 다음 데이터가 일치할 때 서비스 주체 보고서에 집계됩니다.

  • 서비스 주체 이름 또는 ID
  • 상태
  • IP 주소
  • 리소스 이름 또는 ID

Azure 리소스에 대한 관리 ID 로그인

Azure 리소스 로그인에 대한 관리 ID는 자격 증명 관리를 간소화하기 위해 Azure에서 비밀을 관리하는 리소스에서 수행한 로그인입니다. 관리 자격 증명이 있는 VM은 Azure AD를 사용하여 액세스 토큰을 가져옵니다.

보고서 크기: 작은
예:

이 보고서에 표시된 필드는 사용자 지정할 수 없습니다.

데이터를 쉽게 요약할 수 있도록 Azure 리소스에 대한 관리 ID 로그인 로그, 비 대화형 로그인 이벤트가 그룹화됩니다. 동일한 엔터티의 로그인은 단일 행으로 집계됩니다. 행을 확장하여 모든 다른 로그인과 다른 타임스탬프를 볼 수 있습니다. 다음 데이터가 모두 일치하면 로그인은 관리 ID 보고서에 집계됩니다.

  • 관리 ID 이름 또는 ID
  • 상태
  • 리소스 이름 또는 ID

목록 보기에서 항목을 선택하여 노드 아래에 그룹화된 모든 로그인을 표시합니다. 로그인에 대한 모든 세부 정보를 보려면 그룹화된 항목을 선택합니다.

결과 필터링

로그인 로그를 필터링하면 특정 시나리오와 일치하는 로그를 빠르게 찾을 수 있습니다. 예를 들어 목록을 필터링하여 특정 지리적 위치, 특정 운영 체제 또는 특정 유형의 자격 증명에서 발생한 로그인만 볼 수 있습니다.

일부 필터 옵션은 더 많은 옵션을 선택하라는 메시지를 표시합니다. 프롬프트에 따라 필터에 필요한 항목을 선택합니다. 여러 필터를 추가할 수 있습니다. 필터의 날짜 범위를 기록해 두어 Azure AD 필요한 데이터만 반환하도록 합니다. 대화형 로그인에 대해 구성하는 필터는 비대화형 로그인에 대해 유지되고 그 반대의 경우도 마찬가지입니다.

시작하려면 테이블 위쪽에서 필터 추가 옵션을 선택합니다.

필터 추가 옵션이 강조 표시된 로그인 로그 페이지의 스크린샷

선택할 수 있는 몇 가지 필터 옵션이 있습니다. 다음은 몇 가지 주목할 만한 옵션 및 세부 정보입니다.

  • 사용자: 해당 사용자의 UPN( 사용자 계정 이름 )입니다.
  • 상태: 옵션은 성공, 실패중단입니다.
  • 리소스: 로그인에 사용되는 서비스의 이름입니다.
  • 조건부 액세스: CA(조건부 액세스) 정책의 상태입니다. 옵션은 다음과 같습니다.
    • 적용되지 않음: 로그인하는 동안 사용자 및 애플리케이션에 정책이 적용되지 않습니다.
    • 성공: 로그인하는 동안 사용자 및 애플리케이션에 적용된 하나 이상의 CA 정책(반드시 다른 조건은 아님).
    • 실패: 로그인은 하나 이상의 CA 정책 및 권한 부여 컨트롤의 사용자 및 애플리케이션 조건을 충족하지 않거나 액세스를 차단하도록 설정되었습니다.
  • IP 주소: IP 주소와 해당 주소가 있는 컴퓨터가 물리적으로 있는 위치 사이에는 확실한 연결이 없습니다. 모바일 공급자 및 VPN은 클라이언트 디바이스가 사용되는 위치와는 거리가 먼 중앙 풀에서 IP 주소를 발급합니다. 현재 IP 주소를 실제 위치로 변환하는 작업은 추적, 레지스트리 데이터, 역방향 조회 및 기타 정보를 기반으로 한 최선의 노력입니다. 다음 표에서는 클라이언트 앱 필터 옵션에 대한 옵션과 설명을 제공합니다.

참고

개인 정보 보호 약정으로 인해 Azure AD는 테넌트 간 시나리오의 경우 이 필드를 홈 테넌트에 채우지 않습니다.

이름 최신 인증 설명
인증된 SMTP POP 및 IMAP 클라이언트에서 메일 메시지를 보낼 때 사용합니다.
Autodiscover Outlook 및 EAS 클라이언트에서 Exchange Online의 사서함을 찾아 연결할 때 사용합니다.
Exchange ActiveSync 이 필터는 EAS 프로토콜이 시도된 모든 로그인 시도를 표시합니다.
브라우저 파란색 확인 표시 웹 브라우저를 사용하는 사용자의 로그인 시도를 모두 표시합니다.
Exchange ActiveSync Exchange ActiveSync를 사용하여 Exchange Online에 연결하는 클라이언트 앱이 있는 사용자의 모든 로그인 시도를 표시합니다.
Exchange Online PowerShell 원격 PowerShell을 사용하여 Exchange Online에 연결하는 데 사용됩니다. Exchange Online PowerShell에 대한 기본 인증을 차단하는 경우 Exchange Online PowerShell 모듈을 사용하여 연결해야 합니다. 자세한 내용은 다단계 인증을 사용하여 Exchange Online PowerShell에 연결을 참조하세요.
Exchange 웹 서비스 Outlook, Outlook for Mac 및 제3자 앱에서 사용하는 프로그래밍 인터페이스입니다.
IMAP4 메일을 검색하는 데 IMAP를 사용하는 레거시 메일 클라이언트입니다.
HTTP를 통한 MAPI Outlook 2010 이상에서 사용됩니다.
모바일 앱 및 데스크톱 클라이언트 파란색 확인 표시 모바일 앱 및 데스크톱 클라이언트를 사용하는 사용자의 로그인 시도를 모두 표시합니다.
오프라인 주소록 Outlook에서 다운로드하여 사용하는 주소 목록 컬렉션의 복사본입니다.
외부에서 Outlook 사용(RPC over HTTP) Outlook 2016 이하에서 사용됩니다.
Outlook 서비스 Windows 10용 메일 및 일정 앱에서 사용합니다.
POP3 POP3를 사용하여 메일을 검색하는 레거시 메일 클라이언트입니다.
보고 웹 서비스 Exchange Online에서 보고서 데이터를 검색할 때 사용합니다.
기타 클라이언트 클라이언트 앱이 포함되지 않았거나 알 수 없는 사용자의 모든 로그인 시도를 표시합니다.

로그인 로그 분석

이제 로그인 로그 테이블의 형식이 적절하게 지정되었으므로 데이터를 보다 효과적으로 분석할 수 있습니다. 몇 가지 일반적인 시나리오는 여기에 설명되어 있지만 로그인 데이터를 분석하는 유일한 방법은 아닙니다. 로그를 다른 도구로 내보내 로그인 데이터의 추가 분석 및 보존을 수행할 수 있습니다.

로그인 오류 코드

로그인에 실패한 경우 관련 로그 항목의 기본 정보 섹션에서 이유에 대한 자세한 정보를 얻을 수 있습니다. 오류 코드 및 관련 실패 이유가 세부 정보에 표시됩니다. 일부 Azure AD 환경의 복잡성으로 인해 가능한 모든 오류 코드 및 해결을 문서화할 수 없습니다. 일부 오류는 문제를 해결하기 위해 지원 요청을 제출 해야 할 수 있습니다.

로그인 오류 코드의 스크린샷.

Azure AD 인증 및 권한 부여와 관련된 오류 코드 목록은 Azure AD 인증 및 권한 부여 오류 코드 문서를 참조하세요. 경우에 따라 로그인 오류 조회 도구가 수정 단계를 제공할 수 있습니다. 로그인 로그 세부 정보에 제공된 오류 코드를 도구에 입력하고 제출 단추를 선택합니다.

오류 코드 조회 도구의 스크린샷

인증 세부 정보

로그인 로그의 세부 정보에 있는 인증 세부 정보 탭은 각 인증 시도에 대해 다음 정보를 제공합니다.

  • 조건부 액세스 또는 보안 기본값과 같이 적용된 인증 정책 목록입니다.
  • 로그인 빈도 또는 MFA 기억과 같이 적용된 세션 수명 정책 목록입니다.
  • 로그인에 사용되는 인증 방법의 시퀀스입니다.
  • 인증 시도가 성공하고 그 이유가 있는 경우.

이 정보를 사용하면 사용자의 로그인에서 각 단계의 문제를 해결할 수 있습니다. 다음 세부 정보를 사용하여 추적합니다.

  • MFA로 보호되는 로그인 볼륨입니다.
  • 세션 수명 정책에 따라 인증 프롬프트에 대한 이유입니다.
  • 각 인증 방법에 대한 사용량 및 성공률입니다.
  • 암호 없는 휴대폰 로그인, FIDO2 및 비즈니스용 Windows Hello 같은 암호 없는 인증 방법 사용
  • 사용자에게 암호를 입력하거나 SMS OTP를 입력하라는 메시지가 대화형으로 표시되지 않는 경우와 같이 토큰 클레임에 의해 인증 요구 사항이 충족되는 빈도입니다.

로그인 로그를 보는 동안 로그인 이벤트를 선택한 다음 인증 세부 정보 탭을 선택합니다.

인증 세부 정보 탭의 스크린샷.

인증 세부 정보를 분석할 때 다음 세부 정보를 기록해 둡다.

  • OATH 확인 코드가 OATH 하드웨어 및 소프트웨어 토큰 둘 다의 인증 방법으로 로그됩니다(예: Microsoft Authenticator 앱).
  • 로그 정보가 완전히 집계될 때까지 인증 세부 정보 탭은 처음에 불완전하거나 부정확한 데이터를 표시할 수 있습니다. 알려진 예는 다음과 같습니다.
    • 로그인 이벤트가 처음 로그될 때 토큰 클레임으로 충족 메시지가 잘못 표시됩니다.
    • 기본 인증 행은 처음에 기록되지 않습니다.

다른 서비스에서 사용하는 로그인 데이터

로그인 데이터는 Azure의 여러 서비스에서 위험한 로그인을 모니터링하고 애플리케이션 사용에 대한 인사이트를 제공하는 데 사용됩니다.

Azure AD ID 보호의 위험한 로그인 데이터

위험한 로그인과 관련된 로그인 로그 데이터 시각화는 다음 데이터를 사용하는 Azure AD ID 보호 개요에서 사용할 수 있습니다.

  • 위험한 사용자
  • 위험한 사용자 로그인
  • 위험한 서비스 주체
  • 위험한 서비스 주체 로그인

Azure AD ID 보호 도구에 대한 자세한 내용은 Azure AD ID 보호 개요를 참조하세요.

ID 보호의 위험한 사용자 스크린샷

Azure AD 애플리케이션 및 인증 로그인 활동

로그인 데이터의 애플리케이션 중심 보기를 사용하여 다음과 같은 질문에 대답할 수 있습니다.

  • 누가 내 애플리케이션을 사용하나요?
  • 조직에서 상위 3개의 애플리케이션은 무엇인가요?
  • 최신 애플리케이션이 어떻게 작동하나요?

애플리케이션별 로그인 데이터를 보려면 Azure AD 이동하여 모니터링 섹션에서 사용량 & 인사이트를 선택합니다. 이러한 보고서는 Azure AD 애플리케이션 활동 및 AD FS 애플리케이션 활동에 대한 로그인을 자세히 살펴봅니다. 자세한 내용은 Azure AD 사용 인사 & 이트를 참조하세요.

Azure AD 애플리케이션 활동 보고서의 스크린샷.

Azure AD 사용 인사 & 이트는 사용된 방법으로 인증을 분석하는 인증 방법 활동 보고서도 제공합니다. 이 보고서를 사용하여 MFA 또는 암호 없는 인증으로 설정된 사용자 수를 확인합니다.

인증 방법 보고서의 스크린샷.

Microsoft 365 활동 로그

Microsoft 365 관리 센터에서 Microsoft 365 활동 로그를 볼 수 있습니다. Microsoft 365 활동 및 Azure AD 활동 로그는 상당한 수의 디렉터리 리소스를 공유합니다. Microsoft 365 관리 센터에서만 Microsoft 365 활동 로그에 대한 전체 보기를 제공합니다.

Office 365 관리 API를 사용하여 프로그래밍 방식으로 Microsoft 365 활동 로그에 액세스할 수도 있습니다.

다음 단계