Share via

로그인 로그 활동 세부 정보에 대해 알아보기

  • 아티클

Microsoft Entra는 규정 준수를 위해 Azure 테넌트에 모든 로그인을 기록합니다. IT 관리자는 로그 값을 올바르게 해석할 수 있도록 로그인 로그의 값을 알고 있어야 합니다.

이 문서에서는 로그인 로그에 있는 값을 설명합니다. 이러한 값은 로그인 오류 문제를 해결하는 데 유용한 정보를 제공합니다.

로그인 작업 구성 요소

Microsoft Entra ID에서 로그인 작업은 세 가지 주요 구성 요소로 구성됩니다.

  • 누가: 로그인을 수행하는 ID(사용자)입니다.
  • 방법: 액세스에 사용되는 클라이언트(애플리케이션)입니다.
  • 대상: ID가 액세스하는 대상(리소스)입니다.

로그인을 조사할 때 세 가지 구성 요소에 집중하여 검색 범위를 좁히면 모든 세부 정보를 확인하지 않게 됩니다. 이러한 세 구성 요소 각각에는 추가 정보를 제공할 수 있는 관련 식별자가 있습니다. 각 로그인에는 로그인 시도와 관련 작업을 연관시키는 고유 식별자도 포함되어 있습니다.

누가

다음 세부 정보가 사용자와 연결되어 있습니다.

  • 사용자
  • Username
  • 사용자 ID
  • 로그인 식별자
  • 사용자 유형

방법

사용자가 로그인하는 방법은 다음 세부 정보를 보면 확인할 수 있습니다.

  • 인증 요구 사항
  • 클라이언트 앱
  • 클라이언트 자격 증명 유형
  • 지속적인 액세스 평가

구성할 항목

다음 세부 정보를 사용하여 사용자가 액세스하려는 리소스를 식별할 수 있습니다.

  • 애플리케이션
  • 애플리케이션 ID
  • 리소스
  • 리소스 ID
  • 리소스 테넌트 ID
  • 리소스 서비스 주체 ID

고유 식별자

로그인 로그에는 로그인 시도에 대한 추가 정보를 제공하는 여러 가지 고유 식별자도 포함되어 있습니다.

  • 상관 관계 ID: 상관 관계 ID는 동일한 로그인 세션에서 로그인을 그룹화합니다. 값은 클라이언트에서 전달한 매개 변수를 기반으로 하므로 Microsoft Entra ID가 정확도를 보장할 수 없습니다.
  • 요청 ID: 발급된 토큰에 해당하는 식별자입니다. 특정 토큰으로 로그인을 찾으려면 먼저 토큰에서 요청 ID를 추출해야 합니다.
  • 고유 토큰 식별자: 로그인 중에 전달된 토큰의 고유 식별자입니다. 이 식별자는 로그인과 토큰 요청을 연관시키는 데 사용됩니다.

로그인 작업 세부 정보

각 로그인 시도에는 세 가지 주요 구성 요소와 관련된 세부 정보가 포함됩니다. 세부 정보는 로그인 형식에 따라 여러 탭으로 구성됩니다.

기본 정보

기본 정보 탭에는 로그인 시도와 관련된 대부분의 세부 정보가 포함되어 있습니다. 로그인 문제를 해결하는 데 필요할 수 있으므로 고유 식별자를 기록해 둡다. 기본 정보 탭의 세부 정보를 사용하여 누가, 어떻게, 무엇을 패턴을 따라갈 수 있습니다.

기본 정보 탭에서 로그인 진단을 시작할 수도 있습니다. 자세한 내용은 로그인 진단 사용 방법을 참조하세요.

로그인 오류 코드

로그인에 실패한 경우 관련 로그 항목의 기본 정보 탭에서 이유에 대한 자세한 정보를 얻을 수 있습니다. 오류 코드 및 관련 실패 이유가 세부 정보에 표시됩니다. 자세한 내용은 로그인 오류를 해결하는 방법을 참조하세요.

기본 탭의 로그인 오류 코드 스크린샷.

위치 및 디바이스

위치디바이스 정보 탭에는 사용자의 위치 및 IP 주소에 대한 일반 정보가 표시됩니다. 디바이스 정보 탭은 로그인하는 데 사용되는 브라우저 및 운영 체제에 대한 세부 정보를 제공합니다. 이 탭에서는 디바이스가 규격, 관리 또는 하이브리드 Microsoft Entra 하이브리드에 조인했는지에 대한 세부 정보도 제공합니다.

인증 세부 정보

로그인 로그 세부 정보의 인증 세부 정보 탭에서는 각 인증 시도에 대한 다음 정보를 제공합니다.

  • 적용된 인증 정책 목록(예: 조건부 액세스 또는 보안 기본값)
  • 로그인에 사용되는 인증 방법 시퀀스
  • 인증 시도 성공 여부 및 그 이유

이 정보를 사용하여 사용자 로그인의 각 단계와 관련된 문제를 해결할 수 있습니다. 다음 세부 정보를 사용하여 추적합니다.

  • MFA로 보호되는 로그인 볼륨
  • 각 인증 방법에 대한 사용 및 성공률
  • 암호 없는 인증 방법(예: 암호 없는 휴대폰 로그인, FIDO2, 비즈니스용 Windows Hello) 사용
  • 토큰 클레임이 인증 요구 사항을 충족하는 빈도(사용자에게 암호, SMS OTP를 입력하라는 메시지를 대화형으로 표시하지 않는 경우)

인증 세부 정보 탭의 스크린샷

조건부 액세스

테넌트에서 CA(조건부 액세스) 정책을 사용 중인 경우 해당 정책이 로그인 시도에 적용되었는지 확인할 수 있습니다. 로그인에 적용될 수 있는 모든 정책이 나열됩니다. 정책의 최종 결과가 표시되므로 정책이 로그인 시도에 영향을 미쳤는지 빠르게 확인할 수 있습니다.

  • 성공: CA 정책이 로그인 시도에 성공적으로 적용되었습니다.
  • 실패: CA 정책이 로그인 시도에 적용되었지만 로그인 시도가 실패했습니다.
  • 적용되지 않음: 로그인이 적용할 정책의 기준과 일치하지 않습니다.
  • 사용 안 함: 로그인을 시도할 때 정책이 사용하지 않도록 설정되었습니다.

보고서 전용

CA(조건부 액세스) 정책은 사용자의 로그인 환경을 변경하고 잠재적으로 해당 프로세스를 방해할 수 있으므로 정책이 올바르게 구성되었는지 확인하는 것이 좋습니다. 보고서 전용 모드에서는 정책을 사용하도록 설정하기 전에 정책을 구성하고 잠재적 효과를 평가할 수 있습니다.

로그인 로그의 이 탭에는 정책 범위에 속하는 로그인 시도 결과가 표시됩니다. 자세한 내용은 조건부 액세스 보고 전용 모드란? 문서를 참조하세요.

로그인 세부 정보 및 고려 사항

로그인 로그를 검토할 때 고려해야 할 시나리오는 다음과 같습니다.

  • IP 주소 및 위치: IP 주소와 해당 주소가 실제로 연결된 컴퓨터 간에 확실한 연결이 없습니다. 모바일 공급자와 VPN은 종종 클라이언트 디바이스가 사용되는 곳에서 멀리 떨어진 중앙 풀에서 IP 주소를 발급합니다. 현재 IP 주소를 실제 위치로 변환하는 작업은 추적, 레지스트리 데이터, 역방향 조회 및 기타 정보를 기반으로 한 최선의 노력입니다.

  • 조건부 액세스:

    • Not applied: 로그인 중에 사용자 및 애플리케이션에 정책이 적용되지 않습니다.
    • Success: 로그인하는 동안 사용자 및 애플리케이션에 적용되는 또는 평가되는 하나 이상의 조건부 액세스 정책(반드시 다른 조건을 충족하지는 않음)입니다. 조건부 액세스 정책이 적용되지 않더라도 평가가 완료된 경우 조건부 액세스 상태는 성공으로 표시됩니다.
    • Failure: 로그인에서 하나 이상의 조건부 액세스 정책에 대한 사용자 및 애플리케이션 조건을 충족했고, 권한 부여 컨트롤이 충족되지 않거나 액세스를 차단하도록 설정되었습니다.

  • 지속적인 액세스 권한 평가: 로그인 이벤트에 CAE(지속적인 액세스 권한 평가)가 적용되었는지 여부를 표시합니다.

  • 테넌트 간 액세스 유형: 행위자가 리소스에 액세스하는 데 사용하는 테넌트 간 액세스 유형을 설명합니다. 가능한 값은 다음과 같습니다.

    • none - Microsoft Entra 테넌트의 경계를 넘지 않은 로그인 이벤트입니다.
    • b2bCollaboration - B2B Collaboration을 사용하여 게스트 사용자가 수행하는 교차 테넌트 로그인입니다.
    • b2bDirectConnect - B2B에서 수행하는 교차 테넌트 로그인입니다.
    • microsoftSupport- Microsoft 외부 테넌트에서 Microsoft 지원 에이전트가 수행하는 교차 테넌트 로그인입니다.
    • serviceProvider - CSP(클라우드 서비스 공급자) 또는 유사한 관리자가 테넌트의 해당 CSP 고객을 대신하여 수행하는 테넌트 간 로그인입니다.
    • unknownFutureValue - 클라이언트가 열거형 목록의 변경 내용을 처리하는 데 도움이 되도록 MS Graph에서 사용하는 sentinel 값입니다. 자세한 내용은 Microsoft Graph 사용을 위한 모범 사례를 참조하세요.

  • 테넌트: 로그인 로그는 테넌트 간 시나리오와 관련된 두 개의 테넌트 식별자를 추적합니다.

    • 홈 테넌트 – 사용자 ID를 소유한 테넌트입니다. Microsoft Entra ID는 ID 및 이름을 추적합니다.
    • 리소스 테넌트 – (대상) 리소스를 소유한 테넌트입니다.
    • 개인 정보 보호 약정으로 인해 Microsoft Entra ID는 테넌트 간 시나리오 중에 홈 테넌트 이름을 채우지 않습니다.
    • 테넌트 외부의 사용자가 리소스에 액세스하는 방법을 알아보려면 홈 테넌트가 리소스 테넌트와 일치하지 않는 모든 항목을 선택합니다.

  • 다단계 인증: 사용자가 MFA로 로그인하면 여러 개별 MFA 이벤트가 실제로 발생합니다. 예를 들어 사용자가 잘못된 유효성 검사 코드를 입력하거나 시간에 응답하지 않으면 로그인 시도의 최신 상태 반영하기 위해 더 많은 MFA 이벤트가 전송됩니다. 이러한 로그인 이벤트는 Microsoft Entra 로그인 로그에 하나의 항목으로 나타납니다. 그러나 Azure Monitor의 동일한 로그인 이벤트는 여러 줄 항목으로 나타납니다. 이러한 이벤트는 모두 동일한 correlationId를 가집니다.

  • 인증 요구 사항: 로그인이 성공하기 위해 모든 로그인 단계를 통해 필요한 가장 높은 수준의 인증을 표시합니다.

    • Graph API에서 $filter를 지원합니다(eqstartsWith 연산자만 해당).

  • 로그인 이벤트 유형: 이벤트에서 나타내는 로그인의 범주를 나타냅니다.

    • 사용자 로그인의 경우 범주는 interactiveUser 또는 nonInteractiveUser일 수 있으며 로그인 리소스의 isInteractive 속성 값에 해당합니다.
    • 관리 ID 범주는 managedIdentity 입니다.
    • 서비스 주체 카테고리는 servicePrincipal입니다.
    • Microsoft Graph API는 $filter을(를) 지원합니다(eq 연산자만 해당).
    • Azure Portal에서 이 값을 표시하지 않지만 로그인 이벤트는 해당 로그인 이벤트 유형과 일치하는 탭에 배치됩니다. 가능한 값은 다음과 같습니다.
      • interactiveUser
      • nonInteractiveUser
      • servicePrincipal
      • managedIdentity
      • unknownFutureValue

  • 사용자 유형: 예에는 member, guest 또는 external이 포함됩니다.

  • 인증 세부 정보:

    • OATH 확인 코드는 OATH 하드웨어 및 소프트웨어 둘 다의 인증 방법으로 로그됩니다(예: Microsoft Authenticator 앱).
    • 인증 정보 탭에는 로그 정보가 완전히 집계될 때까지 불완전하거나 부정확한 데이터가 처음에 표시될 수 있습니다. 알려진 예는 다음과 같습니다.
      • 로그인 이벤트가 처음 로그될 때 토큰의 클레임으로 충족 메시지가 잘못 표시됩니다.
      • 처음에는 기본 인증 행이 로그되지 않습니다.
    • 로그의 세부 정보가 확실하지 않은 경우 추가 분석 또는 문제 해결에 사용할 요청 ID상관 관계 ID를 수집합니다.
    • 인증 또는 세션 수명에 대한 조건부 액세스 정책이 적용된 경우 로그인 시도 횟수 위에 표시됩니다. 이러한 옵션 중 하나가 표시되지 않으면 해당 정책은 현재 적용되지 않습니다. 자세한 내용은 조건부 액세스 세션 제어를 참조하세요.