Windows LAPS 비밀번호 조회 감사 로그 관련 문의

미래 회사 20 평판 포인트
2026-07-06T05:59:31.64+00:00

안녕하세요.

현재 보안 감사 대응을 위해 Windows LAPS 사용 내역을 정기적으로 검토해야 하는 상황입니다.

감사팀에서 요청한 내용은 IT 관리자가 Entra ID 포털 또는 Microsoft Graph API를 통해 로컬 관리자(LAPS) 비밀번호를 조회한 모든 이력을 월 단위로 확인할 수 있는 보고서입니다.

궁금한 점은 다음과 같습니다.

  1. 이러한 비밀번호 조회 이벤트는 어디에서 감사(Audit) 로그로 확인할 수 있나요?
  2. Entra ID Audit Logs에서 어떤 Operation Name 또는 Activity를 기준으로 필터링해야 하나요?
  3. 포털에서 조회한 경우와 Graph API를 통해 조회한 경우 모두 동일한 감사 로그에 기록되는지도 궁금합니다.

실제 운영 환경에서 LAPS 접근 이력을 감사하거나 컴플라이언스 보고서를 생성해 보신 분이 있다면, 어떤 방법으로 확인하고 계신지 공유해 주시면 감사하겠습니다.

비즈니스용 Windows | Windows 365 Enterprise
댓글 0개 설명 없음

답변 1개

정렬 기준: 가장 유용함
  1. Xuan Nhu 490 평판 포인트 독립 자문가
    2026-07-06T06:29:24.79+00:00

    안녕하세요, Entra 지원 Windows LAPS의 경우, 비밀번호 조회 이벤트는 클라이언트 측 이벤트 로그가 아니라 Microsoft Entra 감사 로그에 기록됩니다 Microsoft-Windows-LAPS/Operational — 로컬 채널은 기기 측 비밀번호 백업과 순환만 기록하며, 누가 비밀번호를 봤는지는 기록하지 않습니다. Microsoft Entra 관리자 센터(entra.microsoft.com)에서 Identity > Monitoring 및 Health> Audit 로그(Devices > Audit 로그를 통해서도 접근 가능)로 가서, Activity 필드에서 비밀번호 보기를 위한 "Recover device local administrator password", 회전 이벤트를 위한 "Update device local administrator password"를 필터링하세요 — 각 항목은 시간, 상태, 시작한 관리자(initiatedBy/UPN)를 보여줍니다. 그리고 목표 장치. 세 번째 질문에 대한 답은 확실합니다: 포털의 "로컬 관리자 비밀번호 표시" 버튼 자체가 Microsoft Graph 클라이언트가 직접 deviceLocalCredentials API 호출과 , 에 사용되는 동일한 엔드포인트를 호출하는 것이Get-LapsAADPassword므로, 모든 검색 경로는 동일한 감사 로그에서 동일한 "장치 로컬 관리자 비밀번호 복구" 이벤트를 생성합니다 — 어떤 검색 방법도 이를 우회하지 않습니다. 공식 참고: https://learn.microsoft.com/en-us/entra/identity/devices/howto-manage-local-admin-passwords 감사 부서. Microsoft Learn

    월간 보고서의 경우 가장 간단한 노코드 옵션은 포털 자체입니다: 활동 필터를 적용하고, 날짜 범위를 보고 월로 설정하며, 다운로드를 통해 CSV/JSON 내보내기만 하면 됩니다. 자동화하려면 Connect-MgGraph -Scopes "AuditLog.Read.All" Get-MgAuditLogDirectoryAudit -Filter "activityDisplayName eq 'Recover device local administrator password'" | Export-Csv LAPS-Audit.csv 일정에 따라 실행하거나 그래프 탐색기(developer.microsoft.com/graph/graph-explorer)에서 같은 데이터를 쿼리 GET /v1.0/auditLogs/directoryAudits?$filter=activityDisplayName eq 'Recover device local administrator password' 하세요. 중요한 주의사항 하나: Entra P1/P2는 포털 감사 보존 기간이 30일(무료는 7일)로, 월간 주기의 가장자리에 위치해 있습니다 — Entra 진단 설정을 설정하여 AuditLogs를 로그 분석 작업 공간(또는 아카이브용 이벤트 허브/스토리지)으로 스트리밍하고, KQL 쿼리를 스케줄 AuditLogs | where OperationName == "Recover device local administrator password" | project TimeGenerated, InitiatedBy, TargetResources 로 만들어 지속 가능하고 반복 가능한 준수 보고서를 작성하세요. 유지 기준: https://learn.microsoft.com/en-us/entra/identity/monitoring-health/reference-reports-data-retention.

    안녕하세요, Entra ID에 백업되는 Windows LAPS의 비밀번호 조회 이력은 클라이언트의 Microsoft-Windows-LAPS/Operational 이벤트 로그가 아니라 Microsoft Entra 감사 로그에 기록됩니다 — 로컬 이벤트 로그에는 디바이스 측의 비밀번호 백업·회전 활동만 남고, 누가 비밀번호를 조회했는지는 기록되지 않습니다. Microsoft Entra 관리 센터(entra.microsoft.com)에서 ID > 모니터링 및 상태 > 감사 로그(디바이스 > 감사 로그 경로로도 접근 가능)로 이동한 뒤, 활동(Activity) 필터에 비밀번호 조회는 "Recover device local administrator password", 비밀번호 갱신·회전은 "Update device local administrator password"를 입력하면 됩니다 — 각 이벤트에는 시간, 결과, 수행자(initiatedBy/UPN), 대상 디바이스가 표시됩니다. 세 번째 질문의 답은 명확하게 "예"입니다. 포털의 "로컬 관리자 암호 표시" 버튼 자체가 Graph의 deviceLocalCredentials 엔드포인트를 호출하는 클라이언트이며, 직접 Graph API 호출과 Get-LapsAADPassword cmdlet도 동일한 엔드포인트를 사용하므로, 어떤 경로로 조회하든 동일한 "Recover device local administrator password" 이벤트가 동일한 감사 로그에 남습니다 — 감사 로그를 우회하는 조회 경로는 없습니다. 공식 문서: https://learn.microsoft.com/en-us/entra/identity/devices/howto-manage-local-admin-passwords 의 감사(Auditing) 섹션. Microsoft Learn

    월간 보고서는 가장 간단하게는 포털에서 활동 필터와 보고 대상 월의 날짜 범위를 설정한 뒤 다운로드 버튼으로 CSV/JSON을 내보내면 됩니다. 자동화가 필요하면 Connect-MgGraph -Scopes "AuditLog.Read.All" 실행 후 Get-MgAuditLogDirectoryAudit -Filter "activityDisplayName eq 'Recover device local administrator password'" | Export-Csv LAPS-Audit.csv 를 예약 실행하거나, Graph 탐색기(developer.microsoft.com/graph/graph-explorer)에서 GET /v1.0/auditLogs/directoryAudits?$filter=activityDisplayName eq 'Recover device local administrator password' 쿼리를 사용할 수 있습니다. 한 가지 중요한 주의점은 포털 감사 로그 보존 기간이 Entra P1/P2 기준 30일(Free 7일)로 월간 감사 주기와 거의 같다는 점입니다. 따라서 Entra 진단 설정에서 AuditLogs를 Log Analytics 작업 영역(장기 보관은 Event Hub/Storage)으로 전송해 두고, AuditLogs | where OperationName == "Recover device local administrator password" | project TimeGenerated, InitiatedBy, TargetResources KQL 쿼리를 예약 실행하는 방식을 권장합니다. 보존 기간 참고 문서: https://learn.microsoft.com/en-us/entra/identity/monitoring-health/reference-reports-data-retention.

    이 대답이 도움이 되었나요?

    댓글 0개 설명 없음

답변

질문 작성자는 답변을 '승인됨'으로 표시하고, 중재자는 답변을 '추천됨'으로 표시할 수 있습니다. 이를 통해 사용자는 해당 답변이 작성자의 문제를 해결했다는 것을 알 수 있습니다.