안녕하세요, Entra 지원 Windows LAPS의 경우, 비밀번호 조회 이벤트는 클라이언트 측 이벤트 로그가 아니라 Microsoft Entra 감사 로그에 기록됩니다 Microsoft-Windows-LAPS/Operational — 로컬 채널은 기기 측 비밀번호 백업과 순환만 기록하며, 누가 비밀번호를 봤는지는 기록하지 않습니다. Microsoft Entra 관리자 센터(entra.microsoft.com)에서 Identity > Monitoring 및 Health> Audit 로그(Devices > Audit 로그를 통해서도 접근 가능)로 가서, Activity 필드에서 비밀번호 보기를 위한 "Recover device local administrator password", 회전 이벤트를 위한 "Update device local administrator password"를 필터링하세요 — 각 항목은 시간, 상태, 시작한 관리자(initiatedBy/UPN)를 보여줍니다. 그리고 목표 장치. 세 번째 질문에 대한 답은 확실합니다: 포털의 "로컬 관리자 비밀번호 표시" 버튼 자체가 Microsoft Graph 클라이언트가 직접 deviceLocalCredentials API 호출과 , 에 사용되는 동일한 엔드포인트를 호출하는 것이Get-LapsAADPassword므로, 모든 검색 경로는 동일한 감사 로그에서 동일한 "장치 로컬 관리자 비밀번호 복구" 이벤트를 생성합니다 — 어떤 검색 방법도 이를 우회하지 않습니다. 공식 참고: https://learn.microsoft.com/en-us/entra/identity/devices/howto-manage-local-admin-passwords 감사 부서. Microsoft Learn
월간 보고서의 경우 가장 간단한 노코드 옵션은 포털 자체입니다: 활동 필터를 적용하고, 날짜 범위를 보고 월로 설정하며, 다운로드를 통해 CSV/JSON 내보내기만 하면 됩니다. 자동화하려면 Connect-MgGraph -Scopes "AuditLog.Read.All" Get-MgAuditLogDirectoryAudit -Filter "activityDisplayName eq 'Recover device local administrator password'" | Export-Csv LAPS-Audit.csv 일정에 따라 실행하거나 그래프 탐색기(developer.microsoft.com/graph/graph-explorer)에서 같은 데이터를 쿼리 GET /v1.0/auditLogs/directoryAudits?$filter=activityDisplayName eq 'Recover device local administrator password' 하세요. 중요한 주의사항 하나: Entra P1/P2는 포털 감사 보존 기간이 30일(무료는 7일)로, 월간 주기의 가장자리에 위치해 있습니다 — Entra 진단 설정을 설정하여 AuditLogs를 로그 분석 작업 공간(또는 아카이브용 이벤트 허브/스토리지)으로 스트리밍하고, KQL 쿼리를 스케줄 AuditLogs | where OperationName == "Recover device local administrator password" | project TimeGenerated, InitiatedBy, TargetResources 로 만들어 지속 가능하고 반복 가능한 준수 보고서를 작성하세요. 유지 기준: https://learn.microsoft.com/en-us/entra/identity/monitoring-health/reference-reports-data-retention.
안녕하세요, Entra ID에 백업되는 Windows LAPS의 비밀번호 조회 이력은 클라이언트의 Microsoft-Windows-LAPS/Operational 이벤트 로그가 아니라 Microsoft Entra 감사 로그에 기록됩니다 — 로컬 이벤트 로그에는 디바이스 측의 비밀번호 백업·회전 활동만 남고, 누가 비밀번호를 조회했는지는 기록되지 않습니다. Microsoft Entra 관리 센터(entra.microsoft.com)에서 ID > 모니터링 및 상태 > 감사 로그(디바이스 > 감사 로그 경로로도 접근 가능)로 이동한 뒤, 활동(Activity) 필터에 비밀번호 조회는 "Recover device local administrator password", 비밀번호 갱신·회전은 "Update device local administrator password"를 입력하면 됩니다 — 각 이벤트에는 시간, 결과, 수행자(initiatedBy/UPN), 대상 디바이스가 표시됩니다. 세 번째 질문의 답은 명확하게 "예"입니다. 포털의 "로컬 관리자 암호 표시" 버튼 자체가 Graph의 deviceLocalCredentials 엔드포인트를 호출하는 클라이언트이며, 직접 Graph API 호출과 Get-LapsAADPassword cmdlet도 동일한 엔드포인트를 사용하므로, 어떤 경로로 조회하든 동일한 "Recover device local administrator password" 이벤트가 동일한 감사 로그에 남습니다 — 감사 로그를 우회하는 조회 경로는 없습니다. 공식 문서: https://learn.microsoft.com/en-us/entra/identity/devices/howto-manage-local-admin-passwords 의 감사(Auditing) 섹션. Microsoft Learn
월간 보고서는 가장 간단하게는 포털에서 활동 필터와 보고 대상 월의 날짜 범위를 설정한 뒤 다운로드 버튼으로 CSV/JSON을 내보내면 됩니다. 자동화가 필요하면 Connect-MgGraph -Scopes "AuditLog.Read.All" 실행 후 Get-MgAuditLogDirectoryAudit -Filter "activityDisplayName eq 'Recover device local administrator password'" | Export-Csv LAPS-Audit.csv 를 예약 실행하거나, Graph 탐색기(developer.microsoft.com/graph/graph-explorer)에서 GET /v1.0/auditLogs/directoryAudits?$filter=activityDisplayName eq 'Recover device local administrator password' 쿼리를 사용할 수 있습니다. 한 가지 중요한 주의점은 포털 감사 로그 보존 기간이 Entra P1/P2 기준 30일(Free 7일)로 월간 감사 주기와 거의 같다는 점입니다. 따라서 Entra 진단 설정에서 AuditLogs를 Log Analytics 작업 영역(장기 보관은 Event Hub/Storage)으로 전송해 두고, AuditLogs | where OperationName == "Recover device local administrator password" | project TimeGenerated, InitiatedBy, TargetResources KQL 쿼리를 예약 실행하는 방식을 권장합니다. 보존 기간 참고 문서: https://learn.microsoft.com/en-us/entra/identity/monitoring-health/reference-reports-data-retention.