Connect Health를 사용한 Microsoft Entra ID의 AD FS 로그인 - 미리 보기
이제 Connect Health를 사용하여 AD FS 로그인을 Microsoft Entra 로그인 보고서에 통합할 수 있습니다. Microsoft Entra 로그인 보고서 보고서에는 사용자, 애플리케이션 및 관리되는 리소스가 언제 Microsoft Entra ID에 로그인하고 리소스에 액세스하는지에 대한 정보가 포함되어 있습니다.
AD FS용 Connect Health 에이전트는 서버 버전에 따라 AD FS의 여러 이벤트 ID를 상호 연결하여 요청에 대한 정보, 그리고 요청이 실패할 경우 오류 세부 정보를 제공합니다. 이 정보는 Microsoft Entra 로그인 보고서 스키마와 연관되어 있으며 Microsoft Entra 로그인 보고서 UX에 표시됩니다. 보고서와 함께 새 Log Analytics 스트림을 AD FS 데이터 및 새 Azure Monitor 통합 문서 템플릿과 함께 사용할 수 있습니다. 템플릿은 AD FS 계정 잠금, 잘못된 암호 시도 및 예기치 않은 로그인 시도 급증과 같은 시나리오에 대한 심층 분석을 위해 사용 및 수정할 수 있습니다.
필수 조건
- AD FS용 Microsoft Entra Connect Health가 설치되어 최신 버전(3.1.95.0 이상)으로 업그레이드되었습니다.
- Microsoft Entra 로그인을 보기 위한 전역 관리자 또는 보고서 읽기 권한자 역할
보고서에는 무슨 데이터가 표시되나요?
사용 가능한 데이터는 Microsoft Entra 로그인에 사용할 수 있는 동일한 데이터를 미러링합니다. 로그인 형식(Microsoft Entra ID 또는 AD FS)에 따라 정보가 포함된 5개의 탭을 사용할 수 있습니다. Connect Health는 서버 버전에 따라 AD FS의 이벤트를 상호 연결하고 이를 AD FS 스키마와 일치시킵니다.
사용자 로그인
로그인 블레이드의 각 탭은 아래와 같은 기본값을 보여줍니다.
- 로그인 날짜
- 요청 ID
- 사용자 이름 또는 사용자 ID
- 로그인의 상태
- 로그인에 사용되는 디바이스의 IP 주소
- 로그인 식별자
인증 방법 정보
인증 탭에 다음 값이 표시될 수 있습니다. 인증 방법은 AD FS 감사 로그에서 가져옵니다.
| 인증 방법 | 설명 |
|---|---|
| 양식 | 사용자 이름/암호 인증 |
| Windows | Windows 통합 인증 |
| 인증서 | 스마트 카드/VirtualSmart 인증서를 사용하는 인증 |
| WindowsHelloForBusiness | 이 필드는 비즈니스용 Windows Hello를 사용하는 인증을 위한 것입니다. (Microsoft Passport 인증) |
| 장치 | 디바이스 인증을 인트라넷/엑스트라넷의 "기본" 인증으로 선택하고 디바이스 인증을 수행하는 경우에 표시됩니다. 이 시나리오에는 별도의 사용자 인증이 없습니다. |
| 페더레이션 | AD FS에서 인증을 수행하지 않았지만 타사 ID 공급자에게 보냈습니다. |
| SSO | Single Sign-On 토큰을 사용한 경우 이 필드가 표시됩니다. SSO에 MFA가 있는 경우 다단계로 표시됩니다. |
| 다단계 | Single Sign-On 토큰에 MFA가 있고 인증에 사용된 경우 이 필드는 다단계로 표시됩니다. |
| Azure MFA | Azure MFA는 AD FS에서 추가 인증 공급자로 선택되며 인증에 사용되었습니다. |
| ADFSExternalAuthenticationProvider | 이 필드는 타사 인증 공급자를 등록하여 인증에 사용한 경우에 해당합니다. |
AD FS 추가 세부 정보
AD FS 로그인에 사용할 수 있는 세부 정보는 다음과 같습니다.
- 서버 이름
- IP 체인
- 프로토콜
Log Analytics 및 Azure Monitor 사용
Log Analytics는 AD FS 로그인에 사용할 수 있으며 Sentinel과 같은 다른 Log Analytics 통합 구성 요소와 함께 사용할 수 있습니다.
참고 항목
AD FS 로그인은 조직의 AD FS 로그인 횟수에 따라 Log Analytics 비용이 크게 증가할 수 있습니다. Log Analytics를 사용하거나 사용하지 않도록 설정하려면 해당 스트림의 확인란을 선택합니다.
기능에 대해 Log Analytics를 사용하도록 설정하려면 Log Analytics 블레이드로 이동하여 "ADFSSignIns" 스트림을 선택합니다. 이 옵션을 선택하면 AD FS 로그인이 Log Analytics로 이동될 수 있습니다.
업데이트된 Azure Monitor 통합 문서 템플릿에 액세스하려면 "Azure Monitor 템플릿"으로 이동하여 "로그인" 통합 문서를 선택합니다. 통합 문서에 대한 자세한 내용을 보려면 Azure Monitor 통합 문서를 방문하세요.
자주 묻는 질문
어떤 유형의 로그인이 표시되나요? 로그인 보고서는 O-Auth, WS-Fed, SAML 및 WS-Trust 프로토콜을 통한 로그인을 지원합니다.
로그인 보고서에서 여러 유형의 로그인은 어떻게 표시되나요? Seamless SSO 로그인이 수행되면 하나의 상관 관계 ID가 있는 로그인에 대한 하나의 행이 있습니다. 단일 단계 인증이 수행되면 두 개의 행이 동일한 상관 관계 ID로 채워지지만 두 가지 다른 인증 방법(예: 양식, SSO)으로 채워집니다. 다단계 인증의 경우 공유 상관 관계 ID가 있는 3개의 행과 해당하는 3개의 인증 방법(예: 양식, AzureMFA, Multifactor)이 있습니다. 이 예제의 다단계에서는 이 경우에 SSO에 MFA가 있음을 보여 줍니다.
보고서에 표시되는 오류는 무엇인가요? 로그인 보고서 및 설명에 채워지는 AD FS 관련 오류에 대한 전체 목록은 AD FS 도움말 오류 코드 참조를 참조하세요.
로그인의 "사용자" 섹션에 "00000000-0000-0000-0000-000000000000"이 표시됩니다. 무엇을 의미하나요? 로그인에 실패하고 시도한 UPN이 기존 UPN과 일치하지 않는 경우 "사용자", "사용자 이름" 및 "사용자 ID" 필드는 "00000000-0000-0000-0000-000000000000"이 되고 "로그인 식별자"는 사용자가 입력한 시도 값으로 채워집니다. 이러한 경우 로그인을 시도하는 사용자가 없습니다.
내 온-프레미스 이벤트를 Microsoft Entra 로그인 보고서와 어떻게 연관시킬 수 있나요? AD FS용 Microsoft Entra Connect Health 에이전트는 서버 버전에 따라 AD FS의 이벤트 ID를 연관시킵니다. 이 이벤트는 AD FS 서버의 보안 로그에서 사용할 수 있습니다.
일부 AD FS 로그인에 대한 애플리케이션 ID/이름에 NotSet 또는 NotApplicable이 표시되는 이유는 무엇인가요? AD FS 로그인 보고서는 OAuth ID를 OAuth 로그인에 대한 애플리케이션 ID 필드에 표시합니다. WS-Fed, WS-Trust 로그인 시나리오에서 애플리케이션 ID는 NotSet 또는 NotApplicable이고, 리소스 ID 및 신뢰 당사자 식별자는 리소스 ID 필드에 표시됩니다.
리소스 ID 및 리소스 이름 필드가 "설정되지 않음"으로 표시되는 이유는 무엇인가요? "사용자 이름 및 암호가 잘못됨"과 같은 일부 오류 사례 및 실패한 WSTrust 기반 로그인에서 ResourceId/Name 필드는 "NotSet"이 됩니다.
미리 보기에서 보고서와 관련된 알려진 문제가 더 있나요? 보고서에는 로그인에 관계없이 "기본 정보" 탭의 "인증 요구 사항" 필드가 AD FS 로그인에 대한 1단계 인증 값으로 채워지는 알려진 문제가 있습니다. 또한 인증 세부 정보 탭에는 요구 사항 필드 아래에 "기본 또는 보조"가 표시되고, 기본 또는 보조 인증 유형을 구분하기 위해 진행 중인 수정이 표시됩니다.