질문과 대답 Azure Active Directory의 ID 보호

사용자 위험 해제 알려진 문제

클래식 ID 보호의 사용자 위험 해제는 ID 보호의 사용자 위험 기록에 있는 행위자를 Azure AD로 설정합니다.

ID 보호의 사용자 위험 해제 기능은 ID 보호의 사용자 위험 기록에 포함된 행위자를 <사용자 블레이드를 가리키는 하이퍼링크가 적용된 관리자 이름>으로 설정합니다.

사용자 위험 해제 흐름에서 대기 시간이 발생하는 현재 알려진 문제가 있습니다. “사용자 위험 정책”이 있는 경우 “사용자 위험 해제”를 클릭하면 몇 분 이내에 해제된 사용자에게 정책 적용이 중지됩니다. 그러나 해제된 사용자의 “위험 상태”를 새로 고치는 UX에서 알려진 지연이 있습니다. 해결 방법으로, 브라우저 수준에서 페이지를 새로 고쳐 최신 사용자 “위험 상태”를 확인합니다.

질문과 대답

사용자가 위험에 노출되는 이유는 무엇인가요?

Azure AD ID 보호 고객인 경우 위험 사용자 보고서 보기로 이동하여 위험한 사용자를 선택합니다. 하단의 서랍에서 ‘위험 기록’ 탭에는 사용자 위험을 변경하는 모든 이벤트가 표시됩니다. 사용자의 모든 위험한 로그인을 보려면 '사용자의 위험한 로그인'을 선택합니다. 이 사용자에 대한 모든 위험 검색을 보려면 '사용자의 위험 검색'을 선택합니다.

내 로그인이 차단되었지만 ID 보호에서 위험 검색을 생성하지 못한 이유는 무엇인가요?

여러 가지 이유로 로그인이 차단될 수 있습니다. 인증 요청에서 올바른 자격 증명을 사용하는 경우 ID 보호에서 위험 검색만 생성한다는 점에 유의해야 합니다. 사용자가 잘못된 자격 증명을 사용하는 경우 악의적인 행위자가 올바른 자격 증명을 사용하는 경우를 제외하고는 자격 증명이 손상될 위험이 없으므로 ID 보호에서 플래그를 지정하지 않습니다. ID 보호 검색을 생성하지 않는 서명에서 사용자가 차단될 수 있는 몇 가지 이유는 다음과 같습니다.

  • IP 주소의 악의적인 활동으로 인해 IP가 차단될 수 있습니다. IP 차단됨 메시지는 자격 증명이 올바른지 여부를 구분하지 않습니다. IP가 차단되고 올바른 자격 증명을 사용하지 않는 경우 ID 보호 검색을 생성하지 않습니다.
  • 스마트 잠금은 여러 번의 시도 실패 후 계정 로그인을 차단할 수 있습니다.
  • 위험 수준 이외의 조건을 사용하여 인증 요청을 차단하는 조건부 액세스 정책을 적용할 수 있습니다.

특정 형식의 검색 보고서를 어떻게 가져올 수 있나요?

위험 검색 보기로 이동하여 ‘검색 유형’별로 필터링합니다. 그런 다음 상단의 다운로드 단추를 사용하여 이 보고서를 .CSV 또는 .JSON 형식으로 다운로드할 수 있습니다. 자세한 내용은 방법: 위험 조사 문서를 참조하세요.

각 위험 검색에 대해 위험 수준을 직접 설정할 수 없는 이유는 무엇인가요?

검색 정밀도를 기준으로 하는 ID 보호의 위험 수준은 Microsoft에서 감독하는 기계 학습을 통해 제공됩니다. 사용자에게 제공되는 환경을 사용자 지정하려는 경우 관리자는 사용자 위험 및 로그인 위험 정책에서 특정 사용자/그룹을 포함/제외할 수 있습니다.

사용자가 실제로 로그인한 위치와 로그인 위치가 일치하지 않는 이유는 무엇인가요?

IP 지리적 위치 매핑은 업계 전체에서 사용되는 챌린지입니다. 로그인 보고서에 나열된 위치가 실제 위치와 일치하지 않는다고 생각되면 Microsoft 지원에 문의하세요.

이전 UI에서와 같이 특정 위험 검색을 닫으려면 어떻게 해야 하나요?

연결된 로그인을 손상 또는 안전하게 확인하여 위험 검색에 대한 피드백을 제공할 수 있습니다. 로그인에 지정된 피드백은 해당 로그인에 대한 모든 검색에 반영됩니다. 로그인에 연결되지 않은 검색을 종료하려는 경우 사용자 수준에서 해당 피드백을 제공할 수 있습니다. 자세한 내용은 방법: Azure AD ID 보호에서 위험 피드백 제공 문서를 참조하세요.

내 사용자에게 무슨 일이 일어나고 있는지 파악하기 위해 시간을 얼마나 되돌릴 수 있나요?

  • 위험한 사용자 보기는 모든 이전 로그인을 기반으로 하는 사용자의 위험 상태를 보여 줍니다.
  • 위험한 로그인 보기에는 지난 30일 동안의 위험한 로그인이 표시됩니다.
  • 위험 검색 보기에는 지난 90일 동안 검색된 위험이 표시됩니다.

특정 검색에 대해 자세히 알아보려면 어떻게 해야 하나요?

모든 위험 검색은 위험이란 무엇인가요 문서에 설명되어 있습니다. 검색에 대한 자세한 내용을 보려면 Azure Portal에서 검색 옆의 (i) 기호를 마우스로 가리킵니다.

ID 보호의 피드백 메커니즘은 어떤 방식으로 작동하나요?

손상됨 확인(로그인 시) – ID 소유자가 로그인을 수행하지 않았음을 Azure AD ID 보호에 알리고 손상을 표시합니다.

  • 이 피드백이 수신되면 로그인 및 사용자 위험 상태가 손상됨 확인으로 전환되며 위험 수준은 높음으로 설정됩니다.

  • 또한 향후에 위험 평가를 개선할 수 있도록 Microsoft 기계 학습 시스템에도 정보가 제공됩니다.

    참고

    사용자가 이미 수정된 경우 손상됨 확인을 선택하지 마세요. 이렇게 하면 로그인 및 사용자 위험 상태가 손상 확인됨으로 이동하고 위험 수준이 높음으로 설정되기 때문입니다.

안전 확인(로그인 시) – ID 소유자가 로그인을 수행했음을 Azure AD ID 보호에 알리고 손상을 표시하지 않습니다.

  • 이 피드백이 수신되면 사용자가 아닌 로그인 위험 상태가 안전 확인으로 전환되며 위험 수준은 없음으로 설정됩니다.

  • 또한 향후에 위험 평가를 개선할 수 있도록 Microsoft 기계 학습 시스템에도 정보가 제공됩니다.

    참고

    현재는 로그인 시 안전 확인을 선택해도 자체적으로 동일한 속성의 이후 로그인에 대한 플래그가 위험으로 지정되지 않습니다. 사용자의 속성을 학습할 수 있도록 시스템을 학습하는 가장 좋은 방법은 MFA에 위험한 로그인 정책을 사용하는 것입니다. MFA에 대해 위험한 로그인 메시지가 표시되고 사용자가 요청에 성공적으로 응답하면 로그인이 성공하고 합법적인 사용자의 행동에 대해 시스템을 학습시키는 데 도움이 될 수 있습니다.

    사용자가 손상되지 않았다고 생각되면 로그인 수준에서 안전 확인을 사용하는 대신 사용자 수준에서 사용자 위험 해제를 사용합니다. 사용자 수준에서 사용자 위험 해제를 사용하는 경우에는 사용자 위험 및 이전의 모든 위험한 로그인 및 위험 검색이 닫힙니다.

ID 보호에 위험한 로그인 또는 위험 검색이 표시되지 않는데 위험 점수가 더 낮거나 높은 사용자가 표시되는 이유는 무엇인가요?

사용자 위험은 기본적으로 누적되며 만료되지 않는다는 점을 고려하면 ID 보호에 표시된 최근의 위험한 로그인 또는 위험 검색이 없는 경우에도 사용자의 사용자 위험이 더 낮거나 높을 수 있습니다. 위험한 로그인 및 위험 검색 세부 정보가 저장되는 기간이 아닐 때만 사용자에 대해 악의적인 활동이 수행된 경우 이러한 상황이 발생할 수 있습니다. 악의적인 행위자는 공격을 더 늘리기 전에 손상된 ID 뒤에서 140일 이상 고객 환경에서 유지하는 것으로 알려져 있으므로, 사용자 위험이 만료되지 않습니다. 고객은 다음 위치로 이동해 사용자 위험 시간 표시줄을 확인하여 특정 사용자가 위험한 것으로 표시되는 이유를 파악할 수 있습니다. Azure portal > Azure Active Directory > Risky users report > select an at-risk user > details drawer > Risk history tab

로그인과 관련한 검색 결과에는 위험 수준이 낮음/중간으로 표시되는데 로그인의 "로그인 위험(집계)" 점수는 높음인 이유는 무엇인가요?

로그인에 대해 여러 위험이 검색되었거나 로그인의 기타 기능이 사용되면 집계 위험 점수가 높아질 수 있습니다. 반면 로그인과 관련하여 검색된 위험의 점수가 높음이라도 로그인 위험(집계) 점수는 중간일 수 있습니다.

"익명 IP 주소에서의 활동"과 "익명 IP 주소" 검색의 차이점은 무엇인가요?

"익명 IP 주소" 검색의 원본은 Azure AD Identity Protection이고 "익명 IP 주소에서의 활동" 검색은 Microsoft Defender for Cloud에서 통합됩니다. 이름이 비슷하고 이러한 신호에 겹치는 부분이 있을 수 있지만 고유한 백 엔드 검색이 있습니다.