Microsoft Entra ID Protection은 조직에서 의심스러운 활동을 식별하는 데 사용할 수 있는 광범위한 위험 검색을 제공할 수 있습니다. 이 문서에 포함된 표에는 라이선스 요구 사항 또는 검색이 실시간 또는 오프라인에서 발생하는 경우를 포함하여 로그인 및 사용자 위험 검색 목록이 요약되어 있습니다. 각 위험 검색에 대한 자세한 내용은 테이블 다음에 확인할 수 있습니다.
- 대부분의 위험 검색에 대한 자세한 내용은 Microsoft Entra ID P2가 필요합니다.
- Microsoft Entra ID P2 라이선스가 없는 고객은 위험 검색 세부 정보 없이 검색된 추가 위험 이라는 검색을 받습니다.
- For more information, see the license requirements.
- 워크로드 ID 위험 검색에 대한 자세한 내용은 워크로드 ID 보안을 참조하세요.
Note
실시간 및 오프라인 검색 및 위험 수준에 대한 자세한 내용은 위험 검색 유형 및 수준을 참조하세요.
riskEventType에 매핑된 로그인 위험 검색
목록에서 위험 검색을 선택하여 위험 검색에 대한 설명, 작동 방식 및 라이선스 요구 사항을 확인합니다. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license.
Nonpremium indicates the detection is available with Microsoft Entra ID Free. 이 열은 riskEventType Microsoft Graph API 쿼리에 표시되는 값을 나타냅니다.
| 로그인 위험 검색 | Detection type | Type | riskEventType |
|---|---|---|---|
| 익명 IP 주소에서의 활동 | Offline | Premium | riskyIPAddress |
| 추가 위험 감지됨(로그인) | 실시간 또는 오프라인 | Nonpremium | generic ^ |
| 관리자가 확인한 사용자 계정이 침해됨 | Offline | Nonpremium | adminConfirmedUserCompromised |
| 비정상적인 토큰(로그인) | 실시간 또는 오프라인 | Premium | anomalousToken |
| 익명 IP 주소 | Real-time | Nonpremium | anonymizedIPAddress |
| Atypical travel | Offline | Premium | unlikelyTravel |
| Impossible travel | Offline | Premium | mcasImpossibleTravel |
| 악성 IP 주소 | Offline | Premium | maliciousIPAddress |
| 중요한 파일에 대량 액세스 | Offline | Premium | mcasFinSuspiciousFileAccess |
| Microsoft Entra 위협 정보(로그인) | 실시간 또는 오프라인 | Nonpremium | investigationsThreatIntelligence |
| New country | Offline | Premium | newCountry |
| Password spray | 실시간 또는 오프라인 | Premium | passwordSpray |
| Suspicious browser | Offline | Premium | suspiciousBrowser |
| 의심스러운 메일 전달 | Offline | Premium | suspiciousInboxForwarding |
| 의심스러운 받은 편지함 조작 규칙 | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| 토큰 발급자 이상 | Offline | Premium | tokenIssuerAnomaly |
| 일반적이지 않은 로그인 속성 | Real-time | Premium | unfamiliarFeatures |
| 확인된 위협 행위자 IP | Real-time | Premium | nationStateIP |
^ 추가 위험 검색 검색에 대한 riskEventType 은 Microsoft Entra ID Free 또는 Microsoft Entra ID P1을 사용하는 테넌트에 일반적입니다. 위험한 항목을 발견했지만 Microsoft Entra ID P2 라이선스가 없으면 세부 정보를 사용할 수 없습니다.
riskEventType에 매핑된 사용자 위험 검색
목록에서 위험 검색을 선택하여 위험 검색에 대한 설명, 작동 방식 및 라이선스 요구 사항을 확인합니다.
| 사용자 위험 검색 | Detection type | Type | riskEventType |
|---|---|---|---|
| 추가 위험 감지됨(사용자) | 실시간 또는 오프라인 | Nonpremium | generic ^ |
| 비정상적인 토큰(사용자) | 실시간 또는 오프라인 | Premium | anomalousToken |
| 비정상적인 사용자 활동 | Offline | Premium | anomalousUserActivity |
| 중간에 있는 공격자 | Offline | Premium | attackerinTheMiddle |
| Leaked credentials | Offline | Nonpremium | leakedCredentials |
| Microsoft Entra 위협 정보(사용자) | 실시간 또는 오프라인 | Nonpremium | investigationsThreatIntelligence |
| PRT(기본 새로 고침 토큰)에 대한 가능성 있는 액세스 시도 | Offline | Premium | attemptedPrtAccess |
| 의심스러운 API 트래픽 | Offline | Premium | suspiciousAPITraffic |
| 의심스러운 송신 패턴 | Offline | Premium | suspiciousSendingPatterns |
| 사용자가 의심스러운 활동 보고 | Offline | Premium | userReportedSuspiciousActivity |
^ 추가 위험 검색 검색에 대한 riskEventType 은 Microsoft Entra ID Free 또는 Microsoft Entra ID P1을 사용하는 테넌트에 일반적입니다. 위험한 항목을 발견했지만 Microsoft Entra ID P2 라이선스가 없으면 세부 정보를 사용할 수 없습니다.
로그인 위험 검색
익명 IP 주소에서의 활동
이 탐지는 Microsoft Defender for Cloud Apps에서 제공한 정보를 사용하여 발견되었습니다. 이 검색은 사용자가 익명 프록시 IP 주소로 식별된 IP 주소에서 활성 상태임을 식별합니다.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
추가 위험이 감지됨(로그인)
이 검색은 프리미엄 검색 중 하나가 검색되었음을 나타냅니다. 프리미엄 감지는 Microsoft Entra ID P2 고객에게만 보이므로, Microsoft Entra ID P2 라이선스가 없는 고객에게는 추가 위험 감지라는 제목이 붙습니다.
- 실시간 또는 오프라인으로 계산
- 라이선스 요구 사항: Microsoft Entra ID 무료 또는 Microsoft Entra ID P1
관리자가 사용자 계정이 침해되었음을 확인했습니다.
이 탐지는 관리자가 위험한 사용자 UI 또는 riskyUsers API에서 사용자가 손상됨을 확인을 선택했음을 나타냅니다. 이 사용자가 손상되었음을 확인한 관리자를 확인하려면 사용자의 위험 이벤트 기록(UI 또는 API를 통해)을 확인합니다.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID 무료 또는 Microsoft Entra ID P1
비정상적인 토큰(로그인)
이 탐지는 비정상적인 수명 또는 익숙하지 않은 위치에서 재생된 토큰과 같은 토큰의 비정상적인 특징을 나타냅니다. 이 검색에서는 "세션 토큰" 및 "새로 고침 토큰"을 다룹니다.
비정상적인 토큰은 동일한 위험 수준에서 다른 검출보다 더 많은 노이즈를 발생하도록 조정되어 있습니다. 이 절충은 그렇지 않으면 눈에 띄지 않을 수 있는 재생된 토큰을 검색할 가능성을 높이기 위해 선택됩니다. 이 탐지에 의해 플래그가 지정된 일부 세션이 오탐일 가능성이 평소보다 높습니다. 해당 사용자의 다른 로그인들과의 관련성을 고려하여 이 감지로 표시된 세션을 조사하는 것이 좋습니다. 사용자에게 위치, 애플리케이션, IP 주소, 사용자 에이전트 또는 기타 특성이 예기치 않은 경우 관리자는 이 위험 이벤트를 잠재적 토큰 재생의 지표로 고려해야 합니다.
- 실시간 또는 오프라인으로 계산
- 라이선스 요구 사항: Microsoft Entra ID P2
- 비정상적인 토큰 검색을 조사하기 위한 팁입니다.
익명 IP 주소
이 위험 검색 유형은 익명 IP 주소(예: Tor 브라우저, 익명 VPN)에서 수행하는 로그인을 나타냅니다. 이러한 IP 주소는 일반적으로 잠재적인 악의적인 의도를 위해 로그인 정보(IP 주소, 위치, 디바이스 등)를 숨기려는 작업자가 사용합니다.
- 실시간으로 계산
- 라이선스 요구 사항: Microsoft Entra ID 무료 또는 Microsoft Entra ID P1
Atypical travel
이 위험 탐지 유형은 지리적으로 먼 두 위치에서 발생하는 두 개의 로그인 이벤트를 식별합니다. 여기서 과거 행동을 고려할 때, 적어도 한 장소가 사용자에게 일반적이지 않을 수도 있습니다. 알고리즘은 두 로그인 사이의 시간과 사용자가 첫 번째 위치에서 두 번째 위치로 이동하는 데 걸리는 시간을 포함하여 여러 요소를 고려합니다. 이 위험 이벤트는 다른 사용자가 동일한 자격 증명을 사용하고 있음을 나타낼 수 있습니다.
이 알고리즘은 조직의 다른 사용자가 정기적으로 사용하는 VPN 및 위치와 같은 불가능한 이동 조건에 영향을 주는 확실한 "가양성"을 무시합니다. 시스템은 초기 학습 기간(14일 또는 로그인 10회 중 먼저 다가오는 날짜) 동안 새 사용자의 로그인 동작을 학습합니다.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID P2
- 비정형 여행 감지를 조사하기 위한 팁입니다.
Impossible travel
이 탐지는 Microsoft Defender for Cloud Apps에서 제공한 정보를 사용하여 발견되었습니다. 이 검색은 첫 번째 위치에서 두 번째 위치로 이동하는 데 걸리는 시간보다 짧은 기간 내에 지리적으로 먼 위치에서 발생하는 사용자 활동(단일 또는 여러 세션에서)을 식별합니다. 이 위험 이벤트는 다른 사용자가 동일한 자격 증명을 사용하고 있음을 나타낼 수 있습니다.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
악성 IP 주소
이 탐지는 악성 IP 주소로부터의 로그인을 나타냅니다. IP 주소 또는 다른 IP 평판 출처에서 받은 잘못된 자격 증명으로 인한 높은 실패율을 기준으로 IP 주소를 악성으로 간주합니다. 경우에 따라 이 탐지는 이전에 발생한 악의적인 활동을 감지할 수 있습니다.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID P2
- 악의적인 IP 주소 검색을 조사하기 위한 팁입니다.
중요한 파일에 대량 액세스
이 탐지는 Microsoft Defender for Cloud Apps에서 제공한 정보를 사용하여 발견되었습니다. 이 검색은 사용자 환경을 살펴보고 사용자가 Microsoft SharePoint Online 또는 Microsoft OneDrive에서 여러 파일에 액세스할 때 경고를 트리거합니다. 사용자에게 액세스된 파일 수가 드물고 파일에 중요한 정보가 포함될 수 있는 경우에만 경고가 트리거됩니다.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Microsoft Entra 위협 인텔리전스(로그인)
이 위험 검색 유형은 사용자에 대해 비정상적이거나 알려진 공격 패턴과 일치하는 사용자 활동을 나타냅니다. 이 검색은 Microsoft의 내부 및 외부 위협 인텔리전스 원본을 기반으로 합니다.
- 실시간 또는 오프라인으로 계산
- 라이선스 요구 사항: Microsoft Entra ID 무료 또는 Microsoft Entra ID P1
- Microsoft Entra 위협 인텔리전스 탐지를 조사하는 팁입니다.
New country
이 탐지는 Microsoft Defender for Cloud Apps에서 제공한 정보를 사용하여 발견되었습니다. 이 탐지는 새롭거나 드물게 사용되는 위치를 결정하기 위해 과거의 활동 장소를 고려합니다. 변칙 검색 엔진은 조직에서 사용자가 사용한 이전 위치에 대한 정보를 저장합니다.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Password spray
암호 스프레이 공격은 통합된 무차별 암호 대입 방식으로 공통 암호를 사용하여 복수 ID를 공격하는 것입니다. 위험 검색은 계정의 암호가 유효하고 로그인을 시도할 때 트리거됩니다. 이 탐지는 사용자의 암호가 암호 스프레이 공격을 통해 올바르게 식별되었음을 알리는 것이며, 공격자가 리소스에 액세스할 수 있었던 것은 아닙니다.
- 실시간 또는 오프라인으로 계산
- 라이선스 요구 사항: Microsoft Entra ID P2
- 암호 스프레이 감지를 조사하는 데 유용한 팁입니다.
Suspicious browser
의심스러운 브라우저 감지는 동일한 브라우저에서 여러 국가/지역의 여러 테넌트를 포함하여 발생하는 의심스러운 로그인 활동에 따라 비정상적인 동작을 나타냅니다.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID P2
- 의심스러운 브라우저 검색을 조사하기 위한 팁입니다.
의심스러운 받은 편지함 전달
이 탐지는 Microsoft Defender for Cloud Apps에서 제공한 정보를 사용하여 발견되었습니다. 이 검색은 의심스러운 메일 전달 규칙(예: 사용자가 모든 메일의 복사본을 외부 주소로 전달하는 받은 편지함 규칙을 만든 경우)을 찾습니다.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
의심스러운 받은 편지함 조작 규칙
이 탐지는 Microsoft Defender for Cloud Apps에서 제공한 정보를 사용하여 발견되었습니다. 의심스러운 규칙이 사용자의 받은 편지함에서 메시지나 폴더를 삭제하거나 이동하도록 설정되면, 이 탐지 시스템은 환경을 모니터링하여 경고를 발령합니다. 이 검색은 사용자의 계정이 손상되고, 메시지가 의도적으로 숨겨지고, 사서함이 조직에서 스팸 또는 맬웨어를 배포하는 데 사용되고 있음을 나타낼 수 있습니다.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
토큰 발급자 비정상 현상
이 위험 감지는 관련 SAML 토큰에 대한 SAML 토큰 발급자가 잠재적으로 손상되었음을 나타냅니다. 토큰에 포함된 클레임아 비정상적이거나 알려진 공격자 패턴과 일치합니다.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID P2
- 토큰 발급자 이상 탐지를 조사하기 위한 팁을 제공합니다.
일반적이지 않은 로그인 속성
이 위험 검색 유형은 이전 로그인 기록을 고려하여 비정상적인 로그인을 찾습니다. 시스템은 이전 로그인에 대한 정보를 저장하고 사용자에게 익숙하지 않은 속성으로 로그인이 발생할 때 위험 검색을 트리거합니다. 이러한 속성에는 IP, ASN, 위치, 디바이스, 브라우저 및 테넌트 IP 서브넷이 포함될 수 있습니다. 새로 생성된 사용자는 "학습 모드" 기간 동안에 있으며, 이 기간 동안 알고리즘이 사용자의 행동을 학습하는 사이에는 익숙하지 않은 로그인 속성에 대한 위험 탐지가 비활성화됩니다. 학습 모드 기간은 유동적이며, 알고리즘이 사용자의 로그인 패턴에 대한 충분한 정보를 수집하는 데 얼마나 많은 시간이 걸리는지에 따라 달라집니다. 최소 기간은 5일입니다. 장기간 비활성 상태였던 사용자는 학습 모드로 돌아갈 수 있습니다.
기본 인증 또는 레거시 프로토콜에 대해서도 이 탐지가 실행됩니다. 이러한 프로토콜에는 클라이언트 ID와 같은 최신 속성이 포함되지 않아 잘못된 양성 결과를 줄일 수 있는 데이터가 제한적입니다. 따라서 고객은 최신 인증 방식으로 이전하는 것이 좋습니다.
낯선 로그인 속성은 대화형 및 비대화형 로그인 모두에서 탐지될 수 있습니다. 비대화형 로그인에서 이 탐지가 발생하면 토큰 재생 공격의 위험으로 인해 추가적인 검토가 필요합니다.
익숙하지 않은 로그인 속성 위험을 선택하면 이 위험이 트리거된 이유에 대한 자세한 정보를 볼 수 있습니다.
- 실시간으로 계산
- 라이선스 요구 사항: Microsoft Entra ID P2
확인된 위협 행위자 IP
실시간으로 계산됩니다. 이 위험 이벤트 검색 유형은 MSTIC(Microsoft Threat Intelligence Center)의 데이터를 기반으로 국가 주 행위자 또는 사이버 범죄 그룹과 연결된 알려진 IP 주소와 일치하는 로그인 활동을 나타냅니다.
- 실시간으로 계산
- 라이선스 요구 사항: Microsoft Entra ID P2
사용자 위험 검색
검색된 추가 위험(사용자)
이 검색은 프리미엄 검색 중 하나가 검색되었음을 나타냅니다. 프리미엄 감지는 Microsoft Entra ID P2 고객에게만 보이므로, Microsoft Entra ID P2 라이선스가 없는 고객에게는 추가 위험 감지라는 제목이 붙습니다.
- 실시간 또는 오프라인으로 계산
- 라이선스 요구 사항: Microsoft Entra ID 무료 또는 Microsoft Entra ID P1
비정상적인 토큰(사용자)
이 탐지는 비정상적인 수명 또는 익숙하지 않은 위치에서 재생된 토큰과 같은 토큰의 비정상적인 특징을 나타냅니다. 이 검색에서는 "세션 토큰" 및 "새로 고침 토큰"을 다룹니다.
비정상적인 토큰은 동일한 위험 수준에서 다른 검출보다 더 많은 노이즈를 발생하도록 조정되어 있습니다. 이 절충은 그렇지 않으면 눈에 띄지 않을 수 있는 재생된 토큰을 검색할 가능성을 높이기 위해 선택됩니다. 이 탐지에 의해 플래그가 지정된 일부 세션이 오탐일 가능성이 평소보다 높습니다. 해당 사용자의 다른 로그인들과의 관련성을 고려하여 이 감지로 표시된 세션을 조사하는 것이 좋습니다. 사용자에게 위치, 애플리케이션, IP 주소, 사용자 에이전트 또는 기타 특성이 예기치 않은 경우 관리자는 이 위험 이벤트를 잠재적 토큰 재생의 지표로 고려해야 합니다.
- 실시간 또는 오프라인으로 계산
- 라이선스 요구 사항: Microsoft Entra ID P2
- 비정상적인 토큰 검색을 조사하기 위한 팁입니다.
비정상적인 사용자 활동
이 위험 검색은 Microsoft Entra ID의 일반적인 관리자 동작을 기준으로 삼고 디렉터리에 대한 의심스러운 변경과 같은 비정상적인 동작 패턴을 찾아냅니다. 변경을 수행하는 관리자 또는 변경된 개체에 대한 탐지가 시작됩니다.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID P2
중간에 있는 공격자
중간의 적대자라고도 하는 이 높은 정밀도 검색은 인증 세션이 악의적인 역방향 프록시에 연결될 때 트리거됩니다. 이러한 종류의 공격에서 악의적 사용자는 사용자에게 발급된 토큰을 포함하여 사용자의 자격 증명을 가로챌 수 있습니다. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. 관리자가 이 탐지가 발생할 때 사용자를 수동으로 조사하여 위험이 해결되었는지 확인하는 것이 좋습니다. 이 위험 이벤트를 지우려면 보안 암호 재설정 또는 기존 세션의 해지가 필요할 수 있습니다.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID P2
Leaked credentials
이 위험 감지 유형은 사용자의 유효한 자격 증명이 유출되었음을 나타냅니다. 사이버 범죄자가 합법적인 사용자의 유효한 암호를 손상시키는 경우 범죄자는 종종 이러한 수집된 자격 증명을 공유합니다. 이 공유는 주로 다크 웹, 붙여넣기 사이트에 공개적으로 게시하거나 암시장에서 자격 증명을 거래하고 판매하는 방식으로 이루어집니다. Microsoft 유출 자격 증명 서비스가 다크 웹, 붙여넣기 사이트 또는 기타 원본에서 사용자 자격 증명을 획득하면 Microsoft Entra 사용자의 현재 유효한 자격 증명과 비교하여 유효한 일치 항목을 찾습니다. For more information about leaked credentials, see FAQs.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID 무료 또는 Microsoft Entra ID P1
- 유출된 자격 증명 탐지를 조사하기 위한 팁입니다.
Microsoft Entra 위협 인텔리전스(사용자)
이 위험 검색 유형은 사용자에 대해 비정상적이거나 알려진 공격 패턴과 일치하는 사용자 활동을 나타냅니다. 이 검색은 Microsoft의 내부 및 외부 위협 인텔리전스 원본을 기반으로 합니다.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID 무료 또는 Microsoft Entra ID P1
- Microsoft Entra 위협 인텔리전스 탐지를 조사하는 팁입니다.
PRT(기본 새로 고침 토큰)에 액세스하려고 할 수 있습니다.
이 위험 검색 유형은 MDE(엔드포인트용 Microsoft Defender)에서 제공한 정보를 사용하여 검색됩니다. PRT(기본 새로 고침 토큰)는 Windows 10, Windows Server 2016 이상 버전, iOS 및 Android 디바이스에서 Microsoft Entra 인증의 주요 아티팩트입니다. PRT는 해당 디바이스에서 사용되는 애플리케이션에서 SSO(Single Sign-On)를 사용하도록 설정하기 위해 Microsoft 자사 토큰 브로커에 발급된 JWT(JSON Web Token)입니다. 공격자는 이 리소스에 액세스하여 조직으로 수평 이동하거나 자격 증명 도용을 수행할 수 있습니다. 이 탐지는 사용자를 높은 위험으로 분류하며, MDE를 배포하는 조직에서만 실행됩니다. 이 탐지는 위험도가 높아 이러한 사용자에 대해 신속한 조치를 취할 것을 권장합니다. 볼륨이 적기 때문에 대부분의 조직에서 자주 나타나지 않습니다.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID P2
의심스러운 API 트래픽
이 위험 감지는 비정상적인 GraphAPI 트래픽 또는 디렉터리 열거가 관찰될 때 보고됩니다. 의심스러운 API 트래픽은 사용자가 손상되어 환경에서 정찰을 수행하고 있음을 시사할 수 있습니다.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID P2
의심스러운 송신 패턴
이 위험 감지 유형은 Microsoft Defender for Office 365(MDO)가 제공한 정보를 통해 발견됩니다. 이 경고는 조직의 누군가가 의심스러운 전자 메일을 보내거나 전자 메일을 보낼 위험 이벤트가 있거나 제한될 때 생성됩니다. 이 탐지는 사용자를 중간 위험 수준으로 이동시키며, MDO를 배포하는 조직에서만 작동합니다. 이 탐지는 발생 빈도가 낮고 대부분의 조직에서 드물게 나타납니다.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID P2
사용자가 의심스러운 활동을 보고했습니다.
이 위험 탐지는 사용자가 MFA(다단계 인증) 프롬프트를 거부하고 이를 의심스러운 활동으로 보고할 때 보고됩니다. 사용자가 시작하지 않은 MFA 프롬프트는 자격 증명이 손상되었음을 의미할 수 있습니다.
- Calculated offline
- 라이선스 요구 사항: Microsoft Entra ID P2