다음을 통해 공유

조건부 액세스 인사이트 및 보고

  • 아티클

조건부 액세스 인사이트 및 보고 통합 문서를 사용하면 조건부 액세스 정책이 시간에 따라 조직에 미치는 영향을 이해할 수 있습니다. 로그인 중에 하나 이상의 조건부 액세스 정책이 적용될 수 있으며, 특정 권한 부여 제어가 충족된 경우 액세스를 부여하고 충족되지 않은 경우 액세스를 거부할 수 있습니다. 각 로그인 중에 여러 조건부 액세스 정책이 평가될 수 있으므로 인사이트 및 보고 통합 문서를 사용하면 개별 정책 또는 모든 정책 중에서 하위 집합의 영향을 검사할 수 있습니다.

필수 조건

인사이트 및 보고 통합 문서를 사용하도록 설정하려면 테넌트에 다음이 있어야 합니다.

  • 로그인 로그 데이터를 보관하는 Log Analytics 작업 영역입니다.
  • 조건부 액세스를 사용하는 Microsoft Entra ID P1 라이선스입니다.

사용자에게는 최소한 보안 읽기 권한자 역할이 할당되고 Log Analytics 작업 영역 기여자 역할이 할당되어야 합니다.

Microsoft Entra ID에서 Azure Monitor 로그로 로그인 로그 스트리밍

Microsoft Entra 로그를 Azure Monitor 로그와 통합하지 않은 경우 통합 문서가 로드되기 전에 다음 단계를 수행해야 합니다.

  1. Azure Monitor에서 Log Analytics 작업 영역 만들기.
  2. Microsoft Entra 로그를 Azure Monitor 로그와 통합합니다.

작동 원리

인사이트 및 보고 통합 문서에 액세스하려면 다음을 수행합니다.

  1. Microsoft Entra 관리 센터보안 읽기 권한자 이상의 권한으로 로그인합니다.
  2. 보호>조건부 액세스>인사이트 및 보고로 이동합니다.

시작: 매개 변수 선택

인사이트 및 보고 대시보드를 사용하면 지정된 기간 동안 하나 이상의 조건부 액세스 정책이 미치는 영향을 볼 수 있습니다. 통합 문서 맨 위에 있는 각 매개 변수를 설정하여 시작합니다.

조건부 액세스 인사이트 및 보고 통합 문서를 보여 주는 스크린샷

조건부 액세스 정책: 결합된 영향을 확인하려면 하나 이상의 조건부 액세스 정책을 선택합니다. 정책은 사용하도록 설정된 정책과 보고 전용 정책이라는 두 그룹으로 구분됩니다. 기본적으로 사용하도록 설정된 정책이 모두 선택됩니다. 사용하도록 설정된 정책은 현재 테넌트에 적용된 되는 정책입니다.

시간 범위: 4시간부터 최대 90일까지의 시간 범위를 선택합니다. Microsoft Entra 로그를 Azure Monitor와 통합한 시점보다 더 이전의 시간 범위를 선택한 경우 통합 시점 이후의 로그인만 표시됩니다.

사용자: 기본적으로 대시보드에는 선택한 정책이 모든 사용자에게 미치는 영향을 보여 줍니다. 개별 사용자를 기준으로 필터링하려면 텍스트 필드에 사용자 이름을 입력합니다. 모든 사용자를 기준으로 필터링하려면 텍스트 필드에 모든 사용자를 입력하거나 매개 변수를 비워 둡니다.

: 기본적으로 대시보드에는 선택한 정책이 모든 앱에 미치는 영향을 보여 줍니다. 개별 앱을 기준으로 필터링하려면 텍스트 필드에 앱 이름을 입력합니다. 모든 앱을 기준으로 필터링하려면 텍스트 필드에 모든 앱을 입력하거나 매개 변수를 비워 둡니다.

데이터 뷰: 대시보드에 사용자 수 또는 로그인 수를 기준으로 결과를 표시할지 여부를 선택합니다. 개별 사용자에게는 지정된 시간 범위 동안 여러 결과를 갖는 여러 앱에 대한 수백 개의 로그인이 있을 수 있습니다. 데이터 보기를 사용자로 선택하면 사용자가 성공 및 실패 수 모두에 포함될 수 있습니다. 예를 들어 사용자가 10명이라면 그중 8명은 지난 30일 동안 성공한 결과를, 9명은 지난 30일 동안 실패한 결과를 가질 수 있습니다.

영향 요약

매개 변수를 설정하면 영향 요약이 로드됩니다. 요약은 선택한 정책을 평가할 때 시간 범위 동안 성공, 실패, 사용자 작업 필요 또는 적용되지 않음이 발생한 사용자 또는 로그인 수를 보여 줍니다.

조건부 액세스 통합 문서의 영향 요약 예제를 보여 주는 스크린샷

합계: 해당 기간 동안 선택한 정책 중 하나 이상이 평가된 사용자 또는 로그인 수입니다.

성공: 해당 기간 동안 선택한 정책의 복합적인 결과가 성공 또는 보고 전용: 성공인 사용자 또는 로그인 수입니다.

실패: 해당 기간 동안 선택한 정책 중 하나 이상의 결과가 실패 또는 보고 전용: 실패인 사용자 또는 로그인 수입니다.

사용자 작업 필요: 해당 기간 동안 선택한 정책의 복합적인 결과가 보고 전용: 사용자 작업 필요인 사용자 또는 로그인 수입니다. 다단계 인증과 같은 대화형 승인 제어가 필요한 경우 사용자 작업이 필요합니다. 대화형 권한 부여 제어는 보고 전용 정책에 의해 적용되지 않으므로 성공 또는 실패를 결정할 수 없습니다.

적용되지 않음: 선택한 정책이 적용되지 않은 기간 동안의 사용자 또는 로그인 수입니다.

영향의 이해

조건 및 상태별 통합 문서 분류를 보여 주는 스크린샷

각 조건에 대해 사용자 또는 로그인의 분석을 볼 수 있습니다. 통합 문서 맨 위의 요약 타일을 선택하여 특정 결과(예: 성공 또는 실패)의 로그인을 필터링할 수 있습니다. 각 조건부 액세스 조건(디바이스 상태, 디바이스 플랫폼, 클라이언트 앱, 위치, 애플리케이션 로그인 위험)에 대해 로그인 분석을 볼 수 있습니다.

로그인 세부 정보

통합 문서 로그인 세부 정보를 보여 주는 스크린샷

대시보드 아래쪽에서 로그인을 검색하여 특정 사용자의 로그인을 조사할 수도 있습니다. 쿼리는 가장 자주 사용하는 사용자를 표시합니다. 사용자를 선택하면 쿼리가 필터링됩니다.

참고 항목

로그인 로그를 다운로드할 때 JSON 형식을 선택하여 조건부 액세스 보고 전용 결과 데이터를 포함합니다.

보고 전용 모드로 조건부 액세스 정책 구성

보고 전용 모드로 조건부 액세스 정책을 구성하려면 다음을 수행합니다.

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. 보호>조건부 액세스>정책으로 이동합니다.
  3. 기존 정책을 선택하거나 새 정책을 만듭니다.
  4. 정책 사용에서 보고 전용 모드로 전환합니다.
  5. 저장을 선택합니다.

기존 정책의 정책 사용 상태를 켜짐에서 보고 전용으로 편집하면 기존 정책 적용을 사용하지 않습니다.

문제 해결

권한 오류로 인해 쿼리가 실패하는 이유는 무엇입니까?

통합 문서에 액세스하기 위해서는 Microsoft Entra ID 및 Log Analytics에서 적절한 권한이 필요합니다. 샘플 로그 분석 쿼리를 실행하여 적절한 작업 영역 권한이 있는지 테스트하려면 다음을 수행합니다.

  1. Microsoft Entra 관리 센터보안 읽기 권한자 이상의 권한으로 로그인합니다.
  2. ID>모니터링 및 상태>로그 분석으로 이동합니다.
  3. 쿼리 상자에 SigninLogs를 입력하고 실행을 선택합니다.
  4. 쿼리에서 결과가 반환되지 않으면 작업 영역이 올바르게 구성되지 않았을 수 있습니다.

실패한 쿼리 문제를 해결하는 방법을 보여 주는 스크린샷

Microsoft Entra 로그인 로그를 Log Analytics 작업 영역으로 스트리밍하는 방법에 대한 자세한 내용은 Microsoft Entra 로그를 Azure Monitor 로그와 통합 문서를 참조하세요.

통합 문서의 쿼리가 실패하는 이유는 무엇입니까?

고객이 잘못된 작업 영역이나 여러 작업 영역이 통합 문서와 연결되면 쿼리가 실패하는 경우가 있음을 알게 됩니다. 이 문제를 해결하려면 통합 문서 상단에서 편집을 선택한 다음 설정 기어를 선택합니다. 통합 문서와 연결되지 않은 작업 영역을 선택한 다음 제거합니다. 각 통합 문서와 연결된 작업 영역은 하나만 있어야 합니다.

조건부 액세스 정책 매개 변수가 비어 있는 이유는 무엇입니까?

정책 목록은 가장 최근의 로그인 이벤트에 대해 평가된 정책을 확인하여 생성됩니다. 테넌트에 최신 로그인이 없는 경우 통합 문서가 조건부 액세스 정책 목록을 로드하는 데 몇 분 정도 기다려야 할 수 있습니다. Log Analytics를 구성한 직후 또는 테넌트에 최근 로그인 작업이 없는 경우 빈 결과가 발생할 수 있습니다.

통합 문서를 로드하는 데 시간이 오래 걸리는 이유는 무엇인가요?

선택한 시간 범위 및 테넌트의 크기에 따라 통합 문서가 다량의 로그인 이벤트를 평가하고 있을 수 있습니다. 대규모 테넌트의 경우 로그인 볼륨이 Log Analytics의 쿼리 용량을 초과할 수 있습니다. 시간 범위를 4시간으로 줄여 본 다음, 통합 문서가 로드되는지 확인하세요.

몇 분 동안 로드한 후에 통합 문서가 0개의 결과를 반환하는 이유는 무엇인가요?

로그인 볼륨이 Log Analytics의 쿼리 용량을 초과하면 통합 문서가 0개의 결과를 반환합니다. 시간 범위를 4시간으로 줄여 본 다음, 통합 문서가 로드되는지 확인하세요.

매개 변수 선택 사항을 저장할 수 있나요?

ID>모니터링 및 상태>통합 문서>조건부 액세스 인사이트 및 보고로 이동하여 통합 문서 맨 위에 매개 변수 선택 사항을 저장할 수 있습니다. 여기에서 통합 문서를 편집하고 내 보고서 또는 공유 보고서에 매개 변수 선택 사항을 포함하여 작업 영역의 복사본을 저장할 수 있는 통합 문서 템플릿을 찾을 수 있습니다.

다른 쿼리로 통합 문서를 편집하고 사용자 지정할 수 있나요?

ID>모니터링 및 상태>통합 문서>조건부 액세스 인사이트 및 보고로 이동하여 통합 문서를 편집하고 사용자 지정할 수 있습니다. 여기에서 통합 문서를 편집하고 내 보고서 또는 공유 보고서에 매개 변수 선택 사항을 포함하여 작업 영역의 복사본을 저장할 수 있는 통합 문서 템플릿을 찾을 수 있습니다. 쿼리 편집을 시작하려면 통합문서 상단에서 편집을 선택합니다.

관련 콘텐츠