다음을 통해 공유

조건부 액세스 관련 로그인 문제 해결

이 문서를 사용하여 오류 메시지 및 Microsoft Entra 로그인 로그를 확인하여 조건부 액세스와 관련된 예기치 않은 로그인 결과를 수정할 수 있습니다.

“모든” 결과 선택

조건부 액세스 프레임워크는 많은 구성 유연성을 제공합니다. 그러나 이러한 유연성은 원치 않는 결과를 방지하기 위해 릴리스하기 전에 각 구성 정책을 신중하게 검토해야 한다는 것을 의미합니다. 이 컨텍스트에서는 모든 사용자/그룹/리소스와 같은 전체 집합에 영향을 주는 할당에 특히 주의해야 합니다.

다음 구성을 사용하지 마세요.

모든 사용자의 경우 모든 리소스:

  • 액세스 차단 - 이 구성은 전체 조직을 차단합니다.
  • 디바이스를 준수 상태로 표시해야 합니다. 디바이스를 아직 등록하지 않은 경우, 이 정책은 Intune 포털을 포함한 모든 접근 권한을 차단합니다. 등록된 디바이스가 없는 관리자인 경우 이 정책은 정책을 변경하기 위해 다시 들어오지 못하도록 차단합니다.
  • 하이브리드 Microsoft Entra 도메인 가입 디바이스 필요 - 이 정책은 Microsoft Entra 하이브리드 조인 디바이스가 없는 경우 조직의 모든 사용자에 대한 액세스를 차단할 수도 있습니다.
  • 앱 보호 정책 필요 - Intune 정책이 없는 경우 이 정책은 조직의 모든 사용자에 대한 액세스를 차단할 수도 있습니다. Intune 앱 보호 정책이 있는 클라이언트 앱이 없는 관리자인 경우 이 정책으로 인해 Intune 및 Azure와 같은 포털로 돌아갈 수 없습니다.

모든 사용자, 모든 리소스, 모든 디바이스 플랫폼:

  • 액세스 차단 - 이 구성은 전체 조직을 차단합니다.

조건부 액세스 로그인 중단

표시되는 오류 메시지를 확인합니다. 웹 브라우저로 로그인하는 경우 오류 페이지에는 일반적으로 자세한 정보가 있습니다. 이 정보는 종종 문제를 설명하고 해결책을 제안합니다.

규격 디바이스가 필요하다는 로그인 오류의 스크린샷

이 오류에서는 회사의 모바일 디바이스 관리 정책을 충족하는 디바이스 또는 클라이언트 애플리케이션에서만 애플리케이션을 사용할 수 있다는 메시지가 표시됩니다. 여기서 애플리케이션 및 디바이스는 정책을 충족하지 않습니다.

Microsoft Entra 로그인 이벤트

로그인 중단에 대한 자세한 정보를 얻으려면 Microsoft Entra 로그인 이벤트를 검토하여 적용된 조건부 액세스 정책 또는 정책 및 이유를 확인합니다.

초기 오류 페이지에서 자세한 정보를 클릭하여 문제에 대한 자세한 정보를 확인할 수 있습니다. 자세한 정보를 클릭하면 사용자가 확인한 특정 오류 이벤트에 대한 Microsoft Entra 로그인 이벤트를 검색하거나 Microsoft에서 지원 인시던트를 열 때 도움이 되는 문제 해결 정보가 표시됩니다.

조건부 액세스로 인해 중단된 웹 브라우저 로그인의 추가 세부 정보를 보여 주는 스크린샷

다음 단계에 따라 적용된 조건부 액세스 정책 또는 정책과 그 이유를 확인합니다.

  1. Microsoft Entra 관리 센터보고서 읽기 권한자 이상으로 로그인합니다.

  2. Entra ID>모니터링 및 상태>로그인 로그로 이동합니다.

  3. 검토할 이벤트를 찾으려면 로그인하십시오. 필터 및 열을 추가하거나 제거하여 불필요한 정보를 필터링합니다.

    1. 다음과 같은 필터를 추가하여 범위를 좁힐 수 있습니다.
      1. 상관 관계 ID - 조사할 특정 이벤트가 있는 경우입니다.
      2. 조건부 액세스 - 정책 실패 및 성공을 확인합니다. 결과를 제한하는 실패만 표시하도록 필터 범위를 지정합니다.
      3. 사용자 이름 - 특정 사용자와 관련된 정보를 확인합니다.
      4. 날짜 - 해당 시간 프레임으로 범위가 지정됩니다.
      5. 호출된 리소스와 관련된 정보를 볼 수 있는 리소스입니다.

    로그인 로그의 조건부 액세스 필터 선택을 보여 주는 스크린샷.

  4. 사용자의 로그인 실패에 해당하는 로그인 이벤트를 찾은 후 조건부 액세스 탭을 선택합니다. 조건부 액세스 탭에는 로그인이 중단된 특정 정책 또는 정책이 표시됩니다.

    1. 문제 해결 및 지원 탭의 정보는 규정 준수 요구 사항을 충족하지 않는 디바이스와 같은 로그인 실패에 대한 명확한 원인을 제공할 수 있습니다.
    2. 자세히 조사하려면 정책 이름을 클릭하여 정책 구성으로 드릴다운합니다. 정책 이름을 클릭하면 검토 및 편집을 위해 선택한 정책에 대한 정책 구성 사용자 인터페이스가 표시됩니다.
    3. 조건부 액세스 정책 평가에 사용된 클라이언트 사용자디바이스 세부 정보기본 정보, 위치, 디바이스 정보, 인증 세부 정보, 로그인 이벤트의 추가 세부 정보 탭에서도 사용할 수 있습니다.

정책이 의도한 대로 작동하지 않음

로그인 이벤트에서 정책의 오른쪽에 있는 줄임표를 선택하여 정책 세부 정보를 확인합니다. 이 옵션은 관리자에게 정책이 적용된 이유에 대한 자세한 정보를 제공합니다.

정책이 적용되거나 적용되지 않는 이유를 확인하기 위한 조건부 액세스 정책 세부 정보 클릭을 보여 주는 스크린샷

왼쪽은 로그인 시 수집되는 세부 정보를 제공하고 오른쪽에는 적용된 조건부 액세스 정책의 요구 사항을 충족하는지 여부에 대한 세부 정보가 제공됩니다. 조건부 액세스 정책은 모든 조건이 충족되거나 구성되지 않은 경우에만 적용됩니다.

이벤트의 정보가 로그인 결과를 이해하거나 원하는 결과를 얻기 위해 정책을 조정하기에 충분하지 않은 경우 로그인 진단 도구를 사용합니다. 로그인 진단은 기본 정보>문제 해결 이벤트아래에 있습니다. 로그인 진단에 대한 자세한 내용은 Microsoft Entra ID로그인 진단이란?을 참조하세요. 또한 What If 도구를 사용하여 조건부 액세스 정책 문제를 해결할 수 있습니다.

지원 인시던트를 제출해야 하는 경우 인시던트 세부 정보에 로그인 이벤트의 요청 ID, 시간 및 날짜를 포함합니다. 이 정보는 Microsoft 지원에서 우려하는 특정 이벤트를 찾는 데 도움이 됩니다.

일반적인 조건부 액세스 오류 코드

로그인 오류 코드 오류 문자열
53000 장치 비호환
53001 장치가 도메인에 가입되지 않음
53002 사용 중인 애플리케이션은 승인된 애플리케이션이 아닙니다.
53003 조건부 접근으로 차단됨
53004 위험 때문에 ProofUp 차단됨
53009 애플리케이션에서 Intune 보호 정책을 적용해야 합니다.

Microsoft Entra 인증 및 권한 부여 오류 코드의 오류 코드에 대해 자세히 알아봅니다. 목록의 오류 코드는 다음과 같은 AADSTS접두사 AADSTS53002 뒤에 브라우저에 표시되는 코드와 함께 표시됩니다.

서비스 종속성

일부 시나리오에서는 클라우드 앱이 조건부 액세스 정책이 차단하는 리소스에 따라 달라지므로 사용자가 차단됩니다.

서비스 종속성을 확인하려면 로그인에서 호출하는 애플리케이션 및 리소스에 대한 로그인 로그를 검토합니다. 다음 스크린샷에서 애플리케이션은 Azure Portal이지만 리소스는 Azure Resource Manager입니다. 이 시나리오를 대상으로 하려면 조건부 액세스 정책의 모든 애플리케이션과 리소스를 결합합니다.

리소스를 호출하는 애플리케이션을 보여 주는 로그인 로그의 스크린샷 이 시나리오를 서비스 종속성이라고도 합니다.

청중 분석 보고

사용자가 Microsoft Teams와 같은 앱에 로그인하면 실제로 Teams 채팅, Outlook 일정, Excel 문서 등과 같은 여러 리소스에 대한 액세스를 요청합니다. 사용자가 Teams 클라이언트에만 로그인한다고 생각할 수 있지만 조건부 액세스 정책은 이러한 모든 리소스에 적용됩니다. 예를 들어 관리자가 SharePoint 또는 특정 SharePoint 사이트에 대한 액세스를 제한하는 경우 사용자가 Teams에만 로그인한다고 생각되는 경우에도 정책이 적용됩니다.

로그인 로그에서 대상 그룹을 보고하면 관리자는 로그인 이벤트의 일부로 요청된 모든 리소스를 볼 수 있습니다. 모든 활성화된 또는 보고서 전용 정책에 대한 리소스 섹션 아래에 대상으로 표시됩니다.

조건부 액세스 정책 세부 정보 및 확장된 리소스 및 대상 그룹 정보를 보여 주는 로그인 로그 항목의 스크린샷

관리자는 조건부 액세스 탭에서 정책을 선택한 후 로그인 로그에서 대상 그룹을 찾습니다.

관리자는 대상 그룹 보고서를 사용하여 CA 정책이 로그인 이벤트에 적용되거나 적용되지 않는 이유를 알아봅니다. 예를 들어 목록의 대상 그룹 중 하나가 정책 범위에 있으므로 정책이 특정 로그인 이벤트에 적용됩니다.

액세스가 차단된 경우 어떻게 해야 하나요?

조건부 액세스 정책의 잘못된 설정으로 인해 잠긴 경우:

  • 아직 차단되지 않은 다른 관리자가 조직에 있는지 확인합니다. 액세스 권한이 있는 관리자는 로그인에 영향을 주는 정책을 사용하지 않도록 설정할 수 있습니다.
  • 조직의 관리자가 정책을 업데이트할 수 없는 경우 지원 요청을 제출합니다. Microsoft는 검토를 지원하고 확인 후 액세스를 방지하는 조건부 액세스 정책을 업데이트합니다.

다음 단계