Microsoft Entra 모니터링 및 상태에 관해 질문과 대답

Microsoft Entra 버전을 업그레이드하려면 Microsoft Entra ID 라이선스를 참조하세요.

이미 무료 라이선스로 활동 로그 데이터가 있는 경우 즉시 확인할 수 있습니다. 데이터가 없는 경우 데이터가 보고서에 표시되는 데 최대 3일이 소요됩니다.

최근 프리미엄 버전(평가판 포함)으로 전환한 경우 처음에는 최대 7일 동안 데이터를 볼 수 있습니다. 데이터가 누적되면 지난 30일간의 데이터를 볼 수 있습니다.

감사 및 로그인 로그를 볼 수 있는 최소 권한 역할은 보고서 읽기 권한자입니다. 다른 역할로는 보안 읽기 권한자 및 보안 관리자가 있습니다.

로그인 및 감사 로그는 모두 Azure Monitor를 통한 라우팅에 사용할 수 있습니다. B2C 관련 감사 이벤트는 현재 포함되지 않습니다. 자세한 내용은 Microsoft Entra 활동 로그 통합 및 Graph API 활동 로그 개요를 참조하세요.

Microsoft 365 및 Microsoft Entra 활동 로그는 많은 디렉터리 리소스를 공유합니다. Microsoft 365 활동 로그 전체를 보려면 Microsoft 365 관리 센터로 이동하여 Office 365 활동 로그 정보를 가져와야 합니다. Microsoft 365용 API는 Microsoft 365 관리 API 문서에 설명되어 있습니다.

브라우저 메모리 크기, 네트워크 속도, Microsoft Entra 보고 API 로드 등 여러 요인에 따라 Microsoft Entra 관리 센터에서 다운로드할 수 있는 로그 수가 결정됩니다. 일반적으로 감사 로그의 경우 250,000개 미만, 로그인 및 프로비전 로그의 경우 100,000개 미만의 데이터 세트는 브라우저 다운로드 기능에서 잘 작동합니다. 포함된 필드 수에 따라 이 숫자는 달라질 수 있습니다. 브라우저에서 대용량 다운로드를 완료하는 데 문제가 있는 경우 보고 API를 사용하여 데이터를 다운로드하거나 진단 설정을 통해 엔드포인트에 로그를 전송합니다.

다운로드를 시작할 때 Microsoft Entra 관리 센터의 활성 필터에 따라 다운로드할 수 있는 특정 로그 집합이 결정됩니다. 예를 들어, Microsoft Entra 관리 센터에서 특정 사용자로 필터링하면 다운로드가 해당 특정 사용자에 대한 로그를 끌어옵니다. 다운로드한 로그의 열은 변경되지 않습니다. 출력에는 Microsoft Entra 관리 센터에서 사용자 지정한 열에 관계없이 감사 또는 로그인 로그의 모든 세부 정보가 포함됩니다.

라이선스에 따라 Microsoft Entra ID는 7~30일 동안 활동 로그를 저장합니다. 자세한 내용은 Microsoft Entra 보고서 보존 정책을 참조하세요.

진단 설정 스토리지 보존 기능은 더 이상 사용되지 않습니다. 이러한 변경에 대한 자세한 내용은 진단 설정 스토리지 보존에서 Azure Storage 수명 주기 관리로 마이그레이션을 참조하세요.

현재로서는 라이선스 구매 또는 사용하도록 설정에 대한 감사 로그에 특정 작업이 없습니다. 그러나 "리소스 관리" 범주의 "리소스를 PIM에 온보딩" 작업을 라이선스 구매 또는 사용하도록 설정과 연관시킬 수 있습니다. 이 작업은 항상 가능하지 않거나 정확한 세부 정보를 제공하지 않을 수 있습니다.

이러한 변경 내용은 MFA 및 일부 GDPR 이벤트가 처리되는 방식과 관련이 있습니다. 사용자 삭제 또는 사용자 데이터 내보내기와 같은 이벤트는 감사 로그에 캡처되지만 작업 설명은 약간 이해하기 어려울 수 있습니다. 이러한 작업 레이블을 개선하기 위해 노력하고 있습니다. GDPR과 관련된 작업의 전체 목록은 감사 작업을 참조하세요. 이러한 작업은 DirectoryManagement 범주와 연결됩니다.

signInActivity 리소스는 한동안 로그인하지 않은 비활성 사용자를 찾는 데 사용됩니다. 거의 실시간으로 업데이트되지 않습니다. 사용자의 마지막 로그인 작업을 더 빨리 찾아야 하는 경우 Microsoft Entra 로그인 로그를 사용하여 모든 사용자의 거의 실시간 로그인 작업을 확인할 수 있습니다.

CSV에는 선택한 로그인 형식에 대한 로그인 로그가 포함됩니다. 로그인 로그용 Microsoft Graph API에서 중첩 배열로 표시되는 데이터는 포함되지 않습니다. 예를 들어, 조건부 액세스 정책 및 보고서 전용 정보는 포함되지 않습니다. 로그인 로그에 포함된 모든 정보를 내보내야 하는 경우 데이터 내보내기 설정 기능을 사용합니다.

Microsoft Entra 관리 센터에서 열을 사용자 지정한 경우에도 다운로드한 로그에 포함된 열은 변경되지 않는다는 점에 유의하는 것도 중요합니다.

사용자가 로그를 보는 테넌트에 속하지 않을 수 있는 경우 Microsoft Entra ID는 사용자 개인 정보를 보호하기 위해 로그인 로그에서 IP 주소의 일부를 수정할 수 있습니다. 이 작업은 두 가지 경우에 발생합니다.

• CSP 기술자가 CSP가 관리하는 테넌트에 로그인하는 경우와 같이 테넌트 간 로그인 중에 발생합니다.
• 사용자가 로그를 보는 테넌트에 속해 있는지 확인할 수 있을 만큼 충분한 신뢰도로 사용자의 ID를 확인할 수 없는 경우에 발생합니다.

Microsoft Entra ID는 고객 데이터를 보장하기 위해 테넌트에 속하지 않는 디바이스에서 생성된 PII(개인 식별 정보)를 수정합니다. PII는 사용자 및 데이터 소유자의 동의 없이 테넌트 경계를 넘어 확산되지 않습니다.

로그에 로그인 항목이 중복되는 데에는 여러 가지 이유가 있습니다.

• 로그인 시 위험이 식별되면 위험이 포함된 거의 동일한 또 다른 이벤트가 즉시 게시됩니다.
• 로그인과 관련된 MFA 이벤트가 수신되면 모든 관련 이벤트가 원래 로그인으로 집계됩니다.
• Kusto에 게시하는 등 로그인 이벤트에 대한 파트너 게시가 실패하면 전체 이벤트 일괄 처리가 다시 시도되고 다시 게시되므로 중복이 발생할 수 있습니다.
• 여러 조건부 액세스 정책과 관련된 로그인 이벤트는 여러 이벤트로 분할될 수 있으며, 이로 인해 로그인 이벤트당 최소 2개의 이벤트가 발생할 수 있습니다.

비대화형 로그인은 매시간 많은 양의 이벤트를 트리거할 수 있으므로 로그에 함께 그룹화됩니다.

대부분의 경우 비대화형 로그인은 로그인 날짜 및 시간을 제외하고 모든 특성이 동일합니다. 시간 집계가 24시간으로 설정되면 로그에 동시에 로그인이 표시되는 것으로 나타납니다. 그룹화된 각 행을 확장하여 정확한 타임스탬프를 볼 수 있습니다.

로그인 항목이 사용자 이름 필드에 사용자 ID, 개체 ID 또는 GUID를 표시하는 데는 여러 가지 이유가 있습니다.

• 암호 없는 인증을 사용하면 사용자 ID가 사용자 이름으로 나타납니다. 이 시나리오를 확인하려면 문제의 로그인 이벤트에 대한 세부 정보를 살펴봅니다. authenticationDetail 필드는 passwordless로 표시됩니다.
• 사용자가 인증되었지만 아직 로그인하지 않았습니다. 확인하기 위해 인터럽트와 관련된 오류 코드 50058이 있습니다.
• 사용자 이름 필드에 000000-00000-0000-0000 또는 이와 유사한 내용이 표시되면 테넌트 제한이 있어 사용자가 선택한 테넌트에 로그인하지 못할 수 있습니다.
• 다단계 인증 로그인 시도는 여러 데이터 항목으로 집계되므로 올바르게 표시하는 데 시간이 더 오래 걸릴 수 있습니다. 데이터를 완전히 집계하는 데 최대 2시간이 걸릴 수 있지만 그렇게 오래 걸리는 경우는 거의 없습니다.

아니요, 일반적으로 90025 오류는 사용자가 오류를 인지하지 못한 채 자동 다시 시도를 통해 해결됩니다. 이 오류는 내부 Microsoft Entra 하위 서비스가 다시 시도 허용량에 도달했지만 테넌트가 제한되고 있음을 나타내지 않을 때 발생할 수 있습니다. 이러한 오류는 일반적으로 Microsoft Entra ID를 통해 내부적으로 해결됩니다. 이 오류로 인해 사용자가 로그인할 수 없는 경우 수동으로 다시 시도하면 문제가 해결됩니다.

서비스 주체 ID의 값이 "0000000-0000-0000-0000-000000000000"인 경우 해당 인증 인스턴스에는 클라이언트 애플리케이션에 대한 서비스 주체가 없습니다. Microsoft Entra는 일부 Microsoft 및 타사 애플리케이션을 제외하고 더 이상 클라이언트 서비스 사용자 없이 액세스 토큰을 발급하지 않습니다.

리소스 서비스 주체 ID의 값이 "0000000-0000-0000-0000-000000000000"인 경우 해당 인증 인스턴스에는 리소스 애플리케이션에 대한 서비스 주체가 없습니다.

이 동작은 현재 제한된 수의 리소스 앱에만 허용됩니다.

테넌트에 클라이언트 또는 리소스 서비스 주체 없이 인증 인스턴스를 쿼리할 수 있습니다.

• 클라이언트 서비스 주체가 누락된 테넌트의 로그인 로그 인스턴스를 찾으려면 다음 쿼리를 사용합니다.

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• 리소스 서비스 주체가 누락된 테넌트에 대한 로그인 로그 인스턴스를 찾으려면 다음 쿼리를 사용합니다.

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Microsoft Entra 관리 센터에서도 이러한 로그인 로그를 찾을 수 있습니다.

• Microsoft Entra 관리 센터에 로그인합니다.
• ID>모니터링 및 상태>로그인 로그로 이동합니다.
• 서비스 주체 로그인을 선택합니다.
• 날짜 필드에서 적절한 시간 프레임(지난 24시간, 7일 등)을 선택합니다.
• 클라이언트 서비스 주체 없이 인증 인스턴스를 가져오려면 필터를 추가하고 서비스 주체 ID를 선택한 다음 '00000000-0000-0000-0000-000000000000' 값을 제공합니다.

특정 클라이언트 또는 리소스 앱에 대해 테넌트에서 인증이 작동하는 방식을 제어하려면 Microsoft Entra 앱을 사용자 집합으로 제한 문서의 지침을 따릅니다.

비대화형 로그인 로그가 공개 미리 보기로 제공되기 전에 일부 비대화형 로그인이 제공되었습니다. 이러한 비대화형 로그인은 대화형 로그인 로그에 포함되었으며, 비대화형 로그를 사용할 수 있게 된 후에도 대화형 로그인 로그에 남아 있었습니다. FIDO2 키를 사용한 로그인은 대화형 로그인 로그에 표시되는 비대화형 로그인의 예입니다. 현재 이러한 비대화형 로그는 항상 대화형 로그인 로그에 포함됩니다.

ID 보호 위험 검색 API를 사용하여 Microsoft Graph를 통해 보안 검색에 액세스할 수 있습니다. 이 API에는 고급 필터링 및 필드 선택이 포함되어 있으며 위험 검색을 하나의 형식으로 표준화하여 SIEM 및 기타 데이터 수집 도구에 쉽게 통합할 수 있습니다.

모든 로그인 로그를 통해 조건부 액세스 정책 문제를 해결할 수 있습니다. 조건부 액세스 상태를 검토하고 로그인에 적용된 정책의 세부 정보와 각 정책의 결과를 자세히 알아봅니다.

시작하기:

• Microsoft Entra 관리 센터에 로그인합니다.
• ID>모니터링 및 상태>로그인 로그로 이동합니다.
• 문제를 해결하려는 로그인을 선택합니다.
• 로그인에 영향을 미치는 모든 정책과 각 정책의 결과를 보려면 조건부 액세스 탭을 선택합니다.

조건부 액세스 상태는 다음 값을 가질 수 있습니다.

• 적용되지 않음: 범위에 있는 사용자 및 앱에 대한 조건부 액세스 정책이 없습니다.
• 성공: 범위 내 사용자 및 앱에 대한 조건부 액세스 정책이 있었고 조건부 액세스 정책이 성공적으로 충족되었습니다.
• 실패: 로그인에서 하나 이상의 조건부 액세스 정책에 대한 사용자 및 애플리케이션 조건을 충족했고, 권한 부여 컨트롤이 충족되지 않거나 액세스를 차단하도록 설정되었습니다.

조건부 액세스 정책은 다음 결과를 가질 수 있습니다.

• 성공: 정책이 충족되었습니다.
• 실패: 정책이 충족되지 않았습니다.
• 적용되지 않음: 정책 조건이 충족되지 않았을 수 있습니다.
• 사용 안 함: 정책이 사용하지 않도록 설정된 상태일 수 있습니다.

로그인 로그의 정책 이름은 로그인 당시의 조건부 액세스 정책 이름을 기반으로 합니다. 로그인 후 정책 이름을 업데이트한 경우 이름은 조건부 액세스의 정책 이름과 일치하지 않을 수 있습니다.

현재 로그인 로그는 조건부 액세스가 적용될 때 Exchange ActiveSync 시나리오에 대한 정확한 결과를 표시하지 못할 수도 있습니다. 보고서의 로그인 결과에는 로그인 성공으로 표시되지만 정책으로 인해 실제로 로그인이 실패한 경우가 있을 수 있습니다.

조건부 액세스 정책은 Windows 로그인 또는 비즈니스용 Windows Hello에 적용되지 않습니다. 조건부 액세스 정책은 Windows 로그인 프로세스가 아닌 클라우드 리소스에 대한 로그인 시도를 보호합니다.

API 참조에서 API를 사용하여 작업 로그에 액세스하는 방법을 알아봅니다. 이 엔드포인트에는 이전 API 엔드포인트에서 가져온 모든 데이터를 확인할 수 있는 두 개의 보고서(감사 및 로그인)가 있습니다. 이 새 엔드포인트에는 앱 사용량, 디바이스 사용량 및 사용자 로그인 정보를 가져오는 데 사용할 수 있는 Microsoft Entra ID P1 또는 P2 라이선스가 포함된 로그인 보고서도 있습니다.

ID 보호 위험 검색 API를 사용하여 Microsoft Graph를 통해 보안 검색에 액세스할 수 있습니다. 이 새로운 형식은 데이터를 쿼리하는 방법에 있어 더 큰 유연성을 제공합니다. 이 형식은 고급 필터링, 필드 선택을 제공하고 위험 검색을 하나의 형식으로 표준화하여 SIEM 및 기타 데이터 수집 도구에 쉽게 통합할 수 있습니다. 데이터가 다른 형식으로 되어 있으므로 이전 쿼리를 새 쿼리로 대체할 수 없습니다. 그러나 새 API는 Microsoft 365 또는 Microsoft Entra ID와 같은 API에 대한 Microsoft 표준인 Microsoft Graph를 사용합니다. 따라서 필요한 작업이 현재 Microsoft Graph 투자를 확장하거나 이러한 새 표준 플랫폼으로의 전환을 시작하도록 지원할 수 있습니다.

Microsoft Entra 관리 센터와 별도로 Microsoft Graph에 로그인해야 할 수도 있습니다. 오른쪽 상단에 있는 프로필 아이콘을 선택하고 올바른 디렉터리에 로그인합니다. 권한이 없는 쿼리를 실행하려고 했을 수 있습니다. 권한 수정을 선택하고 동의 단추를 선택합니다. 로그인 메시지를 따릅니다.

토큰을 사용하여 Microsoft Graph 엔드포인트를 호출할 때마다 MicrosoftGraphActivityLogs가 해당 호출로 업데이트됩니다. 이러한 호출 중 일부는 서비스 주체 로그인 로그에 게시되지 않는 자사, 앱 전용 호출입니다. MicrosoftGraphActivityLogs에 로그인 로그에서 찾을 수 없는 uniqueTokenIdentifier가 표시되면 토큰 식별자가 자사 앱 전용 토큰을 참조하고 있는 것입니다.

서비스가 "완료"로 표시된 권장 사항과 관련된 작업을 검색하면 자동으로 다시 "활성"으로 변경됩니다.