조건부 액세스 보고 전용 모드란?

고객들은 적절한 상황에서 올바른 액세스 제어를 적용하여 보안을 유지하기 위해 조건부 액세스를 널리 사용하고 있습니다. 그러나 조직의 조건부 액세스 정책 배포와 관련된 문제 중 하나는 최종 사용자에게 미치는 영향을 파악하는 것입니다. 레거시 인증 차단, 사용자 집단에 대한 다단계 인증 요구, 로그인 위험 정책 구현 등과 같은 일반적인 배포 이니셔티브의 영향을 받는 사용자의 수와 이름을 예상하기가 어려울 수 있습니다.

보고 전용 모드는 관리자가 정책을 환경에 사용하도록 설정하기 전에 조건부 액세스 정책의 영향을 평가할 수 있도록 하는 새 조건부 액세스 정책 상태입니다. 보고 전용 모드의 릴리스 사용

  • 조건부 액세스 정책은 보고서 전용 모드에서 사용하도록 설정할 수 있습니다. 이러한 특성이 "사용자 작업" 범위에는 적용되지 않습니다.
  • 로그인하는 동안 보고 전용 모드의 정책은 평가되지만 적용되지 않습니다.
  • 결과는 로그인 로그 세부 정보에 대한 조건부 액세스보고 전용 탭에 기록됩니다.
  • Azure Monitor 구독이 있는 고객은 조건부 액세스 인사이트 통합 문서를 사용하여 조건부 액세스 정책의 영향을 모니터링할 수 있습니다.

경고

규정 준수 디바이스를 필요로 하는 보고 전용 모드의 정책은 디바이스 규정 준수가 적용되지 않는 경우에도 정책 평가 중에 사용자에게 Mac, iOS, Android에서 디바이스 인증서를 선택하라는 메시지를 표시할 수 있습니다. 해당 메시지는 디바이스가 규정을 준수할 때까지 반복적으로 표시될 수도 있습니다. 최종 사용자가 로그인한 동안 메시지를 받지 않도록 하려면 디바이스 규정 준수 검사를 수행하는 보고 전용 정책에서 디바이스 플랫폼 Mac, iOS, Android를 제외합니다. “사용자 작업” 범위의 조건부 액세스 정책에는 보고 전용 모드를 적용할 수 없습니다.

Azure AD 로그인 로그의 보고 전용 탭

정책 결과

지정된 로그인에 대해 보고 전용 모드의 정책을 평가하는 경우 가능한 결과값은 다음 네 가지입니다.

결과 Description
보고 전용: 성공 구성된 모든 정책 조건, 필요한 비대화형 권한 부여 컨트롤 및 세션 컨트롤이 충족되었습니다. 예를 들어 토큰에 이미 있는 MFA 클레임이 다단계 인증 요구 사항을 충족하거나 규정 준수 디바이스에서 디바이스 검사를 수행한 결과 규정 준수 디바이스 정책을 충족합니다.
보고 전용: 실패 구성된 모든 정책 조건이 충족되었지만 모든 필수 비대화형 권한 부여 컨트롤 또는 세션 컨트롤이 충족되지는 않았습니다. 차단 컨트롤이 구성된 사용자에게 정책이 적용되거나 디바이스가 규정 준수 디바이스 정책을 충족하지 못하는 경우를 예로 들 수 있습니다.
보고 전용: 사용자 작업 필요 구성된 모든 정책 조건이 충족되었지만 필요한 권한 부여 컨트롤 또는 세션 컨트롤을 충족하려면 사용자 작업이 필요합니다. 보고 전용 모드를 사용하는 경우 사용자에게 필요한 컨트롤을 충족하라는 메시지가 표시되지 않습니다. 예를 들면 사용자에게 다단계 인증 문제나 사용 약관과 관련된 메시지가 표시되지 않는 경우입니다.
보고 전용: 적용되지 않음 구성된 일부 정책 조건이 충족되지 않았습니다. 예를 들어 사용자가 정책에서 제외되었거나 정책이 신뢰할 수 있는 특정 명명된 위치에만 적용되는 경우입니다.

조건부 액세스 인사이트 통합 문서

관리자는 보고 전용 모드에서 여러 정책을 만들 수 있기 때문에 각 정책의 개별 영향 및 함께 평가된 여러 정책의 결합된 영향을 모두 이해해야 합니다. 새 조건부 액세스 인사이트 통합 문서를 통해 관리자는 조건부 액세스 쿼리를 시각화하고 지정된 시간 범위, 애플리케이션 집합 및 사용자에 대한 정책의 영향을 모니터링할 수 있습니다.

다음 단계

조건부 액세스 정책에 대한 보고 전용 모드 구성