조건부 액세스 인사이트 및 보고

조건부 액세스 인사이트 및 보고 통합 문서를 사용하면 조건부 액세스 정책이 시간에 따라 조직에 미치는 영향을 이해할 수 있습니다. 로그인하는 동안 하나 이상의 조건부 액세스 정책이 적용되어 특정 권한 부여 컨트롤이 충족되는 경우 액세스 권한을 부여하거나, 그렇지 않으면 액세스를 거부할 수 있습니다. 각 로그인 중에 여러 조건부 액세스 정책을 평가할 수 있으므로 인사이트 및 보고 통합 문서를 통해 개별 정책 또는 모든 정책의 하위 집합의 영향을 검사할 수 있습니다.

필수 조건

인사이트 및 보고 통합 문서를 사용하도록 설정하려면 테넌트에 다음이 있어야 합니다.

  • 로그인 로그 데이터를 유지하는 Log Analytics 작업 영역입니다.
  • 조건부 액세스를 사용하는 Microsoft Entra ID P1 라이선스

사용자에게는 최소한 보안 읽기 권한자 역할이 할당되고 Log Analytics 작업 영역 기여자 역할이 할당되어야 합니다.

Microsoft Entra ID에서 Azure Monitor 로그로 로그인 로그 스트리밍

Microsoft Entra 로그를 Azure Monitor 로그와 통합하지 않은 경우 통합 문서가 로드되기 전에 다음 단계를 수행해야 합니다.

  1. Azure Monitor에서 Log Analytics 작업 영역 만들기.
  2. Microsoft Entra 로그를 Azure Monitor 로그와 통합합니다.

작동 원리

인사이트 및 보고 통합 문서에 액세스하려면 다음을 수행합니다.

  1. Microsoft Entra 관리 센터보안 읽기 권한자 이상의 권한으로 로그인합니다.
  2. 보호>조건부 액세스>인사이트 및 보고로 이동합니다.

시작: 매개 변수 선택

인사이트 및 보고 대시보드를 사용하면 지정된 기간 동안 하나 이상의 조건부 액세스 정책이 미치는 영향을 볼 수 있습니다. 통합 문서 맨 위에 있는 각 매개 변수를 설정하여 시작합니다.

Screenshot showing the Conditional Access insights and reporting workbook.

조건부 액세스 정책: 결합된 영향을 보려면 하나 이상의 조건부 액세스 정책을 선택합니다. 정책은 사용하도록 설정된 정책과 보고 전용 정책이라는 두 그룹으로 구분됩니다. 기본적으로 사용하도록 설정된 정책이 모두 선택됩니다. 사용하도록 설정된 정책은 현재 테넌트에 적용된 되는 정책입니다.

시간 범위: 4시간부터 최대 90일까지의 시간 범위를 선택합니다. Azure Monitor와 Microsoft Entra 로그를 통합했을 때보다 더 뒤로 시간 범위를 선택한 경우 통합 시간 후에만 로그인이 표시됩니다.

사용자: 기본적으로 대시보드에는 선택한 정책이 모든 사용자에게 미치는 영향을 보여 줍니다. 개별 사용자를 기준으로 필터링하려면 텍스트 필드에 사용자 이름을 입력합니다. 모든 사용자를 기준으로 필터링하려면 텍스트 필드에 모든 사용자를 입력하거나 매개 변수를 비워 둡니다.

: 기본적으로 대시보드에는 선택한 정책이 모든 앱에 미치는 영향을 보여 줍니다. 개별 앱을 기준으로 필터링하려면 텍스트 필드에 앱 이름을 입력합니다. 모든 앱을 기준으로 필터링하려면 텍스트 필드에 모든 앱을 입력하거나 매개 변수를 비워 둡니다.

데이터 뷰: 대시보드에서 사용자 수 또는 로그인 수에 따라 결과를 표시할지 여부를 선택합니다. 개별 사용자는 지정된 시간 범위 동안 다양한 결과를 가진 많은 앱에 수백 개의 로그인을 가질 수 있습니다. 데이터 보기를 사용자로 선택하면 사용자가 성공 및 실패 수 모두에 포함될 수 있습니다. 예를 들어 사용자가 10명인 경우 그 중 8명이 지난 30일 동안 성공한 결과일 수 있으며 그 중 9개는 지난 30일 동안 오류가 발생할 수 있습니다.

영향 요약

매개 변수가 설정되면 영향 요약이 로드됩니다. 요약은 선택한 정책을 평가할 때 시간 범위 동안 성공, 실패, 사용자 작업 필요 또는 적용되지 않음이 발생한 사용자 또는 로그인 수를 보여 줍니다.

Screenshot showing an example impact summary in the Conditional Access workbook.

합계: 해당 기간 동안 선택한 정책 중 하나 이상이 평가된 사용자 또는 로그인 수입니다.

성공: 해당 기간 동안 선택한 정책의 복합적인 결과가 성공 또는 보고 전용: 성공인 사용자 또는 로그인 수입니다.

실패: 해당 기간 동안 선택한 정책 중 하나 이상의 결과가 실패 또는 보고 전용: 실패인 사용자 또는 로그인 수입니다.

사용자 작업 필요: 해당 기간 동안 선택한 정책의 복합적인 결과가 보고 전용: 사용자 작업 필요인 사용자 또는 로그인 수입니다. 다단계 인증과 같은 대화형 승인 제어가 필요한 경우 사용자 작업이 필요합니다. 대화형 권한 부여 제어는 보고 전용 정책에 의해 적용되지 않으므로 성공 또는 실패를 결정할 수 없습니다.

적용되지 않음: 선택한 정책이 적용되지 않은 기간 동안의 사용자 또는 로그인 수입니다.

영향의 이해

Screenshot showing a workbook breakdown per condition and status.

각 조건에 대해 사용자 또는 로그인의 분석을 볼 수 있습니다. 통합 문서 맨 위의 요약 타일을 선택하여 특정 결과(예: 성공 또는 실패)의 로그인을 필터링할 수 있습니다. 각 조건부 액세스 조건(디바이스 상태, 디바이스 플랫폼, 클라이언트 앱, 위치, 애플리케이션 로그인 위험)에 대해 로그인 분석을 볼 수 있습니다.

로그인 세부 정보

Screenshot showing workbook sign-in details.

대시보드 아래쪽에서 로그인을 검색하여 특정 사용자의 로그인을 조사할 수도 있습니다. 쿼리는 가장 자주 사용하는 사용자를 표시합니다. 사용자를 선택하면 쿼리가 필터링됩니다.

참고 항목

로그인 로그를 다운로드할 때 JSON 형식을 선택하여 조건부 액세스 보고 전용 결과 데이터를 포함합니다.

보고 전용 모드로 조건부 액세스 정책 구성

보고 전용 모드로 조건부 액세스 정책을 구성하려면 다음을 수행합니다.

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. 보호>조건부 액세스로 이동합니다.
  3. 기존 정책을 선택하거나 새 정책을 만듭니다.
  4. 정책 사용에서 보고 전용 모드로 전환합니다.
  5. 저장을 선택합니다.

기존 정책의 정책 사용 상태를 켜짐에서 보고 전용으로 편집하면 기존 정책 적용을 사용하지 않습니다.

문제 해결

권한 오류로 인해 쿼리가 실패하는 이유는 무엇입니까?

통합 문서에 액세스하기 위해서는 Microsoft Entra ID 및 Log Analytics에서 적절한 권한이 필요합니다. 샘플 로그 분석 쿼리를 실행하여 적절한 작업 영역 권한이 있는지 테스트하려면 다음을 수행합니다.

  1. Microsoft Entra 관리 센터보안 읽기 권한자 이상의 권한으로 로그인합니다.
  2. ID>모니터링 및 상태>Log Analytics로 찾습니다.
  3. 쿼리 상자에 SigninLogs를 입력하고 실행을 선택합니다.
  4. 쿼리가 결과를 반환하지 않으면 작업 영역이 올바르게 구성되지 않을 수 있습니다.

Screenshot showing how to troubleshoot failing queries.

Microsoft Entra 로그인 로그를 Log Analytics 작업 영역으로 스트리밍하는 방법에 대한 자세한 내용은 Microsoft Entra 로그를 Azure Monitor 로그와 통합 문서를 참조하세요.

통합 문서의 쿼리가 실패하는 이유는 무엇입니까?

잘못된 작업 영역 또는 여러 작업 영역이 통합 문서와 연결된 경우 쿼리가 실패하는 경우가 있습니다. 이 문제를 해결하려면 통합 문서 상단에서 편집을 선택한 다음 설정 기어를 선택합니다. 통합 문서와 연결되지 않은 작업 영역을 선택한 다음 제거합니다. 각 통합 문서와 연결된 작업 영역은 하나만 있어야 합니다.

조건부 액세스 정책 매개 변수가 비어 있는 이유는 무엇입니까?

정책 목록은 가장 최근의 로그인 이벤트에 대해 평가된 정책을 확인하여 생성됩니다. 테넌트에 최근 로그인이 없는 경우 통합 문서가 조건부 액세스 정책 목록을 로드할 때까지 몇 분 정도 기다려야 할 수 있습니다. Log Analytics를 구성한 직후 또는 테넌트에 최근 로그인 작업이 없는 경우 빈 결과가 발생할 수 있습니다.

통합 문서를 로드하는 데 시간이 오래 걸리는 이유는 무엇인가요?

선택한 시간 범위와 테넌트 크기에 따라 통합 문서에서 매우 많은 수의 로그인 이벤트를 평가할 수 있습니다. 대규모 테넌트에서 로그인 볼륨이 Log Analytics의 쿼리 용량을 초과할 수 있습니다. 시간 범위를 4시간으로 단축한 다음 통합 문서가 로드되는지 확인합니다.

몇 분 동안 로드한 후에 통합 문서가 0개의 결과를 반환하는 이유는 무엇인가요?

로그인 볼륨이 Log Analytics의 쿼리 용량을 초과하면 통합 문서가 0개의 결과를 반환합니다. 시간 범위를 4시간으로 단축한 다음 통합 문서가 로드되는지 확인합니다.

매개 변수 선택 사항을 저장할 수 있나요?

ID>모니터링 및 상태>통합 문서 조건부 Access Insights>및 보고이동하여 통합 문서의 맨 위에 매개 변수 선택을 저장할 수 있습니다. 여기에서 통합 문서를 편집하고 내 보고서 또는 공유 보고서에 매개 변수 선택 사항을 포함하여 작업 영역의 복사본을 저장할 수 있는 통합 문서 템플릿을 찾을 수 있습니다.

다른 쿼리로 통합 문서를 편집하고 사용자 지정할 수 있나요?

ID>모니터링 및 상태>통합 문서 조건부 액세스 인사이트 및 보고이동하여 통합 문서를>편집하고 사용자 지정할 수 있습니다. 여기에서 통합 문서를 편집하고 내 보고서 또는 공유 보고서에 매개 변수 선택 사항을 포함하여 작업 영역의 복사본을 저장할 수 있는 통합 문서 템플릿을 찾을 수 있습니다. 쿼리 편집을 시작하려면 통합문서 상단에서 편집을 선택합니다.