Microsoft Entra 로그인 로그에서 적용된 조건부 액세스 정책 보기

  • 아티클

조건부 액세스 정책을 사용하면 사용자가 Azure 테넌트의 리소스에 액세스하는 방법을 제어할 수 있습니다. 테넌트 관리자는 필요한 경우 작업을 수행할 수 있도록 조건부 액세스 정책에서 테넌트 로그인에 미치는 영향을 확인할 수 있어야 합니다.

Microsoft Entra ID의 로그인 로그는 정책의 효과를 평가하는 데 필요한 정보를 제공합니다. 이 문서에서는 해당 로그에서 적용된 조건부 액세스 정책을 보는 방법을 설명합니다.

필수 조건

로그인 로그에서 적용된 조건부 액세스 정책을 확인하려면 관리자에게 로그와 정책을 모두 볼 수 있는 권한이 있어야 합니다. 두 권한을 모두 부여하는 최소 권한의 기본 제공 역할은 보안 읽기 권한자입니다. 전역 관리자가 보안 읽기 권한자 역할을 관련 관리자 계정에 추가하는 것이 가장 좋습니다.

조건부 액세스 정책을 읽을 수 있는 권한을 부여하는 기본 제공 역할은 다음과 같습니다.

  • 보안 읽기 권한자
  • 전역 판독기
  • 보안 관리자
  • 조건부 액세스 관리자

로그인 로그를 볼 수 있는 권한을 부여하는 기본 제공 역할은 다음과 같습니다.

  • 보고서 읽기 권한자
  • 보안 읽기 권한자
  • 전역 판독기
  • 보안 관리자

클라이언트 앱에 대한 권한

클라이언트 앱을 사용하여 Microsoft Graph에서 로그인 로그를 가져오는 경우 앱에는 Microsoft Graph에서 appliedConditionalAccessPolicy 리소스를 받을 수 있는 권한이 필요합니다. 최소 권한이므로 Policy.Read.ConditionalAccess을(를) 할당하는 것이 가장 좋습니다.

클라이언트 앱이 Microsoft Graph를 통해 로그인 로그에 적용된 조건부 액세스 정책에 액세스하려면 다음 권한 중 하나면 충분합니다.

  • Policy.Read.ConditionalAccess
  • Policy.ReadWrite.ConditionalAccess
  • Policy.Read.All

PowerShell에 대한 권한

다른 클라이언트 앱과 마찬가지로 Microsoft Graph PowerShell 모듈에는 로그인 로그에서 적용된 조건부 액세스 정책에 액세스할 수 있는 클라이언트 권한이 필요합니다. 로그인 로그에서 적용된 조건부 액세스 정책을 성공적으로 가져오려면 Microsoft Graph PowerShell에 대한 관리자 계정을 사용하여 필요한 권한에 동의해야 합니다. 다음 권한에 동의하는 것이 가장 좋습니다.

  • Policy.Read.ConditionalAccess
  • AuditLog.Read.All
  • Directory.Read.All

다음 권한은 필요한 액세스 권한이 있는 최소 권한입니다.

  • 필요한 권한(Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All)에 동의하려면 다음을 수행합니다.
  • 로그인 로그(Get-MgAuditLogSignIn)를 보려면 다음을 수행합니다.

이 cmdlet에 대한 자세한 내용은 Get-MgAuditLogSignIn을 참조하세요.

조건부 액세스 및 로그인 로그 시나리오

Microsoft Entra 관리자는 로그인 로그를 사용하여 다음을 수행할 수 있습니다.

  • 로그인 문제를 해결합니다.
  • 기능 성능을 확인합니다.
  • 테넌트의 보안을 평가합니다.

일부 시나리오에서는 조건부 액세스 정책이 로그인 이벤트에 적용된 방법을 이해해야 합니다. 일반적인 예는 다음과 같습니다.

  • 기술 지원팀 관리자 - 정책이 사용자가 연 티켓의 근본 원인인지 이해하기 위해 적용된 조건부 액세스 정책을 확인해야 합니다.

  • 테넌트 관리자 - 조건부 액세스 정책이 테넌트 사용자에게 의도한 영향을 미치는지 확인해야 합니다.

Microsoft Entra 관리 센터, Azure Portal, Microsoft Graph 및 PowerShell을 사용하여 로그인 로그에 액세스할 수 있습니다.

Microsoft Entra 로그인 로그에서 조건부 액세스 정책 보기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

로그인 로그의 활동 세부 정보에는 여러 탭이 포함되어 있습니다. 조건부 액세스 탭에는 해당 로그인 이벤트에 적용된 조건부 액세스 정책 목록이 표시됩니다.

  1. 최소한 전역 읽기 권한자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>모니터링 및 상태>로그인 로그로 찾습니다.
  3. 테이블에서 로그인 항목을 선택하여 로그인 세부 정보 창을 봅니다.
  4. 조건부 액세스 탭을 선택합니다.

조건부 액세스 정책이 표시되지 않으면 로그인 로그와 조건부 액세스 정책 모두에 대한 액세스를 제공하는 역할을 사용하고 있는지 확인합니다.

다음 단계