연속 액세스 평가 모니터링 및 문제 해결

  • 아티클

관리자는 CAE(지속적 액세스 평가)가 여러 가지 방법으로 적용되는 로그인 이벤트를 모니터링하고 문제를 해결할 수 있습니다.

지속적인 액세스 평가 로그인 보고

관리자는 CAE(지속적인 액세스 권한 평가)가 적용되는 사용자 로그인을 모니터링할 수 있습니다. 이 정보는 Microsoft Entra 로그인 로그에서 찾을 수 있습니다.

  1. Microsoft Entra 관리 센터보안 읽기 권한자 이상의 권한으로 로그인합니다.
  2. ID>모니터링 및 상태>로그인 로그로 찾습니다.
  3. CAE 토큰임 필터를 적용합니다.

Screenshot showing how to add a filter to the sign-in log to see where CAE is being applied or not.

여기서 관리자에게 사용자의 로그인 이벤트에 대한 정보가 표시됩니다. 로그인을 선택하여 적용된 조건부 액세스 정책 및 CAE가 사용하도록 설정되었는지와 같은 세션에 대한 세부 정보를 확인합니다.

각 인증에 대해 여러 로그인 요청이 있습니다. 일부는 대화형 탭에 있고 다른 탭은 비대화형 탭에 있습니다. CAE는 대화형 탭 또는 비대화형 탭에 있을 수 있는 요청 중 하나에 대해서만 true로 표시됩니다. 관리 두 탭을 검사 사용자의 인증이 CAE를 사용하도록 설정되었는지 여부를 확인해야 합니다.

특정 로그인 시도 검색

로그인 로그에는 성공 및 실패 이벤트에 대한 정보가 포함됩니다. 필터를 사용하여 검색 범위를 좁힙니다. 예를 들어 사용자가 Teams에 로그인한 경우 [애플리케이션] 필터를 사용하여 이를 Teams로 설정합니다. 관리 대화형 및 비대화형 탭에서 로그인을 검사 특정 로그인을 찾아야 할 수 있습니다. 검색 범위를 더 좁히기 위해 관리자는 여러 필터를 적용할 수 있습니다.

지속적인 액세스 평가 통합 문서

지속적인 액세스 평가 인사이트 통합 문서를 사용하면 관리자가 테넌트에 대한 CAE 사용 인사이트를 보고 모니터링할 수 있습니다. 테이블에는 IP가 일치하지 않는 인증 시도가 표시됩니다. 이 통합 문서는 조건부 액세스 범주 아래에서 템플릿으로 찾을 수 있습니다.

CAE 통합 문서 템플릿 액세스

통합 문서가 표시되기 전에 Log Analytics 통합을 완료해야 합니다. Microsoft Entra 로그인 로그를 Log Analytics 작업 영역으로 스트리밍하는 방법에 대한 자세한 내용은 Microsoft Entra 로그를 Azure Monitor 로그와 통합 문서를 참조하세요.

  1. Microsoft Entra 관리 센터보안 읽기 권한자 이상의 권한으로 로그인합니다.
  2. ID>모니터링 및 상태>통합 문서로 찾습니다.
  3. 퍼블릭 템플릿 아래에서 지속적 액세스 평가 인사이트를 검색합니다.

지속적 액세스 평가 인사이트 통합 문서에는 다음 테이블이 포함되어 있습니다.

Microsoft Entra ID와 리소스 공급자 간의 잠재적인 IP 주소 불일치

Microsoft Entra ID 및 리소스 공급자 테이블 간의 잠재적 IP 주소 불일치를 통해 관리자는 Microsoft Entra ID에서 검색된 IP 주소가 리소스 공급자가 검색한 IP 주소와 일치하지 않는 세션을 조사할 수 있습니다.

이 통합 문서 테이블은 해당 IP 주소와 세션 중에 CAE 토큰이 발급되었는지 여부를 표시하여 이러한 시나리오를 조명합니다.

로그인당 지속적인 액세스 평가 인사이트

통합 문서의 로그인 페이지당 지속적인 액세스 평가 인사이트는 로그인 로그의 여러 요청을 연결하고 CAE 토큰이 발급된 단일 요청을 표시합니다.

이 통합 문서는 예를 들어 사용자가 데스크톱에서 Outlook 열고 Exchange Online 내부의 리소스에 액세스하려고 할 때 유용할 수 있습니다. 이 로그인 작업은 로그에서 여러 대화형 및 비대화형 로그인 요청에 매핑되어 문제를 진단하기 어렵게 만들 수 있습니다.

IP 주소 구성

ID 공급자 및 리소스 공급자는 다른 IP 주소를 볼 수 있습니다. 이 불일치는 다음 예제로 인해 발생할 수 있습니다.

  • 네트워크에서 분할 터널링을 구현합니다.
  • 리소스 공급자는 IPv6 주소를 사용하고 있으며 Microsoft Entra ID는 IPv4 주소를 사용하고 있습니다.
  • 네트워크 구성으로 인해 Microsoft Entra ID는 클라이언트에서 하나의 IP 주소를 확인하고 리소스 공급자는 클라이언트에서 다른 IP 주소를 확인합니다.

이 시나리오가 사용자 환경에 존재하는 경우 무한 루프를 방지하기 위해 Microsoft Entra ID는 1시간 CAE 토큰을 발급하고 해당 1시간 동안 클라이언트 위치 변경을 적용하지 않습니다. 이 경우에도 클라이언트 위치 변경 이벤트 외의 다른 이벤트를 계속 평가하므로 기존의 1시간 토큰에 비해 보안이 향상됩니다.

관리자는 시간 범위 및 애플리케이션별로 필터링된 레코드를 볼 수 있습니다. 관리자는 검색된 불일치 IP 수와 지정된 기간 동안의 총 로그인 수를 비교할 수 있습니다.

사용자의 차단을 해제하기 위해 관리자는 특정 IP 주소를 신뢰할 수 있는 명명된 위치에 추가할 수 있습니다.

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. 보호>조건부 액세스>명명된 위치로 이동합니다. 여기서는 신뢰할 수 있는 IP 위치를 만들거나 업데이트할 수 있습니다.

참고 항목

P 주소를 신뢰할 수 있는 명명된 위치로 추가하기 전에 IP 주소가 실제로 의도한 조직에 속하는지 확인합니다.

명명된 위치에 대한 자세한 내용은 위치 조건 사용 문서를 참조하세요.

관련 콘텐츠