Microsoft Entra 시나리오에 대한 로그인 진단

  • 아티클

Microsoft Entra ID의 로그인 진단을 사용하여 로그인 시도 중 발생한 상황을 분석하고 Microsoft 지원을 받지 않고도 문제를 해결할 수 있는 권장 사항을 얻을 수 있습니다.

이 문서에서는 이 도구를 사용할 때 식별하고 해결할 수 있는 시나리오 유형을 개략적으로 설명합니다.

로그인 진단에 액세스하는 방법

로그인 진단 도구에는 진단 및 문제 해결 영역을 통해, Microsoft Entra 로그인 로그를 사용하여, 새 지원 요청을 만들 때 등의 세 가지 방법으로 액세스할 수 있습니다. 자세한 내용은 로그인 진단을 사용하는 방법을 참조하세요.

조건부 액세스

조직을 안전하게 유지하기 위해 필요한 경우 조건부 액세스 정책을 사용하여 올바른 액세스 제어를 적용합니다. 조건부 액세스 정책을 사용하여 리소스에 대한 액세스 권한을 부여하거나 차단할 수 있으므로 로그인 진단에 이 정책이 표시되는 경우가 많습니다.

다단계 인증

로그인 진단 도구를 사용하여 문제를 해결할 수 있는 몇 가지 MFA 관련 이벤트가 있습니다.

다른 요구 사항의 MFA

로그인 진단 결과에 조건부 액세스 이외의 요구 사항에서 MFA가 표시된 경우 사용자별로 MFA를 사용하도록 설정했을 수 있습니다. 사용자별 MFA를 조건부 액세스로 전환하는 것이 좋습니다. 로그인 진단에 MFA 중단의 원인과 상호 작용의 결과에 대한 세부 정보가 제공됩니다.

MFA "proofup"

또 다른 일반적인 시나리오는 MFA에서 로그인 시도를 중단할 때입니다. 로그인 진단을 실행하면 진단 결과에 "proofup"에 대한 정보가 제공됩니다. 이 오류는 사용자가 처음으로 MFA를 설정할 때 설정을 완료하지 않거나 구성이 미리 설정되지 않은 경우에 발생합니다.

Screenshot of the diagnostic results for MFA proofup.

잘못된 자격 증명 수정

사용자가 잘못된 자격 증명을 입력하는 경우가 있습니다. 로그인 진단 도구는 사용자 오류와 기타 문제를 구분하는 데 도움이 될 수 있습니다.

로그인 완료

경우에 따라 로그인 이벤트가 중단되어야 하지만 조건부 액세스 또는 MFA에 의해 중단되지 않았는지 알고 싶을 수 있습니다. 로그인 진단 도구에서는 중단해야 하지만 중단되지 않는 로그인 이벤트에 대한 세부 정보를 제공합니다.

계정이 잠김

또 다른 일반적인 시나리오는 사용자가 잘못된 자격 증명으로 로그인을 너무 많이 시도하는 경우입니다. 이 오류는 잘못된 자격 증명으로 너무 많은 암호 기반 로그인 시도가 발생한 경우에 발생합니다. 진단 결과에서는 관리자가 시도의 출처와 합법적인 사용자 로그인 시도인지 여부를 확인하는 데 필요한 정보를 제공합니다. 로그인 진단을 실행하면 앱, 시도 횟수, 사용된 디바이스, 운영 체제, IP 주소 등에 관한 세부 정보가 제공됩니다. 자세한 내용은 Microsoft Entra Smart Lockout을 참조하세요.

잘못된 사용자 이름 또는 암호

사용자가 잘못된 사용자 이름 또는 암호를 사용하여 로그인을 시도한 경우 로그인 진단을 실행하면 관리자가 문제의 원인을 확인하는 데 도움이 됩니다. 사용자가 잘못된 자격 증명을 입력하거나 이전 암호가 캐시된 클라이언트 및/또는 애플리케이션에서 잘못된 암호를 다시 제출하는 것 등이 원인일 수 있습니다. 로그인 진단에서는 앱, 시도 횟수, 사용된 디바이스, 운영 체제, IP 주소 등에 관한 세부 정보를 제공합니다.

엔터프라이즈 앱

엔터프라이즈 애플리케이션에는 문제가 발생할 수 있는 두 가지 지점이 있습니다.

  • ID 공급자(Microsoft Entra ID) 애플리케이션 구성
  • 서비스 공급자(애플리케이션 서비스, SaaS 애플리케이션이라고도 함) 구성

이러한 문제의 진단에서는 해결을 위해 확인해야 하는 문제의 측면과 수행할 작업을 다룹니다.

엔터프라이즈 앱 서비스 공급자

사용자가 애플리케이션에 로그인하려고 할 때 오류가 발생한 경우 로그인 흐름의 서비스 공급자(애플리케이션) 쪽에 문제가 있어 로그인에 실패한 것입니다. 로그인 진단으로 검색된 문제는 일반적으로 애플리케이션 서비스에서 구성을 변경하거나 문제를 수정하여 해결해야 합니다. 이 시나리오의 해결을 위해서는 다른 서비스에 로그인하고 진단 지침에 따라 일부 구성을 변경해야 함을 의미합니다.

엔터프라이즈 앱 구성

애플리케이션의 Microsoft Entra ID 쪽에 대한 애플리케이션 구성 문제로 인해 로그인이 실패할 수 있습니다. 이런 상황을 해결하려면 애플리케이션의 엔터프라이즈 애플리케이션 페이지에서 애플리케이션 구성을 검토하고 업데이트해야 합니다.

기타 시나리오

로그인 진단도 다양한 시나리오에서 사용할 수 있습니다.

보안 기본값

보안 기본 설정으로 인해 로그인 이벤트가 중단될 수 있습니다. 보안 기본값은 조직에 모범 사례 보안을 적용합니다. 하나의 모범 사례로 MFA를 구성하여 암호 스프레이, 리플레이 공격 및 피싱 시도가 성공하지 못하게 하는 데 사용하도록 할 수 있습니다.

자세한 내용은 보안 기본값이란?을 참조하세요.

오류 코드 인사이트

이벤트에 로그인 진단에 상황별 분석이 없는 경우 업데이트된 오류 코드 설명 및 관련 콘텐츠가 표시될 수 있습니다. 오류 코드 인사이트에는 시나리오에 관한 자세한 텍스트, 문제 해결 방법, 문제와 관련하여 참조할 콘텐츠가 포함됩니다.

레거시 인증

이 시나리오에는 클라이언트가 레거시(또는 기본) 인증을 사용하려고 했기 때문에 차단되거나 중단된 로그인 이벤트가 포함됩니다.

보안을 위해 레거시 인증 로그인을 방지하는 것이 좋습니다. POP, SMTP, IMAP, MAPI와 같은 레거시 인증 프로토콜은 MFA를 적용할 수 없으므로 악의적 사용자가 조직을 공격하기 위해 선호하는 진입점이 됩니다.

자세한 내용은 조건부 액세스를 사용하여 Microsoft Entra ID에 대한 레거시 인증을 차단하는 방법을 참조하세요.

조건부 액세스로 인한 B2B 차단된 로그인

이 진단 시나리오는 다른 조직의 사용자이기 때문에 차단되거나 중단된 로그인를 검색합니다. 예를 들어 B2B 로그인의 경우 조건부 액세스 정책에 따라 클라이언트의 디바이스가 리소스 테넌트에 조인되되어 있어야 합니다.

자세한 내용은 B2B 협업 사용자에 대한 조건부 액세스를 참조하세요.

위험 정책에 따라 차단됨

이 시나리오에서 ID 보호 정책은 로그인 시도가 위험한 것으로 식별되었기 때문에 로그인 시도를 차단합니다.

자세한 내용은 위험 정책을 구성하고 사용하도록 설정하는 방법을 참조하세요.

통과 인증

통과 인증은 온-프레미스 및 클라우드 인증 기술의 통합이므로 문제가 있는 위치를 파악하기 어려울 수 있습니다. 이 진단은 이러한 시나리오를 보다 쉽게 진단하고 해결할 수 있도록 하기 위한 것입니다.

이 진단 시나리오는 사용 중인 인증 방법이 PTA(통과 인증)이고 PTA 관련 오류가 있는 경우 사용자별 로그인 문제를 식별합니다. PTA 인증을 사용하는 경우에도 다른 문제로 인한 오류는 여전히 올바르게 진단됩니다.

진단 결과에는 오류 및 사용자 로그인에 대한 상황별 정보가 표시됩니다. 결과에 로그인이 실패한 다른 이유와 관리자가 문제를 해결하기 위해 수행할 수 있는 권장 작업이 표시될 수 있습니다. 자세한 내용은 Microsoft Entra Connect: 통과 인증 문제 해결을 참조하세요.

원활한 Single Sign-On

원활한 Single Sign-On은 Kerberos 인증을 클라우드 인증과 통합합니다. 이 시나리오에는 두 가지 인증 프로토콜이 포함되므로 로그인 문제가 발생하는 경우 오류 지점이 어디에 있는지 파악하기 어려울 수 있습니다. 이 진단은 이러한 시나리오를 보다 쉽게 진단하고 해결할 수 있도록 하기 위한 것입니다.

이 진단 시나리오는 로그인 오류 및 특정 오류 원인의 컨텍스트를 검사합니다. 진단 결과에는 로그인 시도에 대한 상황별 정보와 관리자가 수행할 수 있는 권장 작업이 포함될 수 있습니다. 자세한 내용은 Microsoft Entra Seamless Single Sign-On 문제 해결을 참조하세요.