Azure Active Directory 포털의 로그인 작업 보고서Sign-in activity reports in the Azure Active Directory portal

Azure AD(Azure Active Directory)의 보고 아키텍처는 다음 구성 요소로 구성됩니다.The reporting architecture in Azure Active Directory (Azure AD) consists of the following components:

  • 활동Activity
    • 로그인 – 관리되는 애플리케이션 및 사용자 로그인 활동의 사용량에 대한 정보입니다.Sign-ins – Information about the usage of managed applications and user sign-in activities.
    • 감사 로그 - 감사 로그 는 사용자 및 그룹 관리, 관리 되는 응용 프로그램 및 디렉터리 작업에 대 한 시스템 작업 정보를 제공 합니다.Audit logs - Audit logs provide system activity information about users and group management, managed applications, and directory activities.
    • 프로 비전 로그 - 프로 비전 로그 를 통해 고객은 ServiceNow에서 그룹 만들기 또는 Workday에서 가져온 사용자와 같은 프로 비전 서비스의 작업을 모니터링할 수 있습니다.Provisioning logs - Provisioning logs allow customers to monitor activity by the provisioning service, such as the creation of a group in ServiceNow or a user imported from Workday.
  • 보안Security
    • 위험한 로그인 - 위험한 로그인 은 사용자 계정의 합법적인 소유자가 아닌 사용자의 로그인 시도에 대 한 표시기입니다.Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt by someone who isn't the legitimate owner of a user account.
    • 위험 플래그가 지정된 사용자 - 위험한 사용자는 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

이 문서에서는 로그인 보고서의 개요를 제공 합니다.This article gives you an overview of the sign-ins report.

필수 구성 요소Prerequisites

데이터에 액세스할 수 있는 사용자는 누구인가요?Who can access the data?

  • 보안 관리자, 보안 읽기 권한자, 전역 읽기 권한자 및 보고서 구독자 역할의 사용자Users in the Security Administrator, Security Reader, Global Reader, and Report Reader roles
  • 글로벌 관리자Global Administrators
  • 모든 사용자(비관리자)가 자신의 로그인에 액세스할 수 있습니다.Any user (non-admins) can access their own sign-ins

로그인 작업에 액세스하는 데 필요한 Azure AD 라이선스는 무엇인가요?What Azure AD license do you need to access sign-in activity?

로그인 활동 보고서는 모든 버전의 AZURE AD 에서 사용할 수 있으며 Microsoft Graph API를 통해 액세스할 수도 있습니다.The sign-in activity report is available in all editions of Azure AD and can also be accessed through the Microsoft Graph API.

로그인 보고서Sign-ins report

사용자 로그인 보고서는 다음과 같은 질문에 대한 답변을 제공합니다.The user sign-ins report provides answers to the following questions:

  • 사용자의 로그인 패턴이란?What is the sign-in pattern of a user?
  • 한 주 동안 얼마나 많은 사용자가 로그인했나요?How many users have signed in over a week?
  • 이러한 로그인의 상태란?What’s the status of these sign-ins?

Azure Portal 메뉴에서 Azure Active Directory 를 선택 하거나 모든 페이지에서 Azure Active Directory 을 검색 하 여 선택 합니다.On the Azure portal menu, select Azure Active Directory , or search for and select Azure Active Directory from any page.

Azure Active Directory 선택Select Azure Active Directory

모니터링 에서 로그인 을 선택 하 여 로그인 보고서를 엽니다.Under Monitoring , select Sign-ins to open the Sign-ins report.

모니터링 메뉴에서 선택한 로그인을 보여 주는 스크린샷Screenshot shows Sign-ins selected from the Monitoring menu.

일부 로그인 레코드가 포털에 표시 되는 데 최대 2 시간이 걸릴 수 있습니다.It may take up to two hours for some sign-in records to show up in the portal.

중요

로그인 보고서에는 대화형 로그인, 즉 사용자 이름과 암호를 사용하는 수동 로그인만 표시됩니다.The sign-ins report only displays the interactive sign-ins, that is, sign-ins where a user manually signs in using their username and password. 비대화형 로그인(서비스 간 인증)은 로그인 보고서에 표시되지 않습니다.Non-interactive sign-ins, such as service-to-service authentication, are not displayed in the sign-ins report.

로그인 로그에는 다음 항목을 보여주는 기본 목록 보기가 있습니다.A sign-ins log has a default list view that shows:

  • 로그인 날짜The sign-in date
  • 관련된 사용자The related user
  • 사용자가 로그인 한 응용 프로그램The application the user has signed in to
  • 로그인 상태The sign-in status
  • 위험 검색 상태The status of the risk detection
  • MFA(Multi-Factor Authentication) 요구 사항 상태The status of the multi-factor authentication (MFA) requirement

Office 365 SharePoint Online 로그인을 보여 주는 스크린샷Screenshot shows the Office 365 SharePoint Online Sign-ins.

도구 모음에서 을 클릭 하 여 목록 보기를 사용자 지정할 수 있습니다.You can customize the list view by clicking Columns in the toolbar.

스크린샷 로그인 페이지의 열 옵션을 보여 줍니다.Screenshot shows the Columns option in the Sign-ins page.

대화 상자를 사용 하 여 선택 가능한 특성에 액세스할 수 있습니다.The Columns dialog gives you access to the selectable attributes. 로그인 보고서에는 지정 된 로그인 요청에 대해 둘 이상의 값이 있는 필드를 열로 사용할 수 없습니다.In a sign-in report, you can't have fields that have more than one value for a given sign-in request as column. 예를 들어 인증 정보, 조건부 액세스 데이터 및 네트워크 위치에 대해 true입니다.This is, for example, true for authentication details, conditional access data and network location.

특성을 선택할 수 있는 열 대화 상자를 보여 주는 스크린샷Screenshot shows the Columns dialog box where you can select attributes.

자세한 정보를 가져오려면 목록 보기에서 항목을 선택합니다.Select an item in the list view to get more detailed information.

자세한 정보 보기를 보여 주는 스크린샷Screenshot shows a detailed information view.

참고

이제 고객은 모든 로그인 보고서를 통해 조건부 액세스 정책의 문제를 해결할 수 있습니다.Customers can now troubleshoot Conditional Access policies through all sign-in reports. 고객은 로그인 레코드에 대 한 조건부 액세스 탭을 클릭 하 여 조건부 액세스 상태를 검토 하 고 로그인에 적용 된 정책과 각 정책에 대 한 결과에 대 한 세부 정보를 확인할 수 있습니다.By clicking on the Conditional Access tab for a sign-in record, customers can review the Conditional Access status and dive into the details of the policies that applied to the sign-in and the result for each policy. 자세한 내용은 모든 로그인의 CA 정보에 대한 질문과 대답을 참조하세요.For more information, see the Frequently asked questions about CA information in all sign-ins.

로그인 활동 필터링Filter sign-in activities

먼저 보고 된 데이터를 자신에 게 적합 한 수준으로 축소 합니다.First, narrowing down the reported data to a level that works for you. 둘째, 날짜 필드를 기본 필터로 사용 하 여 로그인 데이터를 필터링 합니다.Second, filter sign-ins data using date field as default filter. Azure AD는 설정할 수 있는 광범위 한 추가 필터를 제공 합니다.Azure AD provides you with a broad range of additional filters you can set:

스크린샷 필터 추가 옵션을 보여 줍니다.Screenshot shows the Add filters option.

요청 id -관심 있는 요청의 ID입니다.Request ID - The ID of the request you care about.

사용자 -관심 있는 사용자의 이름 또는 UPN (사용자 계정 이름)입니다.User - The name or the user principal name (UPN) of the user you care about.

응용 프로그램 -대상 응용 프로그램의 이름입니다.Application - The name of the target application.

상태 -관심 있는 로그인 상태:Status - The sign-in status you care about:

  • SuccessSuccess

  • 실패Failure

  • 장애가Interrupted

Ip 주소 -테 넌 트에 연결 하는 데 사용 되는 장치의 ip 주소입니다.IP address - The IP address of the device used to connect to your tenant.

위치 -연결이 시작 된 위치입니다.The Location - The location the connection was initiated from:

  • 구/군/시City

  • 시/도State / Province

  • 국가/지역Country/Region

리소스 -로그인에 사용 되는 서비스의 이름입니다.Resource - The name of the service used for the sign-in.

리소스 id -로그인에 사용 되는 서비스의 id입니다.Resource ID - The ID of the service used for the sign-in.

클라이언트 앱 -테 넌 트에 연결 하는 데 사용 되는 클라이언트 앱의 유형입니다.Client app - The type of the client app used to connect to your tenant:

클라이언트 앱 필터

NameName 최신 인증Modern authentication 설명Description
인증 된 SMTPAuthenticated SMTP POP 및 IMAP 클라이언트에서 전자 메일 메시지를 보내는 데 사용 됩니다.Used by POP and IMAP client's to send email messages.
자동 검색Autodiscover Outlook 및 EAS 클라이언트에서 Exchange Online의 사서함을 찾아 연결 하는 데 사용 됩니다.Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
Exchange ActiveSyncExchange ActiveSync 이 필터는 EAS 프로토콜이 시도 된 모든 로그인 시도를 표시 합니다.This filter shows all sign-in attempts where the EAS protocol has been attempted.
브라우저Browser 파란색 확인 표시 웹 브라우저를 사용 하 여 사용자의 모든 로그인 시도를 표시 합니다.Shows all sign-in attempts from users using web browsers
Exchange ActiveSyncExchange ActiveSync Exchange ActiveSync를 사용 하 여 Exchange Online에 연결 하는 클라이언트 앱이 있는 사용자의 모든 로그인 시도를 표시 합니다.Shows all sign-in attempts from users with client apps using Exchange ActiveSync to connect to Exchange Online
Exchange Online PowerShellExchange Online PowerShell 원격 PowerShell을 사용 하 여 Exchange Online에 연결 하는 데 사용 됩니다.Used to connect to Exchange Online with remote PowerShell. Exchange Online PowerShell에 대 한 기본 인증을 차단 하는 경우 Exchange Online PowerShell 모듈을 사용 하 여 연결 해야 합니다.If you block basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell module to connect. 자세한 내용은 다단계 인증을 사용하여 Exchange Online PowerShell에 연결을 참조하세요.For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.
Exchange 웹 서비스Exchange Web Services Outlook, Mac 용 Outlook 및 타사 앱에서 사용 하는 프로그래밍 인터페이스입니다.A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
IMAP4IMAP4 전자 메일을 검색 하는 데 IMAP를 사용 하는 레거시 메일 클라이언트입니다.A legacy mail client using IMAP to retrieve email.
HTTP를 통한 MAPIMAPI over HTTP Outlook 2010 이상에서 사용 됩니다.Used by Outlook 2010 and later.
모바일 앱 및 데스크톱 클라이언트Mobile apps and desktop clients 파란색 확인 표시 모바일 앱 및 데스크톱 클라이언트를 사용 하는 사용자의 로그인 시도를 모두 표시 합니다.Shows all sign-in attempts from users using mobile apps and desktop clients.
오프 라인 주소록Offline Address Book Outlook에서 다운로드 하 여 사용 하는 주소 목록 컬렉션의 복사본입니다.A copy of address list collections that are downloaded and used by Outlook.
Outlook Anywhere (RPC over HTTP)Outlook Anywhere (RPC over HTTP) Outlook 2016 이전 버전에서 사용 됩니다.Used by Outlook 2016 and earlier.
Outlook 서비스Outlook Service Windows 10 용 메일 및 일정 앱에서 사용 됩니다.Used by the Mail and Calendar app for Windows 10.
POP3POP3 POP3를 사용 하 여 전자 메일을 검색 하는 레거시 메일 클라이언트입니다.A legacy mail client using POP3 to retrieve email.
보고 웹 서비스Reporting Web Services Exchange Online에서 보고서 데이터를 검색 하는 데 사용 됩니다.Used to retrieve report data in Exchange Online.
기타 클라이언트Other clients 클라이언트 앱이 포함 되어 있지 않거나 알 수 없는 사용자의 로그인 시도를 모두 표시 합니다.Shows all sign-in attempts from users where the client app is not included or unknown.

운영 체제-테 넌 트에 로그온 하는 데 사용 되는 장치에서 실행 중인 운영 체제입니다.Operating system - The operating system running on the device used sign-on to your tenant.

장치 브라우저 -브라우저에서 연결이 시작 된 경우이 필드를 사용 하 여 브라우저 이름을 기준으로 필터링 할 수 있습니다.Device browser - If the connection was initiated from a browser, this field enables you to filter by browser name.

상관 관계 id -활동의 상관 관계 id입니다.Correlation ID - The correlation ID of the activity.

조건부 액세스 -적용 된 조건부 액세스 규칙의 상태Conditional access - The status of the applied conditional access rules

  • 적용 되지 않음 : 로그인 하는 동안 사용자 및 응용 프로그램에 정책이 적용 되지 않습니다.Not applied : No policy applied to the user and application during sign-in.

  • 성공 : 로그인 하는 동안 사용자 및 응용 프로그램에 적용 되는 하나 이상의 조건부 액세스 정책 (반드시 다른 조건을 충족 하지는 않음)입니다.Success : One or more conditional access policies applied to the user and application (but not necessarily the other conditions) during sign-in.

  • 실패 : 로그인에서 하나 이상의 조건부 액세스 정책에 대 한 사용자 및 응용 프로그램 조건을 충족 하 고 grant 컨트롤이 충족 되지 않거나 액세스를 차단 하도록 설정 되었습니다.Failure : The sign-in satisfied the user and application condition of at least one Conditional Access policy and grant controls are either not satisfied or set to block access.

로그인 활동 다운로드Download sign-in activities

다운로드 옵션을 클릭 하 여 가장 최근 25만 레코드의 CSV 또는 JSON 파일을 만듭니다.Click the Download option to create a CSV or JSON file of the most recent 250,000 records. Azure Portal 외부에서 작업 하려는 경우 로그인 데이터 다운로드 로 시작 합니다.Start with download the sign-ins data if you want to work with it outside the Azure portal.

다운로드Download

중요

다운로드할 수 있는 레코드의 수는 Azure Active Directory 보고서 보존 정책에 의해 제한됩니다.The number of records you can download is constrained by the Azure Active Directory report retention policies.

로그인 데이터 바로 가기Sign-ins data shortcuts

Azure AD와 Azure Portal는 모두 로그인 데이터를 위한 추가 진입점을 제공 합니다.Azure AD and the Azure portal both provide you with additional entry points to sign-ins data:

  • ID 보안 보호 개요The Identity security protection overview
  • 사용자Users
  • 그룹Groups
  • Enterprise 애플리케이션Enterprise applications

ID 보안 보호에서 사용자 로그인 데이터Users sign-ins data in Identity security protection

Id 보안 보호 개요 페이지의 사용자 로그인 그래프에는 로그인의 주간 집계가 표시 됩니다. 기간의 기본값은 30 일입니다.The user sign-in graph in the Identity security protection overview page shows weekly aggregations of sign-ins. The default for the time period is 30 days.

스크린샷는 한 달 동안의 로그인 그래프를 보여 줍니다.Screenshot shows a graph of Sign-ins over a month.

로그인 그래프에서 한 날짜를 클릭하면 해당 날짜의 로그인 활동에 대한 개요가 표시됩니다.When you click on a day in the sign-in graph, you get an overview of the sign-in activities for this day.

로그인 활동 목록의 각 행에는 다음 내용이 표시됩니다.Each row in the sign-in activities list shows:

  • 누가 로그인했나요?Who has signed in?
  • 어떤 애플리케이션이 로그인할 대상이었나요?What application was the target of the sign-in?
  • 로그인의 상태는 어떻습니까?What is the status of the sign-in?
  • 로그인의 MFA 상태는 어떻습니까?What is the MFA status of the sign-in?

항목을 클릭하면 로그인 작업에 대한 세부 정보가 표시됩니다.By clicking an item, you get more details about the sign-in operation:

  • 사용자 IDUser ID
  • 사용자User
  • 사용자 이름Username
  • 애플리케이션 IDApplication ID
  • 애플리케이션Application
  • 클라이언트Client
  • 위치Location
  • IP 주소IP address
  • DateDate
  • 필요한 MFAMFA Required
  • 로그인 상태Sign-in status

참고

IP 주소는 IP 주소와 해당 주소가 실제로 연결된 컴퓨터 간에 확실한 연결이 없는 경우와 같은 방법으로 발급됩니다.IP addresses are issued in such a way that there is no definitive connection between an IP address and where the computer with that address is physically located. IP 주소 매핑은 클라이언트 디바이스가 실제로 사용되는 위치에서 종종 매우 먼 중앙 풀에서 모바일 공급자 또는 VPN이 IP 주소를 발급한다는 사실로 인해 복잡해집니다.Mapping IP addresses is complicated by the fact that mobile providers and VPNs issue IP addresses from central pools that are often very far from where the client device is actually used. 현재로서는 Azure AD 보고서에서 IP 주소를 실제 위치로 변환하는 것은 추적, 레지스트리 데이터, 역방향 조회 및 기타 정보를 바탕으로 하는 최상의 노력입니다.Currently in Azure AD reports, converting IP address to a physical location is a best effort based on traces, registry data, reverse look ups and other information.

사용자 페이지에서 활동 섹션의 로그인 을 클릭하면 모든 사용자 로그인에 대한 전체 개요가 표시됩니다.On the Users page, you get a complete overview of all user sign-ins by clicking Sign-ins in the Activity section.

스크린샷은 로그인을 선택할 수 있는 작업 섹션을 보여 줍니다.Screenshot shows the Activity section where you can select Sign-ins.

관리되는 애플리케이션의 사용량Usage of managed applications

로그인 데이터의 애플리케이션 중심 보기를 사용하여 다음과 같은 질문에 대답할 수 있습니다.With an application-centric view of your sign-in data, you can answer questions such as:

  • 누가 내 애플리케이션을 사용하나요?Who is using my applications?
  • 조직에서 상위 3 개의 응용 프로그램은 무엇 인가요?What are the top three applications in your organization?
  • 최신 응용 프로그램이 어떻게 작동 하나요?How is my newest application doing?

이 데이터에 대 한 진입점은 조직에서 상위 3 개의 응용 프로그램입니다.The entry point to this data is the top three applications in your organization. 데이터는 엔터프라이즈 응용 프로그램개요 섹션에 있는 지난 30 일 보고서 내에 포함 되어 있습니다.The data is contained within the last 30 days report in the Overview section under Enterprise applications .

개요를 선택할 수 있는 위치를 보여 주는 스크린샷Screenshot shows where you can select Overview.

앱 사용 그래프에는 지정 된 기간 동안 상위 3 개 응용 프로그램에 대 한 로그인의 주간 집계가 있습니다.The app-usage graphs weekly aggregations of sign-ins for your top three applications in a given time period. 시간에 대한 기본값은 30일입니다.The default for the time period is 30 days.

스크린샷 1 개월 동안의 앱 사용량을 보여 줍니다.Screenshot shows the App usage for a one month period.

원하면 특정 애플리케이션에 포커스를 설정할 수 있습니다.If you want to, you can set the focus on a specific application.

보고Reporting

앱 사용량 그래프에서 날짜를 클릭하면 로그인 활동의 자세한 목록이 표시됩니다.When you click on a day in the app usage graph, you get a detailed list of the sign-in activities.

로그인 옵션을 선택하면 애플리케이션에 대한 모든 로그인 이벤트의 전체적인 개요를 보여 줍니다.The Sign-ins option gives you a complete overview of all sign-in events to your applications.

활동 로그 Microsoft 365Microsoft 365 activity logs

Microsoft 365 관리 센터에서 Microsoft 365 활동 로그를 볼 수 있습니다.You can view Microsoft 365 activity logs from the Microsoft 365 admin center. Microsoft 365 활동 및 Azure AD 활동 로그가 많은 디렉터리 리소스를 공유 한다는 점을 고려해 야 합니다.Consider the point that, Microsoft 365 activity and Azure AD activity logs share a significant number of the directory resources. Microsoft 365 관리 센터 에서만 Microsoft 365 활동 로그에 대 한 전체 보기를 제공 합니다.Only the Microsoft 365 admin center provides a full view of the Microsoft 365 activity logs.

Office 365 관리 api를 사용 하 여 프로그래밍 방식으로 Microsoft 365 활동 로그에 액세스할 수도 있습니다.You can also access the Microsoft 365 activity logs programmatically by using the Office 365 Management APIs.

다음 단계Next steps