Microsoft Entra 로그인 로그란?

  • 아티클

Microsoft Entra는 모든 로그인을 내부 앱 및 리소스를 포함하는 Azure 테넌트로 로깅합니다. IT 관리자는 로그 값을 올바르게 해석할 수 있도록 로그인 로그의 값을 알고 있어야 합니다.

로그인 오류 및 패턴을 검토하면 사용자가 애플리케이션 및 서비스에 액세스하는 방법에 대한 귀중한 인사이트를 얻을 수 있습니다. Microsoft Entra ID에서 제공하는 로그인 로그는 사용자가 분석할 수 있는 강력한 유형의 활동 로그입니다. 이 문서에서는 로그인 로그에 액세스하고 활용하는 방법을 설명합니다.

로그인 로그의 미리 보기 보기에는 대화형 및 비대화형 사용자 로그인뿐만 아니라 서비스 주체 및 관리 ID 로그인도 포함됩니다. 대화형 로그인만 포함하는 클래식 로그인 로그를 계속 볼 수 있습니다.

테넌트의 상태를 모니터링할 수 있도록 하는 두 개의 다른 활동 로그도 사용할 수 있습니다.

  • 감사 – 사용자 및 그룹 관리 또는 테넌트 리소스에 적용된 업데이트와 같이 테넌트에 적용된 변경 사항에 대한 정보입니다.
  • 프로비저닝 – ServiceNow의 그룹 생성 또는 Workday에서 가져온 사용자와 같이 프로비전 서비스에서 수행하는 활동입니다.

라이선스 및 역할 요구 사항

필요한 역할 및 라이선스는 보고서에 따라 다릅니다. Microsoft Graph의 모니터링 및 상태 데이터에 액세스하려면 별도의 권한이 필요합니다. 최소 권한 액세스 권한이 있는 역할을 사용하여 제로 트러스트 지침부합하는 것이 좋습니다.

로그/보고서 Roles 라이선스
감사 보고서 읽기 권한자
보안 읽기 권한자
보안 관리자
전역 판독기
 Microsoft Entra ID의 모든 버전
로그인 보고서 읽기 권한자
보안 읽기 권한자
보안 관리자
전역 판독기
 Microsoft Entra ID의 모든 버전
프로비저닝 보고서 읽기 권한자
보안 읽기 권한자
보안 관리자
전역 판독기
보안 운영자
애플리케이션 관리자
Cloud App 관리istrator
 Microsoft 엔트라 ID P1 또는 P2
사용자 지정 보안 특성 감사 로그* 특성 로그 관리자
특성 로그 판독기		 Microsoft Entra ID의 모든 버전
사용량 및 인사이트 보고서 읽기 권한자
보안 읽기 권한자
보안 관리자		 Microsoft 엔트라 ID P1 또는 P2
ID 보호** 보안 관리자
보안 운영자
보안 읽기 권한자
전역 판독기
 Microsoft Entra ID 무료
Microsoft 365 앱
Microsoft 엔트라 ID P1 또는 P2
Microsoft Graph 활동 로그 보안 관리자
해당 로그 대상의 데이터에 액세스할 수 있는 권한		 Microsoft 엔트라 ID P1 또는 P2

*감사 로그에서 사용자 지정 보안 특성을 보거나 사용자 지정 보안 특성에 대한 진단 설정을 만들려면 특성 로그 역할 중 하나가 필요합니다. 표준 감사 로그를 보려면 적절한 역할도 필요합니다.

**ID 보호에 대한 액세스 및 기능 수준은 역할 및 라이선스에 따라 다릅니다. 자세한 내용은 ID 보호에 대한 라이선스 요구 사항을 참조하세요.

로그인 로그로 무엇을 할 수 있나요?

로그인 로그를 사용하여 다음과 같은 질문에 대답할 수 있습니다.

  • 이번 주에 특정 애플리케이션에 로그인한 사용자 수
  • 지난 24시간 동안 실패한 로그인 시도는 몇 번입니까?
  • 사용자가 특정 브라우저 또는 운영 체제에서 로그인하고 있나요?
  • 관리 ID 및 서비스 주체가 액세스한 Azure 리소스는 무엇인가요?

다음 세부 정보를 식별하여 로그인 요청과 관련된 활동을 설명할 수도 있습니다.

  • 누가 – 로그인을 수행하는 ID(사용자)입니다.
  • 방법 – 로그인에 사용되는 클라이언트(애플리케이션)입니다.
  • 대상 – ID가 액세스하는 대상(리소스)입니다.

로그인 로그 유형은 무엇인가요?

로그인 로그 미리 보기에는 네 가지 유형의 로그가 있습니다.

  • 대화형 사용자 로그인
  • 비 대화형 사용자 로그인
  • 서비스 주체 로그인
  • 관리 ID 로그인

클래식 로그인 로그에는 대화형 사용자 로그인만 포함됩니다.

참고 항목

로그인 로그의 항목은 시스템에서 생성되며 변경하거나 삭제할 수 없습니다.

대화형 사용자 로그인

대화형 로그인은 사용자 수행합니다. Microsoft Entra ID에 인증 요소를 제공합니다. 이러한 인증 요소는 Microsoft Authenticator 앱과 같은 도우미 앱과도 상호 작용할 수 있습니다. 사용자는 Microsoft Entra ID 또는 도우미 앱에 암호, MFA 문제에 대한 응답, 생체 인식 요인 또는 QR 코드를 제공할 수 있습니다. 이 로그에는 Microsoft Entra ID에 페더레이션된 ID 공급자의 페더레이션된 로그인도 포함됩니다.

Screenshot of the interactive user sign-in log.

보고서 크기: 작음
예제:

  • 사용자는 Microsoft Entra 로그인 화면에서 사용자 이름과 암호를 제공합니다.
  • 사용자가 SMS MFA 문제를 전달합니다.
  • 사용자는 생체 인식 제스처를 제공하여 비즈니스용 Windows Hello가 설치된 Windows PC의 잠금을 해제합니다.
  • 사용자는 AD FS SAML 어설션을 사용하여 Microsoft Entra ID에 페더레이션됩니다.

기본 필드 외에도 대화형 로그인 로그에는 다음이 표시됩니다.

  • 로그인 위치
  • 조건부 액세스가 적용되었는지 여부

특별 고려 사항

대화형 로그인 로그의 비대화형 로그인

이전에는 더 나은 가시성을 위해 Microsoft Exchange 클라이언트의 일부 비대화형 로그인이 대화형 사용자 로그인 로그에 포함되었습니다. 이러한 향상된 가시성은 2020년 11월에 비대화형 사용자 로그인 로그가 도입되기 전에 필요했습니다. 그러나 FIDO2 키를 사용하는 것과 같은 일부 비대화형 로그인은 별도의 비대화형 로그가 도입되기 전에 시스템이 설정된 방식으로 인해 여전히 대화형으로 표시될 수 있습니다. 이러한 로그인은 기술적으로 비대화형 로그인인 경우에도 클라이언트 자격 증명 유형 및 브라우저 정보와 같은 대화형 세부 정보를 표시할 수 있습니다.

통과 로그인

Microsoft Entra ID는 인증 및 권한 부여에 대한 토큰을 발급합니다. 경우에 따라 Contoso 테넌트에 로그인한 사용자가 액세스할 수 없는 Fabrikam 테넌트의 리소스에 액세스하려고 할 수 있습니다. 통과 토큰이라고 하는 권한 부여 없음 토큰이 Fabrikam 테넌트에게 발급됩니다. 통과 토큰은 사용자가 리소스에 액세스할 수 없도록 합니다.

이전에는 이 상황에 대한 로그를 검토할 때 토큰이 클레임이 있는 리소스에 대한 액세스 권한을 부여하지 않았기 때문에 홈 테넌트(이 시나리오의 경우 Contoso)에 대한 로그인 로그가 로그인 시도를 표시하지 않았습니다. 로그인 토큰은 적절한 오류 메시지를 표시하는 데만 사용되었습니다.

이제 통과 로그인 시도가 홈 테넌트 로그인 로그와 모든 관련 테넌트 제한 로그인 로그에 표시됩니다. 이 업데이트는 사용자의 사용자 로그인 시도에 대한 가시성과 테넌트 제한 정책에 대한 심층적인 인사이트를 제공합니다.

이제 crossTenantAccessType 속성은 통과 로그인을 구분하는 passthrough을(를) 표시하며 Microsoft Entra 관리 센터와 Microsoft Graph에서 사용할 수 있습니다.

자사, 앱 전용 서비스 주체 로그인

서비스 주체 로그인 로그에는 자사의 앱 전용 로그인 작업이 포함되지 않습니다. 이러한 형식의 작업은 자사 앱이 사용자의 지시나 컨텍스트가 없는 내부 Microsoft 작업에 대한 토큰을 가져올 때 발생합니다. 테넌트 내의 내부 Microsoft 토큰과 관련된 로그에 대해 비용을 지불하지 않도록 이러한 로그를 제외합니다.

동일한 Log Analytics 작업 영역으로 라우팅 MicrosoftGraphActivityLogs 하는 경우 서비스 주체 로그인과 SignInLogs 상관 관계가 없는 Microsoft Graph 이벤트를 식별할 수 있습니다. 이 통합을 통해 Microsoft Graph API 호출을 위해 발급된 토큰을 로그인 작업과 상호 참조할 수 있습니다. 로그인 로그의 UniqueTokenIdentifier 및 Microsoft Graph 활동 로그의 SignInActivityId가 서비스 주체 로그인 로그에서 누락됩니다.

비 대화형 사용자 로그인

비대화형 로그인은 사용자를 대신하여 수행됩니다. 이러한 위임된 로그인은 사용자를 대신하여 클라이언트 앱 또는 OS 구성 요소에서 수행되었으며 사용자가 인증 요소를 제공할 필요가 없습니다. 대신 Microsoft Entra ID는 사용자의 토큰을 새로 고쳐야 하는 시기를 인식하고 사용자의 세션을 중단하지 않고 백그라운드에서 수행합니다. 일반적으로 사용자는 이러한 로그인이 백그라운드에서 발생하는 것으로 인식합니다.

Screenshot of the non-interactive user sign-in log.

보고서 크기:
예제:

  • 클라이언트 앱은 OAuth 2.0 새로 고침 토큰을 사용하여 액세스 토큰을 가져옵니다.
  • 클라이언트는 OAuth 2.0 인증 코드를 사용하여 액세스 토큰을 얻고 토큰을 새로 고칩니다.
  • 사용자는 인증 요소를 제공하거나 Microsoft Entra 프롬프트와 상호 작용하지 않고 Microsoft Entra 조인 PC에서 웹 또는 Windows 앱에 대해 SSO(Single Sign-On)를 수행합니다.
  • 사용자가 FOCI(클라이언트 ID 제품군)를 사용하여 모바일 디바이스에서 세션을 수행하는 동안 두 번째 Microsoft Office 앱에 로그인합니다.

기본 필드 외에도 비 대화형 로그인 로그에는 다음이 표시됩니다.

  • 리소스 ID
  • 그룹화된 로그인 수

이 보고서에 표시된 필드는 사용자 지정할 수 없습니다.

데이터를 보다 쉽게 요약하기 위해 비 대화형 로그인 이벤트가 그룹화됩니다. 클라이언트는 종종 짧은 기간에 동일한 사용자를 대신하여 많은 비 대화형 로그인을 생성합니다. 비대화형 로그인은 로그인을 시도한 시간을 제외하고 동일한 특성을 공유합니다. 예를 들어 클라이언트는 사용자를 대신하여 시간당 한 번씩 액세스 토큰을 가져올 수 있습니다. 사용자 또는 클라이언트 상태를 변경하지 않으면 각 액세스 토큰 요청에 대해 IP 주소, 리소스 및 기타 모든 정보가 동일합니다. 변경되는 유일한 상태는 로그인 날짜 및 시간입니다.

Screenshot of an aggregate sign-in expanded to show all rows.

Microsoft Entra가 시간과 날짜를 제외하고 동일한 여러 로그인을 기록할 경우 해당 로그인은 동일한 엔터티에서 수행되고 단일 행으로 집계됩니다. 동일한 로그인이 여러 개 있는 행(발행 날짜 및 시간은 제외)은 #로그인 열에서 1보다 큰 값을 갖습니다. 이러한 집계된 로그인은 동일한 타임스탬프를 갖는 것처럼 보일 수도 있습니다. 시간 집계 필터는 1시간, 6시간 또는 24시간으로 설정할 수 있습니다. 행을 확장하여 모든 다른 로그인과 다른 타임스탬프를 볼 수 있습니다.

로그인은 다음 데이터가 일치하는 경우 비 대화형 사용자로 집계됩니다.

  • 애플리케이션
  • 사용자
  • IP 주소
  • 상태
  • 리소스 ID

참고 항목

기밀 클라이언트가 수행하는 비대화형 로그인의 IP 주소가 새로 고침 토큰 요청이 들어오는 실제 원본 IP와 일치하지 않습니다. 대신 원래 토큰 발행에 사용된 원래 IP를 보여 줍니다.

서비스 주체 로그인

대화형 및 비 대화형 사용자 로그인과 달리 서비스 주체 로그인은 사용자를 포함하지 않습니다. 대신 앱 또는 서비스 주체와 같은 비 사용자 계정에 의한 로그인입니다(관리 ID 로그인 로그에만 포함되는 관리 ID 로그인 제외). 이러한 로그인에서 앱 또는 서비스는 리소스를 인증하거나 액세스하기 위한 인증서 또는 앱 비밀과 같은 자체 자격 증명을 제공합니다.

Screenshot of the service principal sign-in log.

보고서 크기:
예제:

  • 서비스 주체는 인증서를 사용하여 Microsoft Graph를 인증하고 액세스합니다.
  • 애플리케이션은 클라이언트 암호를 사용하여 OAuth 클라이언트 자격 증명 흐름에서 인증합니다.

이 보고서에 표시된 필드는 사용자 지정할 수 없습니다.

서비스 주체 로그인 로그의 데이터를 보다 쉽게 요약하기 위해 서비스 주체 로그인 이벤트가 그룹화됩니다. 동일한 조건에서 동일한 엔터티의 로그인은 단일 행으로 집계됩니다. 행을 확장하여 모든 다른 로그인과 다른 타임스탬프를 볼 수 있습니다. 로그인은 다음 데이터가 일치할 때 서비스 주체 보고서에 집계됩니다.

  • 서비스 주체 이름 또는 ID
  • 상태
  • IP 주소
  • 리소스 이름 또는 ID

관리 ID 로그인

Azure 리소스에 대한 관리 ID 로그인은 자격 증명 관리를 단순화하기 위해 Azure에서 관리하는 비밀이 있는 리소스에 의해 수행된 로그인입니다. 관리 자격 증명이 있는 VM은 Microsoft Entra ID를 사용하여 액세스 토큰을 가져옵니다.

Screenshot of the managed identity sign-in log.

보고서 크기: 작음
예제:

이 보고서에 표시된 필드는 사용자 지정할 수 없습니다.

데이터를 쉽게 요약할 수 있도록 Azure 리소스에 대한 관리 ID 로그인 로그, 비대화형 로그인 이벤트가 그룹화됩니다. 동일한 엔터티의 로그인은 단일 행으로 집계됩니다. 행을 확장하여 모든 다른 로그인과 다른 타임스탬프를 볼 수 있습니다. 다음 데이터가 모두 일치하면 로그인은 관리 ID 보고서에 집계됩니다.

  • 관리 ID 이름 또는 ID
  • 상태
  • 리소스 이름 또는 ID

목록 보기에서 항목을 선택하여 노드 아래에 그룹화된 모든 로그인을 표시합니다. 로그인에 대한 모든 세부 정보를 보려면 그룹화된 항목을 선택합니다.

다른 서비스에서 사용하는 로그인 데이터

로그인 데이터는 Azure의 여러 서비스에서 위험한 로그인을 모니터링하고 애플리케이션 사용에 대한 인사이트 등을 제공하는 데 사용됩니다.

Microsoft Entra ID 보호

위험한 로그인과 관련된 로그인 로그 데이터 시각화는 다음 데이터를 사용하는 Microsoft Entra ID 보호 개요에서 사용할 수 있습니다.

  • 위험한 사용자
  • 위험한 사용자 로그인
  • 위험한 워크로드 ID

Microsoft Entra ID 보호 도구에 대한 자세한 내용은 Microsoft Entra ID 보호 개요를 참조하세요.

Microsoft Entra 사용 및 인사이트

애플리케이션별 로그인 데이터를 보려면 Microsoft Entra ID>모니터링 및 상태>사용 현황 및 인사이트로 이동하세요. 이러한 보고서는 Microsoft Entra 애플리케이션 작업 및 AD FS 애플리케이션 작업에 대한 로그인을 자세히 보여 줍니다. 자세한 내용은 Microsoft Entra 사용 현황 및 인사이트를 참조 하세요.

Screenshot of the Usage & insights report.

사용 현황 및 인사이트에서 사용할 수 있는 몇 가지 보고서가 있습니다. 보고서 중 일부는 미리 보기로 제공됩니다.

  • Microsoft Entra 애플리케이션 활동(미리 보기)
  • AD FS 애플리케이션 활동
  • 인증 방법 작업
  • 서비스 주체 로그인 작업
  • 애플리케이션 자격 증명 작업

Microsoft 365 활동 로그

Microsoft 365 관리 센터에서 Microsoft 365 활동 로그를 볼 수 있습니다. Microsoft 365 활동 및 Microsoft Entra 활동 로그는 상당한 수의 디렉터리 리소스를 공유합니다. Microsoft 365 관리 센터에서만 Microsoft 365 활동 로그에 대한 전체 보기를 제공합니다.

Office 365 관리 API를 사용하여 프로그래밍 방식으로 Microsoft 365 활동 로그에 액세스할 수 있습니다.