Office 365 및 Azure AD에서 MFA에 대 한 Fiddler 추적 로그를 사용 하는 방법

참고

Office 365 ProPlus엔터프라이즈용 Microsoft 365 앱으로 이름이 바뀌고 있습니다. 이 변경에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

요약

이 문서에서는 다음과 같은 MFA (다단계 인증) 시나리오에 대 한 Fiddler 추적 로그를 소개 합니다.

  • 사용 중인 MFA 시나리오
  • 전화가 수신 범위를 초과 하거나 전화가 선택 되지 않은 경우
  • 클라우드의 계정을 차단 하기 위해 사기 경고가 트리거되면
  • 차단 된 계정의 경우
  • 관리 되는 계정에 MFA를 사용 하는 경우

추가 정보

사용자 계정이 페더레이션 되 면 사용자는 인증을 위해 STS (서비스 토큰 서버)로 리디렉션되고, STS에서는 SAML 토큰을 발급 login.microsoftonline.com 합니다. 사용자가 관리 하는 경우 login.microsoftonline.com에서는 사용자 암호를 통해 사용자를 인증 합니다.

사용자 암호가 Azure AD 또는 STS에 의해 확인 된 후 MFA가 시작 됩니다. SANeeded=1사용자가 Office 365 또는 Azure 디렉터리에서 MFA 인증을 사용 하도록 설정 된 경우 쿠키가 설정 됩니다. 사용자 암호 인증 후에 클라이언트와 login.microsoftonline.com 간의 통신은 다음과 비슷합니다.

POST https://login.microsoftonline.com/login.srf HTTP/1.1
호스트: login.microsoftonline.com

HTTP/1.1 302 찾음

Set-Cookie: SANeeded = 1; 도메인 = microsoftonline, secure =;p ath =/; HTTPOnly =; 버전 = 1

시나리오 1: MFA 시나리오 작동

SANeeded = 1 쿠키는 암호 인증 후에 설정 됩니다. 그런 다음 네트워크 트래픽이 끝점에 리디렉션되어 https://login.microsoftonline.com/StrongAuthCheck.srf 사용 가능한 인증 방법이 요청 됩니다.

인증 방법

MFA는 BeginAuth로 시작 되 고, 전화 통화가 백 엔드에서 전화 서비스 공급자에 게 트리거됩니다.

Beginauth 메서드 확인

MFA 권한 부여가 시작 된 후에 클라이언트는 인증 완료 여부를 확인 하기 위해 10 초 마다 EndAuth 메서드에 대해 동일한 끝점을 쿼리 하기 시작 합니다. 통화를 선택 하 고 확인할 때까지 Resultvalue는 AuthenticationPending으로 반환 됩니다.

endauth 메서드

전화를 선택 하 고 확인 한 후에는 EndAuth에 대 한 다음 쿼리 응답은 성공의 ResultValue가 됩니다. 또한 사용자가 Mulitifactor 인증을 완료 했습니다. 또한 Set-Cookie: SANeeded = xxxxxxx cookie는 끝점에 제공 되어 인증을 완료 하는 응답에서 설정 됩니다.

로그인 srf

시나리오 2: 전화가 수신 되지 않거나 전화가 선택 되지 않은 경우

통화가 시작 된 후 60 초 이내에 전화가 선택 및 확인 되지 않으면 ResultValue는 UserVoiceAuthFailedPhoneUnreachable로 설정 됩니다. EndAuth 메서드에 대 한 다음 쿼리에서는 Fiddler에 표시 된 대로 UserVoiceAuthFailedPhoneUnreachable이 반환 됩니다.

결과 값 확인

시나리오 3: 사기 경고가 트리거되어 클라우드의 계정을 차단 하는 경우

전화가 선택 되지 않아 통화 후 60 초 내에 사기 경고가 게시 되 면 ResultValue은 AuthenticationMethodFailed로 설정 됩니다. EndAuth 메서드에 대 한 다음 쿼리는 Fiddler에 표시 된 AuthenticationMethodFailed response가 반환 됩니다.

결과 값이 AuthenticationMethodFailed로 설정 됨

시나리오 4: 차단 된 계정에 대해

사용자가 차단 된 경우 ResultValue는 UserIsBlocked 것으로 설정 됩니다. EndAuth 메서드에 대 한 첫 번째 쿼리에서는 Fiddler에 표시 되는 UserIsBlocked 됨이 반환 됩니다.

결과 값이 UserIsBlocked 됨

해결 방법: Azure를 구독 하는 Azure MFA 시나리오에서 manage.windowsazure.com에 처음 로그온 하 여 차단을 해제할 수 있습니다. 그런 다음 디렉터리 > 사용자 를 선택 하 고 multi-factor Authentication > 서비스 설정을 관리 합니다. 페이지 끝에서 포털로 이동을 선택 합니다. 이제 차단 된 사용자 목록을 찾기 위해 사용자 차단/차단 해제 를 선택 합니다.

Office 365을 통해 MFA를 사용 하도록 설정한 경우 차단을 해제 하려면 Microsoft와 함께 지원 서비스 케이스를 엽니다.

시나리오 5: 관리 되는 계정에 대 한 MFA

이 상황에서 인증은 그대로 유지 되지만, 끝점은 https://login.microsoftonline.com/common/SAS/BeginAuth https://login.microsoftonline.com/common/SAS/EndAuth https://login.microsoftonline.com/StrongAuthCheck.srf 페더레이션 계정에 대 한 것이 아니라와 동일 합니다.