다음을 통해 공유

지속적인 액세스 평가 모니터링 및 문제 해결

관리자는 CAE(지속적인 액세스 평가) 여러 가지 방법으로 적용되는 로그인 이벤트를 모니터링하고 문제를 해결할 수 있습니다.

지속적인 액세스 평가 및 로그인 보고서

관리자는 CAE(지속적인 액세스 평가)가 적용되는 사용자 로그인을 모니터링할 수 있습니다. 이 정보는 Microsoft Entra 로그인 로그에서 찾을 수 있습니다.

  1. Microsoft Entra 관리 센터 에 보안 읽기 권한자 이상으로로그인하십시오.
  2. Entra ID>모니터링 및 상태>로그인 로그로 이동합니다.
  3. CAE 토큰 필터인 적용합니다.

로그인 로그에 필터를 추가하여 CAE가 적용되는 위치를 확인하는 방법을 보여 주는 스크린샷입니다.

여기에서 관리자는 사용자의 로그인 이벤트에 대한 정보를 제공합니다. 로그인을 선택하여 세션에 대한 세부 정보(예: 적용된 조건부 액세스 정책 및 CAE를 사용하도록 설정한 경우)를 확인합니다.

각 인증에 대한 여러 로그인 요청이 있습니다. 일부는 대화형 탭에 있고 다른 탭은 비대화형 탭에 있습니다. CAE는 대화형 탭 또는 비대화형 탭에 있을 수 있는 요청 중 하나에 대해서만 true로 표시됩니다. 관리자는 두 탭을 모두 확인하여 사용자의 인증이 CAE를 사용하도록 설정되었는지 여부를 확인해야 합니다.

특정 로그인 시도 검색

로그인 로그에는 성공 및 실패 이벤트에 대한 정보가 포함됩니다. 필터를 사용하여 검색 범위를 좁힐 수 있습니다. 예를 들어 사용자가 Teams에 로그인한 경우 애플리케이션 필터를 사용하여 Teams로 설정합니다. 관리자는 대화형 탭과 비대화형 탭 모두에서 로그인을 확인하여 특정 로그인을 찾아야 할 수 있습니다. 검색 범위를 더 좁히기 위해 관리자는 여러 필터를 적용할 수 있습니다.

연속 액세스 평가 통합 문서

지속적인 액세스 평가 인사이트 통합 문서를 통해 관리자는 테넌트에 대한 CAE 사용 인사이트를 보고 모니터링할 수 있습니다. 표에는 IP 불일치가 있는 인증 시도가 표시됩니다. 이 통합 문서는 조건부 액세스 범주에서 템플릿으로 찾을 수 있습니다.

CAE 워크북 템플릿에 접근하기

워크북이 표시되기 전에 Log Analytics 통합을 완료해야 합니다. Microsoft Entra 로그인 로그를 Log Analytics 작업 영역으로 스트리밍하는 방법에 대한 자세한 내용은 Azure Monitor 로그와 Microsoft Entra 로그 통합문서를 참조하세요.

  1. Microsoft Entra 관리 센터 에 보안 읽기 권한자 이상으로로그인하십시오.
  2. Entra ID>에서 모니터링 및 상태>통합 문서를 탐색하십시오.
  3. 공용 템플릿에서 연속 액세스 평가 인사이트를 검색합니다.

연속 액세스 평가 인사이트 통합 문서에는 다음 표가 포함되어 있습니다.

Microsoft Entra ID와 리소스 공급자 간의 잠재적 IP 주소 불일치

Microsoft Entra ID & 리소스 공급자 테이블 간의 잠재적 IP 주소 불일치를 통해 관리자는 Microsoft Entra ID에서 검색된 IP 주소가 리소스 공급자가 검색한 IP 주소와 일치하지 않는 세션을 조사할 수 있습니다.

이 통합 문서 테이블은 해당 IP 주소와 세션 중에 CAE 토큰이 발급되었는지 여부를 표시하여 이러한 시나리오를 조명합니다.

로그인당 지속적인 액세스 평가 인사이트

통합 문서의 로그인 페이지당 연속 액세스 평가 인사이트는 로그인 로그의 여러 요청을 연결하고 CAE 토큰이 발급된 단일 요청을 표시합니다.

이 통합 문서는 예를 들어 사용자가 데스크톱에서 Outlook을 열고 Exchange Online 내부의 리소스에 액세스하려고 할 때 유용할 수 있습니다. 이 로그인 작업은 로그에서 여러 대화형 및 비대화형 로그인 요청에 매핑되어 문제를 진단하기 어렵게 만들 수 있습니다.

IP 주소 구성

ID 공급자 및 리소스 공급자는 다른 IP 주소를 볼 수 있습니다. 이 불일치는 다음 예제로 인해 발생할 수 있습니다.

  • 네트워크에서 분할 터널링을 구현합니다.
  • 리소스 공급자가 IPv6 주소를 사용하고 있으며 Microsoft Entra ID가 IPv4 주소를 사용하고 있습니다.
  • 네트워크 구성으로 인해 Microsoft Entra ID는 클라이언트에서 하나의 IP 주소를 보고 리소스 공급자는 클라이언트와 다른 IP 주소를 확인합니다.

이 시나리오가 사용자 환경에 있는 경우 무한 루프를 방지하기 위해 Microsoft Entra ID는 1시간 CAE 토큰을 발급하고 해당 1시간 동안 클라이언트 위치 변경을 적용하지 않습니다. 이 경우에도 클라이언트 위치 변경 이벤트 외에 다른 이벤트를 계속 평가하므로 기존 1시간 토큰에 비해 보안이 향상됩니다.

관리자는 시간 범위 및 애플리케이션별로 필터링된 레코드를 볼 수 있습니다. 관리자는 검색된 일치하지 않는 IP 수를 지정된 기간 동안 총 로그인 수와 비교할 수 있습니다.

관리자가 사용자를 차단 해제하기 위해 신뢰할 수 있는 명명된 위치에 특정 IP 주소를 추가할 수 있습니다.

  1. Microsoft Entra 관리 센터에 조건부 액세스 관리자이상으로 로그인합니다.
  2. Entra ID>조건부 액세스>명명된 위치로 이동합니다. 여기에서 신뢰할 수 있는 IP 위치를 만들거나 업데이트할 수 있습니다.

메모

IP 주소를 신뢰할 수 있는 명명된 위치로 추가하기 전에 IP 주소가 실제로 의도한 조직에 속하는지 확인합니다.

명명된 위치에 대한 자세한 내용은 위치 조건 사용문서를 참조하세요.

관련 콘텐츠