다음을 통해 공유

통합 문서: 위험 기반 액세스 정책의 영향 분석

  • 아티클

모든 사람이 위험 기반 조건부 액세스 정책을 사용하도록 설정하는 것이 좋습니다. 원치 않는 영향을 파악하기 위해 이 배포에 시간, 변경 관리, 때로는 경영진의 세심한 조사가 필요하다는 것을 알고 있습니다. 관리자에게 이러한 시나리오에 대한 답변을 자신있게 제공하여 환경을 신속하게 보호하는 데 필요한 위험 기반 정책을 채택할 수 있는 권한을 제공합니다.

보고서 전용 모드에서 위험 기반 조건부 액세스 정책을 만들고 결과를 얻기까지 몇 주 또는 몇 개월을 기다리지 않고, 로그인 로그를 기반으로 즉시 영향을 확인할 수 있는 위험 기반 액세스 정책의 영향 분석 통합 문서를 사용할 수 있습니다.

위험 기반 액세스 정책 통합 문서의 영향 분석 스크린샷.

설명

통합 문서는 사용자가 로그인하지 못하도록 차단하거나, 다단계 인증을 요구하거나, 보안 암호 변경을 수행할 수 있는 정책을 사용하도록 설정하기 전에 환경을 이해하는 데 도움이 됩니다. 다음을 포함하여 로그인을 선택한 날짜 범위에 따라 분석 정보를 제공합니다.

  • 다음에 대한 개요를 포함하여 권장되는 위험 기반 액세스 정책의 영향 요약입니다.
    • 사용자 위험 시나리오
    • 로그인 위험 및 신뢰할 수 있는 네트워크 시나리오
  • 고유한 사용자에 대한 세부 정보를 포함한 영향 세부 정보:
    • 다음과 같은 사용자 위험 시나리오:
      • 위험 기반 액세스 정책에 의해 위험 수준이 높은 사용자가 차단되지 않습니다.
      • 위험 기반 액세스 정책에 따라 위험도가 높은 사용자에게 암호를 변경하라는 메시지가 표시되지 않습니다.
      • 위험 기반 액세스 정책으로 인해 암호를 변경한 사용자입니다.
      • 위험 기반 액세스 정책으로 인해 위험한 사용자가 성공적으로 로그인하지 못했습니다.
      • 온-프레미스 암호 재설정을 통해 위험을 해결한 사용자입니다.
      • 클라우드 기반 암호 재설정을 통해 위험을 해결한 사용자입니다.
    • 다음과 같은 로그인 위험 정책 시나리오:
      • 위험 기반 액세스 정책에 의해 높은 위험 로그인이 차단되지 않습니다.
      • 위험 기반 액세스 정책에 따른 다단계 인증을 사용하여 자체 수정되지 않는 고위험 로그인입니다.
      • 위험 기반 액세스 정책으로 인해 성공하지 못한 위험한 로그인입니다.
      • 다단계 인증으로 수정된 위험한 로그인입니다.
    • 신뢰할 수 있는 네트워크로 나열되지 않은 상위 IP 주소를 포함한 네트워크 세부 정보입니다.

관리자는 이 정보를 사용하여 위험 기반 조건부 액세스 정책을 사용하도록 설정한 경우 일정 기간 동안 영향을 받을 수 있는 사용자를 확인할 수 있습니다.

통합 문서에 액세스하는 방법

이 통합 문서에서는 보고서 전용 모드에서도 조건부 액세스 정책을 만들 필요가 없습니다. 유일한 필수 조건은 로그인 로그가 Log Analytics 작업 영역으로 전송된다는 것입니다. 이 필수 구성 요소를 사용하도록 설정하는 방법에 대한 자세한 내용은 Microsoft Entra 통합 문서를 사용하는 방법 문서를 참조하세요. ID 보호 블레이드에서 직접 통합 문서에 액세스하거나 편집 가능한 버전의 통합 문서로 이동하면 됩니다.

ID 보호 블레이드에서 다음을 수행합니다.

  1. Microsoft Entra 관리 센터보고서 읽기 권한자 이상의 권한으로 로그인합니다.
  2. 보호>ID 보호>영향 분석 보고서로 찾습니다.

통합 문서에서 다음을 수행합니다.

  1. Microsoft Entra 관리 센터보고서 읽기 권한자 이상의 권한으로 로그인합니다.
  2. ID>모니터링 및 상태>통합 문서로 이동합니다.
  3. ID 보호에 따라 위험 기반 액세스 정책 영향 분석 통합 문서를 선택합니다.

통합 문서에 들어가면 오른쪽 상단에 몇 가지 매개 변수가 있습니다. 통합 문서가 채워지는 작업 영역을 설정하고 가이드를 켜거나 끌 수 있습니다.

통합 문서의 매개 변수 및 가이드 섹션을 강조 표시하는 것을 보여 주는 스크린샷.

모든 통합 문서와 마찬가지로 시각적 효과를 제공하는 KQL(Kusto 쿼리 언어) 쿼리를 보거나 편집할 수 있습니다. 변경한 경우 언제든지 원래 템플릿으로 되돌릴 수 있습니다.

요약

첫 번째 섹션은 요약이며 선택한 시간 범위 동안 영향을 받은 사용자 또는 세션의 총계를 보여 줍니다. 더 아래로 스크롤하면 관련 세부 정보를 확인할 수 있습니다.

통합 문서의 요약 섹션을 보여 주는 스크린샷.

요약에서 다루는 가장 중요한 시나리오는 사용자 및 로그인 위험 시나리오에 대한 시나리오 1과 2입니다. 이는 차단되지 않았거나, 암호 변경 메시지가 표시되거나, MFA에 의해 수정되지 않은 높은 사용자 또는 로그인을 보여 줍니다. 즉, 고위험 사용자가 여전히 환경에 있을 수 있습니다.

그런 다음 아래로 스크롤하여 해당 사용자가 누구인지에 대한 세부 정보를 확인할 수 있습니다. 모든 요약 구성 요소에는 다음에 해당하는 세부 정보가 있습니다.

사용자 위험 시나리오

통합 문서의 사용자 위험 섹션을 보여 주는 스크린샷.

사용자 위험 시나리오 3과 4는 이미 일부 위험 기반 액세스 정책을 사용하도록 설정한 경우 도움이 될 것입니다. 여기에는 암호를 변경한 사용자 또는 위험 기반 액세스 정책으로 인해 로그인이 차단된 고위험 사용자가 표시됩니다. 사용자 위험 시나리오 1과 2(차단되지 않거나 암호 변경 메시지가 표시되지 않음)에 여전히 고위험 사용자가 표시되는 경우 해당 사용자가 모두 이러한 버킷에 속할 것이라고 생각했다면 정책에 차이가 있을 수 있습니다.

로그인 위험 시나리오

통합 문서의 로그인 위험 섹션을 보여 주는 스크린샷.

다음으로 로그인 위험 시나리오 3과 4를 살펴보겠습니다. MFA를 사용하는 경우 위험 기반 액세스 정책을 사용하도록 설정하지 않은 경우에도 여기에서 작업이 있을 수 있습니다. MFA가 성공적으로 수행되면 로그인 위험이 자동으로 수정됩니다. 시나리오 4에서는 위험 기반 액세스 정책으로 인해 성공하지 못한 고위험 로그인을 살펴봅니다. 정책을 사용하도록 설정했지만 MFA를 통해 차단되거나 수정될 것으로 예상되는 로그인이 계속 표시되는 경우 정책에 차이가 있을 수 있습니다. 그렇다면 정책을 검토하고 이 통합 문서의 세부 정보 섹션을 사용하여 차이를 조사하는 것이 좋습니다.

사용자 위험 시나리오에 대한 시나리오 5와 6은 수정이 진행되고 있음을 보여 줍니다. 이 섹션에서는 온-프레미스에서 또는 SSPR(셀프 서비스 암호 재설정)을 통해 암호를 변경하는 사용자 수에 대한 인사이트를 제공합니다. 예를 들어, SSPR이 사용하도록 설정되지 않았다고 생각하는 등 이러한 숫자가 사용자 환경에 적합하지 않은 경우 세부 정보를 사용하여 조사합니다.

로그인 시나리오 5, 신뢰할 수 없는 IP 주소는 선택한 시간 범위 내 모든 로그인의 IP 주소를 표시하고 신뢰할 수 없는 것으로 간주되는 IP를 표시합니다.

페더레이션된 로그인 위험 정책 시나리오

여러 ID 공급자를 사용하는 고객의 경우 다음 섹션은 MFA 또는 다른 형태의 수정을 위해 외부 공급자로 리디렉션되는 위험한 세션이 있는지 확인하는 데 유용합니다. 이 섹션에서는 수정이 진행되는 위치와 예상대로 진행되고 있는지에 대한 인사이트를 제공할 수 있습니다. 이 데이터를 채우려면 페더레이션된 ID 공급자에서 오는 MFA를 적용하려면 페더레이션된 환경에서 "federatedIdpMfaBehavior"를 설정해야 합니다.

페더레이션된 통합 문서의 페더레이션된 로그인 위험 정책 시나리오를 보여 주는 스크린샷.

레거시 ID 보호 정책

다음 섹션에서는 사용자의 환경에 아직 남아 있고 2026년 10월까지 마이그레이션해야 하는 레거시 사용자 및 로그인 정책의 수를 추적합니다. 이 타임라인을 알고 가능한 한 빨리 조건부 액세스 포털로 정책 마이그레이션을 시작해야 합니다. 새 정책을 테스트하고, 불필요하거나 중복된 정책을 정리하고, 적용 범위에 차이가 없는지 확인하는 데 충분한 시간이 필요합니다. 위험 정책 마이그레이션 링크에 따라 레거시 정책 마이그레이션에 대해 자세히 알아볼 수 있습니다.

통합 문서의 레거시 ID 보호 정책 섹션을 보여 주는 스크린샷.

신뢰할 수 있는 네트워크 세부 정보

이 섹션에서는 신뢰할 수 없는 것으로 간주되는 IP 주소의 자세한 목록을 제공합니다. 이러한 IP는 어디에서 왔으며 누가 소유하고 있나요? "신뢰할 수 있음"으로 간주되어야 하나요? 이 연습은 네트워크 관리자와의 팀 간 활동이 될 수 있습니다. 그러나 정확하고 신뢰할 수 있는 IP 목록을 보유하면 가양성 위험 검색을 줄이는 데 도움이 되므로 이러한 활동을 수행하는 것이 좋습니다. 사용자의 환경에 의심스러워 보이는 IP 주소가 있는 경우 조사해야 합니다.

통합 문서의 신뢰할 수 있는 네트워크 섹션을 보여 주는 스크린샷.

FAQ:

다단계 인증에 Microsoft Entra를 사용하지 않으면 어떻게 되나요?

Microsoft Entra 다단계 인증을 사용하지 않는 경우에도 타사 MFA 공급자를 사용하면 환경에서 로그인 위험이 수정되는 것을 볼 수 있습니다. 외부 인증 방법을 사용하면 Microsoft가 아닌 MFA 공급자를 사용할 때 위험을 수정할 수 있습니다.

하이브리드 환경에 있는 경우에는 어떻게 되나요?

비밀번호 쓰기 저장으로 셀프 서비스 암호 재설정이 사용하도록 설정된 경우 보안 암호 변경을 사용하여 사용자 위험을 자체적으로 수정할 수 있습니다. 암호 해시 동기화만 사용하도록 설정된 경우 사용자 위험을 수정하기 위해 온-프레미스 암호 재설정 허용을 사용하도록 설정하는 것이 좋습니다.

방금 위험도가 높은 경고를 받았는데 이 보고서에 표시되지 않나요?

사용자에게 높은 위험이 할당되었지만 아직 로그인하지 않은 경우 이 보고서에 해당 사용자가 표시되지 않습니다. 보고서는 로그인 로그만 사용하여 이 데이터를 채웁니다. 로그인하지 않은 고위험 사용자는 이 보고서에 포함되지 않습니다.

다음 단계