Microsoft Entra 활동 로그에서 적용된 조건부 액세스 세부 정보 보기

아티클
11/24/2024

조건부 액세스 정책을 사용하면 사용자가 Azure 및 Microsoft Entra 리소스에 액세스하는 방법을 제어할 수 있습니다. 테넌트 관리자는 필요한 경우 작업을 수행할 수 있도록 조건부 액세스 정책에서 테넌트 로그인에 미치는 영향을 확인할 수 있어야 합니다. 조건부 액세스 정책의 최근 변경 내용에 대한 감사 로그를 확인해야 할 수도 있습니다.

이 문서에서는 Microsoft Entra 활동 로그에서 적용된 조건부 액세스 정책을 보는 방법을 설명합니다.

필수 조건

로그에서 적용된 조건부 액세스 정책을 보려면 관리자가 로그와 정책을 모두 볼 수 있는 권한이 있어야 합니다. 두 권한을 모두 부여하는 최소 권한의 기본 제공 역할은 보안 읽기 권한자입니다. 가장 좋은 방법은 관련 관리자 계정에 보안 읽기 권한자 역할을 추가하는 것입니다.

조건부 액세스 정책을 읽을 수 있는 권한을 부여하는 기본 제공 역할은 다음과 같습니다.

보안 읽기 권한자
보안 관리자
조건부 액세스 관리자

다음 기본 제공 역할은 활동 로그를 볼 수 있는 권한을 부여합니다.

보고서 읽기 권한자
보안 읽기 권한자
보안 관리자

사용 권한

클라이언트 앱 또는 Microsoft Graph PowerShell 모듈을 사용하여 Microsoft Graph에서 로그를 가져오는 경우 앱에 Microsoft Graph에서 리소스를 받을 appliedConditionalAccessPolicy 수 있는 권한이 필요합니다. 최소 권한이므로 Policy.Read.ConditionalAccess을(를) 할당하는 것이 가장 좋습니다.

다음 사용 권한을 통해 클라이언트 앱은 Microsoft Graph를 통해 로그의 활동 로그 및 적용된 조건부 액세스 정책에 액세스할 수 있습니다.

Policy.Read.ConditionalAccess
Policy.ReadWrite.ConditionalAccess
Policy.Read.All
AuditLog.Read.All
Directory.Read.All

Microsoft Graph PowerShell 모듈을 사용하려면 필요한 액세스 권한이 있는 다음과 같은 최소 권한 권한도 필요합니다.

필요한 권한(Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All)에 동의하려면 다음을 수행합니다.
로그인 로그(Get-MgAuditLogSignIn)를 보려면 다음을 수행합니다.
감사 로그를 보려면 다음을 수행합니다. Get-MgAuditLogDirectoryAudit

자세한 내용은 Get-MgAuditLogSignIn 및 Get-MgAuditLogDirectoryAudit을 참조하세요.

Microsoft Entra 관리자는 로그인 로그를 사용하여 다음을 수행할 수 있습니다.

로그인 문제를 해결합니다.
기능 성능을 확인합니다.
테넌트의 보안을 평가합니다.

일부 시나리오에서는 조건부 액세스 정책이 로그인 이벤트에 적용된 방법을 이해해야 합니다. 일반적인 예는 다음과 같습니다.

기술 지원팀 관리자 - 정책이 사용자가 연 티켓의 근본 원인인지 이해하기 위해 적용된 조건부 액세스 정책을 확인해야 합니다.
테넌트 관리자 - 조건부 액세스 정책이 테넌트 사용자에게 의도한 영향을 미치는지 확인해야 합니다.

Microsoft Entra 관리 센터, Azure Portal, Microsoft Graph 및 PowerShell을 사용하여 로그인 로그에 액세스할 수 있습니다.

조건부 액세스 정책을 보는 방법

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

로그인 로그의 활동 세부 정보에는 여러 탭이 포함되어 있습니다. 조건부 액세스 탭에는 해당 로그인 이벤트에 적용된 조건부 액세스 정책 목록이 표시됩니다.

Microsoft Entra 관리 센터에 보고서 읽기 권한자 이상의 권한으로 로그인합니다.
ID>모니터링 및 상태>로그인 로그로 이동합니다.
테이블에서 로그인 항목을 선택하여 로그인 세부 정보 창을 봅니다.
조건부 액세스 탭을 선택합니다.

조건부 액세스 정책이 표시되지 않으면 로그인 로그와 조건부 액세스 정책 모두에 대한 액세스를 제공하는 역할을 사용하고 있는지 확인합니다.

다음 지침에 따라 Graph Explorer에서 Microsoft Graph API를 사용하여 조건부 액세스 정책 및 로그 세부 정보를 확인합니다.

Graph 탐색기에 로그인합니다.
드롭다운에서 HTTP 메서드로 GET를 선택합니다.
API 버전을 v1.0으로 선택합니다.

특정 기간 동안 조건부 액세스가 실패한 로그인 시도를 얻으려면 다음 쿼리를 추가하고 쿼리 실행을 선택합니다.

GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'

특정 조건부 액세스 정책을 보려면 정책 ID를 추가합니다.

GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}

자세한 내용은 다음 리소스를 검토하세요.

PowerShell을 사용하여 Microsoft Entra 역할을 나열하려면 다음 단계를 따릅니다.

PowerShell 창을 엽니다. 필요한 경우 Install-Module을 사용하여 Microsoft Graph PowerShell을 설치합니다. 자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.
```
Install-Module Microsoft.Graph -Scope CurrentUser
```
PowerShell 창에서 Connect-MgGraph를 사용하여 테넌트에 로그인합니다.
```
Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
```
Get-MgIdentityConditionalAccessPolicy를 사용하여 모든 조건부 액세스 정책을 가져옵니다.
```
Get-MgIdentityConditionalAccessPolicy
```
결과의 서식을 목록으로 지정하려면 다음 명령을 사용합니다.
```
Get-MgIdentityConditionalAccessPolicy |Format-List
```

다음 명령을 사용하여 조건부 액세스 관련 세부 정보를 강조 표시하도록 형식이 지정된 CSV 파일로 로그인 로그를 내보낼 수 있습니다.

출력 CSV 파일 경로를 정의합니다.

$PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"

지정된 날짜에서 필터링된 로그를 검색하고 CSV 파일로 내보냅니다.

$SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
@{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
@{Name="User";Expression={$_.UserDisplayName}}, `
@{Name="IPv4";Expression={$_.IPAddress}}, `
@{Name="Location";Expression={$_.Location.City}}, `
@{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
@{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
@{Name="FailureReason";Expression={$_.FailureReason}}, `
@{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
@{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
@{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
Export-Csv -Path $PathCsv -NoTypeInformation

Write-Host "Conditional Access SignInLogs exported to $PathCsv"

조건부 액세스 및 감사 로그 시나리오

Microsoft Entra 감사 로그에는 조건부 액세스 정책의 변경 내용에 대한 정보가 포함되어 있습니다. 감사 로그를 사용하여 정책이 생성, 업데이트 또는 삭제된 시기를 확인할 수 있습니다.

기존 조건부 액세스 정책이 업데이트된 시기를 확인하려면 다음을 수행합니다.

Microsoft Entra 관리 센터에 보고서 읽기 권한자 이상의 권한으로 로그인합니다.
ID>모니터링 및 상태>감사 로그로 이동합니다.
서비스 필터를 조건부 액세스로 설정합니다.
범주 필터를 정책으로 설정합니다.
작업 필터를 조건부 액세스 정책 업데이트로 설정합니다.

원하는 변경 내용을 보려면 날짜를 조정해야 할 수 있습니다. 대상 열에는 업데이트된 조건부 액세스 정책의 이름이 표시됩니다.

현재 정책을 이전 정책과 비교하려면 감사 로그 항목을 선택한 다음 수정된 속성 탭을 선택합니다.

다음을 통해 공유

Microsoft Entra 활동 로그에서 적용된 조건부 액세스 세부 정보 보기

필수 조건

사용 권한

조건부 액세스 정책을 보는 방법

조건부 액세스 및 감사 로그 시나리오

피드백

추가 리소스

다음을 통해 공유

Microsoft Entra 활동 로그에서 적용된 조건부 액세스 세부 정보 보기

필수 조건

사용 권한

조건부 액세스 및 로그인 로그 시나리오

조건부 액세스 정책을 보는 방법

조건부 액세스 및 감사 로그 시나리오

관련 콘텐츠

피드백

추가 리소스