다단계 인증이 필요한 로그인을 조사하는 방법

Microsoft Entra Health 모니터링은 모니터링할 수 있는 테넌트 수준 상태 메트릭 집합을 제공하며 잠재적인 문제 또는 실패 조건이 감지되면 경고합니다. MFA(다단계 인증)를 포함하여 모니터링할 수 있는 여러 상태 시나리오가 있습니다.

이 시나리오의 경우

• Microsoft Entra 클라우드 MFA 서비스를 사용하여 MFA 로그인을 성공적으로 완료한 사용자 수를 집계합니다.
• MFA를 사용하여 대화형 로그인을 캡처하여 성공과 실패를 모두 집계합니다.
• 사용자가 대화형 MFA를 완료하거나 암호 없는 로그인 방법을 사용하지 않고 세션을 새로 고칠 때 제외됩니다.

이 문서에서는 이러한 상태 메트릭과 경고를 받을 때 잠재적인 문제를 해결하는 방법을 설명합니다.

필수 조건

상태 모니터링 신호를 보고 경고를 구성하고 수신하기 위한 다양한 역할, 권한 및 라이선스 요구 사항이 있습니다. 제로 트러스트 지침에 따라 최소 권한 액세스 권한이 있는 역할을 사용하는 것이 좋습니다.

• Microsoft Entra 상태 시나리오 모니터링 신호를 보려면 Microsoft Entra P1 또는 P2 라이선스가 있는 테넌트가 필요합니다.
• 경고를 보고 경고 알림을 받으려면 Microsoft Entra P1 또는 P2 라이선스와 월간 활성 사용자가 100명 이상인 테넌트가 필요합니다.
• 보고서 읽기 권한자 역할은 시나리오 모니터링 신호, 경고 및 경고 구성을 보는 데 필요한 최소 권한 역할입니다.
• 기술 지원팀 관리자는 경고를 업데이트하고 경고 알림 구성을 업데이트하는 데 필요한 최소 권한 역할입니다.
• HealthMonitoringAlert.Read.All Microsoft Graph API를 사용하여 경고를 보려면 권한이 필요합니다.
• HealthMonitoringAlert.ReadWrite.All Microsoft Graph API를 사용하여 경고를 보고 수정하려면 권한이 필요합니다.
• 역할의 전체 목록은 태스크별 최소 권한 역할을 참조 하세요.

데이터 수집

경고 조사는 데이터 수집부터 시작합니다.

1. 신호 세부 정보 및 영향 요약을 수집합니다.
   • Microsoft Entra 관리 센터에서 신호를 확인하여 패턴을 파악하고 변칙을 식별합니다.
   • 목록 경고 API를 실행하여 테넌트에 대한 모든 경고를 검색합니다.
   • 경고 가져오기 API를 실행하여 특정 경고의 세부 정보를 검색합니다.
2. 로그인 로그를 검토합니다.
   • 로그인 로그 세부 정보를 검토합니다.
   • 로그인 이 차단된 사용자를 찾고 MFA를 적용해야 하는 조건부 액세스 정책을 찾습니다.
3. 감사 로그에서 최근 정책 변경 내용을 확인합니다.
   • 감사 로그를 사용하여 조건부 액세스 정책 변경 문제를 해결합니다.

일반적인 문제 완화

다음과 같은 일반적인 문제로 인해 MFA 로그인이 급증할 수 있습니다. 이 목록은 완전하지는 않지만 조사를 위한 시작점을 제공합니다.

애플리케이션 구성 문제

MFA가 필요한 로그인이 증가하면 정책 변경 또는 새 기능 롤아웃으로 인해 많은 사용자가 동시에 로그인할 수 있음을 나타낼 수 있습니다.

조사하려면 다음을 수행합니다.

• 영향 요약에서 "애플리케이션"이고 하나 또는 두 개의 애플리케이션만 나열된 경우 resourceType 감사 로그에서 나열된 애플리케이션에 대한 변경 내용을 확인합니다.
• 감사 로그에서 대상 열을 사용하여 애플리케이션을 필터링하거나 엔터프라이즈 애플리케이션에서 감사 로그를 열면 필터가 이미 설정됩니다.
• 애플리케이션이 최근에 추가되었거나 다시 구성되었는지 확인합니다.
• 로그인 로그에서 애플리케이션 열을 사용하여 동일한 애플리케이션 또는 날짜 범위를 필터링하여 다른 패턴을 찾습니다.

사용자 인증 문제

MFA가 필요한 로그인이 증가하면 무차별 암호 대입 공격이 발생할 수 있으며, 사용자 계정에 대해 여러 번의 무단 로그인 시도가 이루어집니다.

조사하려면 다음을 수행합니다.

• 영향 요약에서 "user"이고 값이 resourceType 작은 사용자 하위 집합을 표시하는 경우 impactedCount 문제는 사용자별 문제일 수 있습니다.
• 로그인 로그에서 다음 필터를 사용합니다.
  • 상태: 실패
  • 인증 요구 사항: 다단계 인증
  • 영향 요약에 표시된 기간과 일치하도록 날짜를 조정합니다.
• 실패한 로그인 시도가 동일한 IP 주소에서 들어오나요?
• 동일한 사용자의 로그인 시도가 실패합니까?
• 로그인 진단을 실행하여 표준 사용자 오류 문제 또는 초기 MFA 설정 문제를 배제합니다.

네트워크 문제

많은 수의 사용자가 동시에 로그인해야 하는 지역 시스템 중단이 있을 수 있습니다.

조사하려면 다음을 수행합니다.

• 영향 요약에서 "사용자"이고 값이 resourceType 조직 사용자의 많은 비율을 표시하는 경우 impactedCount 광범위한 확산 문제를 살펴볼 수 있습니다.
• 시스템 및 네트워크 상태를 확인하여 중단 또는 업데이트가 변칙과 동일한 기간과 일치하는지 확인합니다.

다음 단계

• 모든 사용자에 대한 MFA에 대한 조건부 액세스 구성
• 일반적인 로그인 오류 문제 해결
• 조건부 액세스 및 Intune에 대해 알아보기