Connect Health를 사용한 Microsoft Entra ID의 AD FS 로그인 - 미리 보기
이제 Connect Health를 사용하여 AD FS 로그인을 Microsoft Entra 로그인 보고서에 통합할 수 있습니다. Microsoft Entra 로그인 보고서 보고서에는 사용자, 애플리케이션 및 관리되는 리소스가 언제 Microsoft Entra ID에 로그인하고 리소스에 액세스하는지에 대한 정보가 포함되어 있습니다.
AD FS용 Connect Health 에이전트는 서버 버전에 따라 AD FS의 여러 이벤트 ID를 상호 연결하여 요청에 대한 정보, 그리고 요청이 실패할 경우 오류 세부 정보를 제공합니다. 이 정보는 Microsoft Entra 로그인 보고서 스키마와 연관되어 있으며 Microsoft Entra 로그인 보고서 UX에 표시됩니다. 보고서와 함께 새 Log Analytics 스트림을 AD FS 데이터 및 새 Azure Monitor 통합 문서 템플릿과 함께 사용할 수 있습니다. 템플릿은 AD FS 계정 잠금, 잘못된 암호 시도 및 예기치 않은 로그인 시도 급증과 같은 시나리오에 대한 심층 분석을 위해 사용 및 수정할 수 있습니다.
필수 조건
- AD FS용 Microsoft Entra Connect Health가 설치되어 최신 버전(3.1.95.0 이상)으로 업그레이드되었습니다.
- Microsoft Entra 로그인을 볼 수 있는 보고서 읽기 권한자 역할
보고서에는 무슨 데이터가 표시되나요?
사용 가능한 데이터는 Microsoft Entra 로그인에 사용할 수 있는 동일한 데이터를 미러링합니다. 정보가 포함된 5개의 탭은 Microsoft Entra ID 또는 AD FS의 로그인 유형에 따라 사용할 수 있습니다. Connect Health는 서버 버전에 따라 AD FS의 이벤트를 상호 연결하고 이를 AD FS 스키마와 일치시킵니다.
사용자 로그인
로그인 블레이드의 각 탭은 아래와 같은 기본값을 보여줍니다.
- 로그인 날짜
- 요청 ID
- 사용자 이름 또는 사용자 ID
- 로그인의 상태
- 로그인에 사용되는 디바이스의 IP 주소
- 로그인 식별자
인증 방법 정보
인증 탭에 다음 값이 표시될 수 있습니다. 인증 방법은 AD FS 감사 로그에서 가져옵니다.
| 인증 방법 | 설명 |
|---|---|
| 양식 | 사용자 이름/암호 인증 |
| Windows | Windows 통합 인증 |
| 인증서 | 스마트 카드/VirtualSmart 인증서를 사용하는 인증 |
| WindowsHelloForBusiness | 이 필드는 비즈니스용 Windows Hello를 사용하는 인증을 위한 것입니다. (Microsoft Passport 인증) |
| 장치 | 디바이스 인증을 인트라넷/엑스트라넷의 "기본" 인증으로 선택하고 디바이스 인증을 수행하는 경우에 표시됩니다. 이 시나리오에는 별도의 사용자 인증이 없습니다. |
| 페더레이션 | AD FS는 인증을 수행하지 않았지만 타사 ID 공급자에게 보냈습니다. |
| SSO | Single Sign-On 토큰을 사용한 경우 이 필드가 표시됩니다. SSO에 MFA가 있는 경우 다단계로 표시됩니다. |
| 다단계 | Single Sign-On 토큰에 MFA가 있고 인증에 사용된 경우 이 필드는 다단계로 표시됩니다. |
| Microsoft Entra 다단계 인증 | Microsoft Entra 다단계 인증은 AD FS에서 추가 인증 공급자로 선택되었으며 인증에 사용되었습니다. |
| ADFSExternalAuthenticationProvider | 이 필드는 타사 인증 공급자를 등록하여 인증에 사용한 경우에 해당합니다. |
AD FS 추가 세부 정보
AD FS 로그인에 사용할 수 있는 세부 정보는 다음과 같습니다.
- 서버 이름
- IP 체인
- 프로토콜
Log Analytics 및 Azure Monitor 사용
Log Analytics는 AD FS 로그인에 사용할 수 있으며 Sentinel과 같은 다른 Log Analytics 통합 구성 요소와 함께 사용할 수 있습니다.
참고 항목
AD FS 로그인은 조직의 AD FS 로그인 횟수에 따라 Log Analytics 비용이 크게 증가할 수 있습니다. Log Analytics를 사용하거나 사용하지 않도록 설정하려면 해당 스트림의 확인란을 선택합니다.
기능에 대해 Log Analytics를 사용하도록 설정하려면 Log Analytics 블레이드로 이동하여 "ADFSSignIns" 스트림을 선택합니다. 이 선택을 통해 AD FS 로그인이 Log Analytics로 흐를 수 있습니다.
업데이트된 Azure Monitor 통합 문서 템플릿에 액세스하려면 "Azure Monitor 템플릿"으로 이동하여 "로그인" 통합 문서를 선택합니다. 통합 문서에 대한 자세한 내용을 보려면 Azure Monitor 통합 문서를 방문하세요.
자주 묻는 질문
어떤 유형의 로그인이 표시되나요? 로그인 보고서는 O-Auth, WS-Fed, SAML 및 WS-Trust 프로토콜을 통한 로그인을 지원합니다.
로그인 보고서에는 다양한 유형의 로그인이 어떻게 표시되어 있나요? Seamless SSO 로그인이 수행되는 경우 하나의 상관 관계 ID를 사용하여 로그인에 대해 하나의 행이 있습니다. 단일 요소 인증을 수행하는 경우 두 개의 행이 동일한 상관 관계 ID로 채워지지만 두 가지 인증 방법(즉, Forms, SSO)으로 채워집니다. 다단계 인증의 경우 공유 상관 관계 ID가 있는 3개의 행과 세 개의 해당 인증 방법(즉, Forms, Microsoft Entra 다단계 인증, 다단계)이 있습니다. 이 예제의 다단계에서는 이 경우에 SSO에 MFA가 있음을 보여 줍니다.
보고서에 표시되는 오류는 무엇인가요? 로그인 보고서 및 설명에 채워지는 AD FS 관련 오류에 대한 전체 목록은 AD FS 도움말 오류 코드 참조를 참조하세요.
로그인의 "사용자" 섹션에 "000000000-0000-0000-00000000000000"이 표시됩니다. 그게 무슨 뜻인가요? 로그인이 실패하고 시도한 UPN이 기존 UPN과 일치하지 않는 경우 "사용자", "사용자 이름" 및 "사용자 ID" 필드는 "000000000-00000-0000-000000000000000"이며 사용자가 입력한 시도 값으로 채워진 "로그인 식별자"입니다. 이러한 경우 로그인을 시도하는 사용자가 존재하지 않습니다.
내 온-프레미스 이벤트를 Microsoft Entra 로그인 보고서와 어떻게 연관시킬 수 있나요? AD FS용 Microsoft Entra Connect Health 에이전트는 서버 버전에 따라 AD FS의 이벤트 ID를 연관시킵니다. 이벤트는 AD FS 서버의 보안 로그에서 사용할 수 있습니다.
일부 AD FS 로그인의 애플리케이션 ID/이름에 NotSet 또는 NotApplicable이 표시되는 이유는 무엇인가요? AD FS 로그인 보고서는 OAuth 로그인에 대한 애플리케이션 ID 필드에 OAuth ID를 표시합니다. WS-Fed, WS-Trust 로그인 시나리오에서 애플리케이션 ID는 NotSet 또는 NotApplicable이며 리소스 ID 및 신뢰 당사자 식별자는 리소스 ID 필드에 있습니다.
리소스 ID 및 자원 이름 필드가 "설정되지 않음"으로 표시되는 이유는 무엇인가요? ResourceId/Name 필드는 "사용자 이름 및 암호가 올바르지 않음"과 같은 일부 오류 사례와 WSTrust 기반의 실패한 로그인에서 "NotSet"입니다.
미리 보기에서 보고서에 더 많은 알려진 문제가 있나요? 보고서에는 "기본 정보" 탭의 "인증 요구 사항" 필드가 로그인에 관계없이 AD FS 로그인에 대한 단일 요소 인증 값으로 채워지는 알려진 문제가 있습니다. 또한 인증 세부 정보 탭은 요구 사항 필드 아래에 "기본 또는 보조"를 표시하며 기본 또는 보조 인증 유형을 구분하기 위한 수정이 진행 중입니다.