다음을 통해 공유

로그인 로그를 사용하여 Microsoft Entra 다단계 인증 이벤트 검토

  • 아티클

Microsoft Entra 다단계 인증 이벤트를 검토하고 이해하려면 Microsoft Entra 로그인 로그를 사용할 수 있습니다. 이 보고서는 사용자에게 다단계 인증을 요청하는 메시지와 조건부 액세스 정책이 사용 중이었는지에 대한 인증 세부 정보를 보여 줍니다. 로그인 로그에 대한 자세한 내용은 Microsoft Entra ID 로그인 활동 보고서의개요를 참조하세요.

Microsoft Entra 로그인 로그 보기

로그인 로그는 다단계 인증 사용에 대한 정보를 포함하여 관리되는 애플리케이션 및 사용자 로그인 활동의 사용에 대한 정보를 제공합니다. MFA 데이터는 조직에서 MFA가 작동하는 방식에 대한 인사이트를 제공합니다. 다음과 같은 질문에 답변합니다.

  • 로그인에 MFA에 문제가 있나요?
  • 사용자가 MFA를 어떻게 완료했나요?
  • 로그인하는 동안 사용된 인증 방법은 무엇인가요?
  • 사용자가 MFA를 완료할 수 없는 이유는 무엇인가요?
  • MFA에 대해 얼마나 많은 사용자가 챌린지를 받는가?
  • MFA 챌린지를 완료할 수 없는 사용자 수는 몇 명입니까?
  • 최종 사용자가 실행하는 일반적인 MFA 문제는 무엇인가요?

Microsoft Entra 관리 센터 로그인 활동 보고서를 보려면 다음 단계를 완료합니다. 보고 API사용하여 데이터를 쿼리할 수도 있습니다.

  1. 적어도 인증 정책 관리자자격으로, Microsoft Entra 관리 센터에 로그인하십시오.

  2. Identity>으로 이동한 다음, 왼쪽 메뉴에서 사용자>모든 사용자을 선택합니다.

  3. 왼쪽 메뉴에서 로그인 로그을 선택합니다.

  4. 상태를 포함하여 로그인 이벤트 목록이 표시됩니다. 이벤트를 선택하여 자세한 내용을 볼 수 있습니다.

    이벤트 세부 정보의 조건부 액세스 탭에는 MFA 프롬프트를 트리거한 정책이 표시됩니다.

    Microsoft Entra 로그인 로그 예제 스크린샷

사용 가능한 경우 문자 메시지, Microsoft Authenticator 앱 알림 또는 전화 통화와 같은 인증이 표시됩니다.

인증 세부 정보 탭은 각 인증 시도에 대해 다음 정보를 제공합니다.

  • 적용된 인증 정책 목록(예: 조건부 액세스, 사용자별 MFA, 보안 기본값)
  • 로그인하는 데 사용되는 인증 방법의 시퀀스
  • 인증 시도 성공 여부
  • 인증 시도가 성공하거나 실패한 이유에 대한 세부 정보

이 정보를 통해 관리자는 사용자의 로그인에서 각 단계의 문제를 해결하고 다음을 추적할 수 있습니다.

  • 다단계 인증으로 보호되는 로그인 볼륨
  • 각 인증 방법에 대한 사용량 및 성공률
  • 암호 없는 인증 방법 사용(예: 암호 없는 전화 로그인, FIDO2 및 비즈니스용 Windows Hello)
  • 토큰 클레임에 의해 인증 요구 사항이 충족되는 빈도(사용자에게 암호를 입력하라는 대화형 메시지가 표시되지 않는 경우, SMS OTP 입력 등)

로그인 로그를 보는 동안 인증 세부 정보 탭을 선택합니다.

인증 세부 정보 탭 스크린샷

메모

OATH 확인 코드 OATH 하드웨어 및 소프트웨어 토큰(예: Microsoft Authenticator 앱)에 대한 인증 방법으로 기록됩니다.

중요하다

인증 세부 정보 탭은 로그 정보가 완전히 집계될 때까지 처음에는 불완전하거나 부정확한 데이터를 표시할 수 있습니다. 알려진 예는 다음과 같습니다.

  • 토큰 메시지에서 클레임에 의해 충족되는은 로그인 이벤트가 초기 기록될 때 잘못 표시됩니다.
  • 기본 인증 행은 처음에 기록되지 않습니다.

다음 세부 정보는 MFA 요청이 충족되거나 거부되었는지를 보여 주는 로그인 이벤트의 인증 세부 정보 창에 표시됩니다.

  • MFA가 충족된 경우 이 열은 MFA를 충족하는 방법에 대한 자세한 정보를 제공합니다.

    • 클라우드에서 완료됨
    • 테넌트에 구성된 정책으로 인해 만료되었습니다.
    • 등록 메시지가 표시됨
    • 토큰 내 클레임에 의해 충족됨
    • 외부 공급자가 제공한 클레임에 의해 충족됨
    • 강력한 인증으로 만족
    • 실행된 흐름이 Windows 브로커 로그온 흐름이었기 때문에 건너뛰었습니다.
    • 앱 암호로 인해 건너뛰기
    • 위치로 인해 건너뛰기
    • 등록된 디바이스로 인해 건너뛰기
    • 기억된 디바이스로 인해 건너뛰기
    • 성공적으로 완료됨

  • MFA가 거부된 경우 이 열은 거부 이유를 제공합니다.

    • 진행 중인 인증
    • 중복 인증 시도
    • 잘못된 코드를 너무 여러 번 입력했습니다.
    • 잘못된 인증
    • 모바일 앱 확인 코드가 잘못되었습니다.
    • 잘못된 설정
    • 전화 통화가 음성 메일로 전달되었습니다.
    • 전화 번호의 형식이 잘못되었습니다.
    • 서비스 오류
    • 사용자의 휴대폰에 연결할 수 없음
    • 디바이스에 모바일 앱 알림을 보낼 수 없음
    • 모바일 앱 알림을 보낼 수 없음
    • 사용자가 인증을 거부했습니다.
    • 사용자가 모바일 앱 알림에 응답하지 않음
    • 사용자에게 등록된 확인 방법이 없습니다.
    • 사용자가 잘못된 코드를 입력했습니다.
    • 사용자가 잘못된 PIN을 입력했습니다.
    • 사용자가 인증에 성공하지 않고 전화를 끊었습니다.
    • 사용자가 차단됨
    • 사용자가 확인 코드를 입력하지 않았습니다.
    • 사용자를 찾을 수 없음
    • 확인 코드가 이미 한 번 사용됨

MFA에 등록된 사용자에 대한 PowerShell 보고

먼저 Microsoft Graph PowerShell SDK 설치할 있는지 확인합니다.

다음에 나오는 PowerShell을 사용하여 MFA에 등록한 사용자를 식별합니다. 이 명령 집합은 이러한 계정이 Microsoft Entra ID에 대해 인증할 수 없으므로 비활성화된 사용자를 제외합니다.

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

다음 PowerShell 명령을 실행하여 MFA에 등록되지 않은 사용자를 식별합니다. 이 명령 집합은 이러한 계정이 Microsoft Entra ID에 대해 인증할 수 없으므로 비활성화된 사용자를 제외합니다.

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

등록된 사용자 및 출력 메서드를 식별합니다.

Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

추가 MFA 보고서

MFA 서버에 대한 정보를 포함하여 MFA 이벤트에 사용할 수 있는 추가 정보 및 보고서는 다음과 같습니다.

보고서 위치 설명
차단된 사용자 기록 Microsoft Entra ID > 보안 > 다중 인증 (MFA) > 사용자 차단/해제 사용자를 차단하거나 차단 해제하는 요청의 기록을 보여 줍니다.
온-프레미스 구성 요소 사용 Microsoft Entra ID > Security > MFA > 활동 보고서 MFA 서버의 전체 사용량에 대한 정보를 제공합니다. 클라우드 MFA 활동에 대한 NPS 확장 및 AD FS 로그는 이제 로그인 로그포함되며 이 보고서에 더 이상 게시되지 않습니다.
무시된 사용자 기록 Microsoft Entra ID > Security > MFA > 일회성 바이패스 사용자에 대한 MFA를 바이패스하기 위한 MFA 서버 요청 기록을 제공합니다.
서버 상태 Microsoft Entra ID > 보안 > MFA > 서버 상태 계정과 연결된 MFA 서버의 상태를 표시합니다.

온-프레미스 AD FS 어댑터 또는 NPS 확장의 클라우드 MFA 로그인 이벤트에는 온-프레미스 구성 요소에서 반환되는 제한된 데이터로 인해 로그인 로그의 모든 필드가 채워지지 않습니다. 이러한 이벤트는 이벤트 속성에서 resourceID adfs 또는 radius로 식별할 수 있습니다. 다음을 포함합니다.

  • 결과 서명
  • 앱ID
  • 장치 세부 정보
  • 조건부 액세스 상태
  • 인증 컨텍스트
  • isInteractive
  • 토큰 발행자 이름 (tokenIssuerName)
  • 위험 세부 정보, 위험 수준 집계, 로그인 중 위험 수준, 위험 상태, 위험 이벤트 유형, 위험 이벤트 유형_v2
  • 인증 프로토콜
  • 수신 토큰 유형

최신 버전의 NPS 확장을 실행하거나 Microsoft Entra Connect Health를 사용하는 조직에는 이벤트의 위치 IP 주소가 있습니다.

다음 단계

이 문서에서는 로그인 활동 보고서에 대한 개요를 제공했습니다. 이 보고서에 포함된 내용에 대한 자세한 내용은 Microsoft Entra ID 로그인 활동 보고서를 참조하세요.