다음을 통해 공유

조건부 액세스 관련 로그인 문제 해결

  • 아티클

이 문서를 사용하여 오류 메시지 및 Microsoft Entra 로그인 로그를 사용하여 조건부 액세스와 관련된 예기치 않은 로그인 결과를 해결합니다.

“모든” 결과 선택

조건부 액세스 프레임워크는 뛰어난 구성 유연성을 제공합니다. 그러나 훌륭한 유연성은 잘못된 결과를 방지하기 위해 릴리스하기 전에 각 구성 정책을 신중하게 검토해야 한다는 것을 의미하기도 합니다. 이 컨텍스트에서는 모든 사용자/그룹/클라우드 앱 등 전체 집합에 영향을 주는 할당에 특히 주의해야 합니다.

조직은 다음과 같은 구성을 사용하지 않는 것이 좋습니다.

모든 사용자의 경우 모든 리소스:

  • 액세스 차단 - 이 구성은 전체 조직을 차단합니다.
  • 디바이스를 준수 상태로 표시해야 함 - 디바이스를 아직 등록하지 않은 사용자의 경우 이 정책은 Intune 포털에 대한 액세스를 비롯한 모든 액세스를 차단합니다. 등록된 디바이스가 없는 관리자의 경우 이 정책은 정책을 변경하기 위해 다시 돌아가지 않도록 차단합니다.
  • 하이브리드 Microsoft Entra 도메인 가입 디바이스 필요 - 이 정책은 Microsoft Entra 하이브리드 조인 디바이스가 없는 경우 조직의 모든 사용자에 대한 액세스를 차단할 수도 있습니다.
  • 앱 보호 정책 필요 - 이 정책은 Intune 정책이 없는 경우 조직의 모든 사용자에 대한 액세스를 차단할 수도 있습니다. Intune 앱 보호 정책이 있는 클라이언트 애플리케이션을 사용하지 않는 관리자의 경우 이 정책은 Intune 및 Azure와 같은 포털을 다시 가져올 수 없도록 차단합니다.

모든 사용자, 모든 리소스, 모든 디바이스 플랫폼:

  • 액세스 차단 - 이 구성은 전체 조직을 차단합니다.

조건부 액세스 로그인 중단

표시되는 오류 메시지를 검토합니다. 웹 브라우저를 사용하는 경우 로그인하는 데 문제가 있는 경우 오류 페이지 자체에 자세한 정보가 포함됩니다. 이 정보만으로도 문제를 설명하고 솔루션을 제안할 수 있습니다.

규격 디바이스가 필요한 로그인 오류를 보여 주는 스크린샷

위의 오류에서 메시지는 회사의 모바일 디바이스 관리 정책을 충족하는 디바이스 또는 클라이언트 애플리케이션에서만 애플리케이션에 액세스할 수 있음을 알려줍니다. 이 경우 애플리케이션과 디바이스가 정책을 충족하지 않습니다.

Microsoft Entra 로그인 이벤트

로그인 중단에 대한 자세한 정보를 가져오는 두 번째 방법은 Microsoft Entra 로그인 이벤트를 검토하여 적용된 조건부 액세스 정책과 그 이유를 확인하는 것입니다.

초기 오류 페이지에서 자세한 정보를 클릭하여 문제에 대한 자세한 정보를 확인할 수 있습니다. 자세한 정보를 클릭하면 사용자가 확인한 특정 오류 이벤트에 대한 Microsoft Entra 로그인 이벤트를 검색하거나 Microsoft에서 지원 인시던트를 열 때 도움이 되는 문제 해결 정보가 표시됩니다.

조건부 액세스로 인해 중단된 웹 브라우저 로그인의 추가 세부 정보를 보여 주는 스크린샷

적용된 조건부 액세스 정책 또는 정책 및 이유를 확인하려면 다음 단계를 수행합니다.

  1. Microsoft Entra 관리 센터보고서 읽기 권한자 이상으로 로그인합니다.

  2. ID>모니터링 및 상태>로그인 로그로 이동합니다.

  3. 검토할 이벤트를 찾으려면 로그인하십시오. 필터 및 열을 추가하거나 제거하여 불필요한 정보를 필터링합니다.

    1. 다음과 같은 필터를 추가하여 범위를 좁힐 수 있습니다.
      1. 상관 관계 ID - 조사할 특정 이벤트가 있는 경우입니다.
      2. 조건부 액세스 - 정책 실패 및 성공을 확인합니다. 결과를 제한하는 실패만 표시하도록 필터 범위를 지정합니다.
      3. 사용자 이름 - 특정 사용자와 관련된 정보를 확인합니다.
      4. 날짜 - 해당 시간 프레임으로 범위가 지정됩니다.

    로그인 로그의 조건부 액세스 필터 선택을 보여 주는 스크린샷.

  4. 사용자의 로그인 실패에 해당하는 로그인 이벤트를 찾은 후 조건부 액세스 탭을 선택합니다. 조건부 액세스 탭에는 로그인이 중단된 특정 정책 또는 정책이 표시됩니다.

    1. 문제 해결 및 지원 탭의 정보는 규정 준수 요구 사항을 충족하지 않는 디바이스와 같은 로그인 실패에 대한 명확한 원인을 제공할 수 있습니다.
    2. 자세히 조사하려면 정책 이름을 클릭하여 정책 구성으로 드릴다운합니다. 정책 이름을 클릭하면 검토 및 편집을 위해 선택한 정책에 대한 정책 구성 사용자 인터페이스가 표시됩니다.
    3. 조건부 액세스 정책 평가에 사용된 클라이언트 사용자디바이스 세부 정보기본 정보, 위치, 디바이스 정보, 인증 세부 정보, 로그인 이벤트의 추가 세부 정보 탭에서도 사용할 수 있습니다.

정책이 의도한 대로 작동하지 않음

로그인 이벤트에서 정책의 오른쪽에 있는 줄임표를 선택하면 정책 세부 정보가 표시됩니다. 이 옵션을 통해 관리자는 정책이 성공적으로 적용된 이유에 대한 추가 정보를 제공합니다.

정책이 적용되거나 적용되지 않는 이유를 확인하기 위한 조건부 액세스 정책 세부 정보 클릭을 보여 주는 스크린샷

왼쪽은 로그인 시 수집되는 세부 정보를 제공하고 오른쪽에는 적용된 조건부 액세스 정책의 요구 사항을 충족하는지 여부에 대한 세부 정보가 제공됩니다. 조건부 액세스 정책은 모든 조건이 충족되거나 구성되지 않은 경우에만 적용됩니다.

이벤트의 정보가 로그인 결과를 이해하거나 원하는 결과를 얻기 위해 정책을 조정하기에 충분하지 않은 경우 로그인 진단 도구를 사용합니다. 로그인 진단은 기본 정보>문제 해결 이벤트아래에 있습니다. 로그인 진단에 대한 자세한 내용은 Microsoft Entra ID로그인 진단이란?을 참조하세요. 또한 What If 도구를 사용하여 조건부 액세스 정책 문제를 해결할 수 있습니다.

지원 인시던트를 제출해야 하는 경우 인시던트 제출 세부 정보의 로그인 이벤트에서 요청 ID와 시간 및 날짜를 제공합니다. 이 정보를 통해 Microsoft 지원님이 귀하가 우려하는 특정 이벤트를 찾을 수 있습니다.

일반적인 조건부 액세스 오류 코드

로그인 오류 코드 오류 문자열
53000 장치 비호환
53001 장치가 도메인에 가입되지 않음
53002 사용 중인 애플리케이션은 승인된 애플리케이션이 아닙니다.
53003 조건부 접근으로 차단됨
53004 위험 때문에 ProofUp 차단됨

오류 코드에 대한 자세한 내용은 Microsoft Entra 인증 및 권한 부여 오류 코드 문서에서 확인할 수 있습니다. 목록의 오류 코드는 AADSTS 접두사와 함께 표시되며 그 뒤에 브라우저에 표시되는 코드가 표시됩니다(예: AADSTS53002).

서비스 종속성

일부 시나리오에서는 조건부 액세스 정책에 의해 차단된 리소스에 클라우드 앱이 의존하기 때문에 사용자가 차단됩니다.

서비스 종속성을 확인하려면 로그인에서 호출하는 애플리케이션 및 리소스에 대한 로그인 로그를 확인합니다. 다음 스크린샷에서 호출된 애플리케이션은 Azure Portal이지만 호출된 리소스는 Windows Azure Service Management API입니다. 이 시나리오를 적절히 처리하려면 조건부 액세스 정책에서 모든 애플리케이션과 리소스를 유사하게 결합해야 합니다.

리소스를 호출하는 애플리케이션을 보여 주는 예제 로그인 로그를 보여 주는 스크린샷 이 시나리오를 서비스 종속성이라고도 합니다.

액세스가 차단된 경우 어떻게 해야 하나요?

조건부 액세스 정책의 잘못된 설정으로 인해 잠긴 경우:

  • 아직 차단되지 않은 다른 관리자가 조직에 있는지 확인합니다. 액세스할 수 있는 관리자가 로그인에 영향을 주는 정책을 사용하지 않도록 설정할 수 있습니다.
  • 정책을 업데이트할 수 있는 조직의 관리자가 없는 경우 지원 요청을 제출합니다. Microsoft 지원은 액세스를 차단하는 조건부 액세스 정책을 검토하고 확인 시 업데이트할 수 있습니다.

다음 단계