준수 또는 관리되는 디바이스 경고가 필요한 로그인을 조사하는 방법

Microsoft Entra Health 모니터링은 모니터링할 수 있는 테넌트 수준 상태 메트릭 집합을 제공하며 잠재적인 문제 또는 실패 조건이 감지되면 경고합니다. 디바이스와 관련된 두 가지 상태 시나리오를 포함하여 모니터링할 수 있는 여러 상태 시나리오가 있습니다.

• 조건부 액세스 규격 디바이스가 필요한 로그인
• 조건부 액세스 관리 디바이스가 필요한 로그인

이러한 시나리오를 사용하면 규정 준수 또는 관리 디바이스에서 로그인해야 하는 조건부 액세스 정책을 충족하는 사용자 인증에 대한 경고를 모니터링하고 받을 수 있습니다. Microsoft Entra Health 작동 방식에 대한 자세한 내용은 다음을 참조하세요.

• Microsoft Entra Health란?
• Microsoft Entra 상태 모니터링 신호 및 경고를 사용하는 방법

이 문서에서는 규정 준수 및 관리 디바이스와 관련된 상태 메트릭과 경고를 받을 때 잠재적인 문제를 해결하는 방법을 설명합니다.

필수 조건

상태 모니터링 신호를 보고 경고를 구성하고 수신하기 위한 다양한 역할, 권한 및 라이선스 요구 사항이 있습니다. 제로 트러스트 지침에 따라 최소 권한 액세스 권한이 있는 역할을 사용하는 것이 좋습니다.

• Microsoft Entra 상태 시나리오 모니터링 신호를 보려면 Microsoft Entra P1 또는 P2 라이선스가 있는 테넌트가 필요합니다.
• 경고를 보고 경고 알림을 받으려면 Microsoft Entra P1 또는 P2 라이선스와 월간 활성 사용자가 100명 이상인 테넌트가 필요합니다.
• 보고서 읽기 권한자 역할은 시나리오 모니터링 신호, 경고 및 경고 구성을 보는 데 필요한 최소 권한 역할입니다.
• 기술 지원팀 관리자는 경고를 업데이트하고 경고 알림 구성을 업데이트하는 데 필요한 최소 권한 역할입니다.
• HealthMonitoringAlert.Read.All Microsoft Graph API를 사용하여 경고를 보려면 권한이 필요합니다.
• HealthMonitoringAlert.ReadWrite.All Microsoft Graph API를 사용하여 경고를 보고 수정하려면 권한이 필요합니다.
• 역할의 전체 목록은 태스크별 최소 권한 역할을 참조 하세요.

경고 및 신호 조사

경고 조사는 데이터 수집부터 시작합니다.

1. 신호 세부 정보 및 영향 요약을 수집합니다.
   • Microsoft Entra 관리 센터에서 신호를 확인하여 패턴을 파악하고 변칙을 식별합니다.
   • 목록 경고 API를 실행하여 테넌트에 대한 모든 경고를 검색합니다.
   • 경고 가져오기 API를 실행하여 특정 경고의 세부 정보를 검색합니다.
2. Intune 디바이스 준수 정책을 검토합니다.
   • 자세한 내용은 Intune 디바이스 준수 개요를 참조하세요.
   • 디바이스 준수 정책을 모니터링하는 방법을 알아봅니다.
   • Intune을 사용하지 않는 경우 디바이스 관리 솔루션의 준수 정책을 검토합니다.
3. 일반적인 조건부 액세스 문제를 조사합니다.
   • 조건부 액세스 디바이스 준수 정책 문제를 해결합니다.
   • 조건부 액세스 로그인 문제를 해결합니다.
4. 로그인 로그를 검토합니다.
   • 로그인 로그 세부 정보를 검토합니다.
   • 로그인 이 차단된 사용자를 찾고 규격 디바이스 정책을 적용합니다.
5. 감사 로그에서 최근 정책 변경 내용을 확인합니다.
   • 감사 로그를 사용하여 조건부 액세스 정책 변경 문제를 해결합니다.

일반적인 문제 완화

다음과 같은 일반적인 문제로 인해 규격 또는 관리되는 디바이스가 필요한 로그인이 급증할 수 있습니다. 이 목록은 완전하지는 않지만 조사를 위한 시작점을 제공합니다.

많은 사용자가 알려진 디바이스에서 로그인할 수 없습니다.

대규모 사용자 그룹이 알려진 디바이스에 로그인하지 못하도록 차단된 경우 이러한 디바이스가 규정 준수에서 벗어났음을 나타낼 수 있습니다.

조사하려면 다음을 수행합니다.

• 영향 요약에서 "사용자"이고 resourceType 값이 조직 사용자의 많은 비율을 나타내는 경우 impactedCount 광범위한 확산 문제를 살펴볼 수 있습니다.
• Intune 디바이스 준수 정책을 확인합니다.
• 조건부 액세스 디바이스 준수 정책을 확인합니다.

사용자가 알 수 없는 디바이스에서 로그인할 수 없습니다.

차단된 로그인의 증가가 알 수 없는 디바이스에서 발생하는 경우, 해당 급증은 공격자가 사용자의 자격 증명을 획득했으며 이러한 공격에 사용된 디바이스에서 로그인을 시도하고 있음을 나타낼 수 있습니다.

조사하려면 다음을 수행합니다.

• 영향 요약에서 "user"이고 값이 resourceType 작은 사용자 하위 집합을 표시하는 경우 impactedCount 문제는 사용자별 문제일 수 있습니다.
• 로그인 로그를 검토합니다.
• Microsoft Entra ID Protection을 사용하여 위험을 조사합니다.
  • 참고: Microsoft Entra ID Protection에는 Microsoft Entra P2 라이선스가 필요합니다.

네트워크 문제

많은 수의 사용자가 동시에 로그인해야 하는 지역 시스템 중단이 있을 수 있습니다.

조사하려면 다음을 수행합니다.

• 영향 요약에서 "사용자"이고 값이 resourceType 조직 사용자의 많은 비율을 표시하는 경우 impactedCount 광범위한 확산 문제를 살펴볼 수 있습니다.
• 시스템 및 네트워크 상태를 확인하여 중단 또는 업데이트가 변칙과 동일한 기간과 일치하는지 확인합니다.

다음 단계

• Microsoft Intune에서 규정 준수 정책 만들기
• 조건부 액세스 및 Intune에 대해 알아보기
• Microsoft Entra 조인 디바이스에 대해 알아보기
• 디바이스 관리란?
• 조건부 액세스 및 Intune에 대해 알아보기
• Microsoft Entra 하이브리드 조인 디바이스에 대해 알아보기