Configuration Manager 역할 기반 관리의 기본 사항
적용 대상: Configuration Manager(현재 분기)
Configuration Manager 사용하면 역할 기반 관리를 사용하여 관리 사용자가 Configuration Manager 사용하는 데 필요한 액세스를 보호합니다. 또한 컬렉션, 배포 및 사이트와 같이 관리하는 개체에 대한 액세스를 보호합니다.
역할 기반 관리 모델은 계층 전체 보안 액세스를 중앙에서 정의하고 관리합니다. 이 모델은 다음 항목을 사용하여 모든 사이트 및 사이트 설정에 사용됩니다.
보안 역할은 관리 사용자에게 할당되어 Configuration Manager 개체에 대한 권한을 부여합니다. 예를 들어 클라이언트 설정을 만들거나 변경할 수 있는 권한입니다.
보안 범위는 관리 사용자가 관리해야 하는 개체의 특정 인스턴스를 그룹화하기 위해 사용됩니다. 예를 들어 Configuration Manager 콘솔을 설치하는 애플리케이션입니다.
컬렉션은 관리 사용자가 Configuration Manager 관리할 수 있는 사용자 및 디바이스 그룹을 지정하는 데 사용됩니다.
역할, 범위 및 컬렉션의 조합을 사용하여 조직의 요구 사항을 충족하는 관리 할당을 분리합니다. 함께 사용하면 사용자의 관리 범위를 정의합니다. 이 관리 범위는 관리 사용자가 Configuration Manager 콘솔에서 보는 개체를 제어하고 해당 개체에 대한 사용자의 권한을 제어합니다.
이점
다음 항목은 Configuration Manager 역할 기반 관리의 이점입니다.
사이트는 관리 경계로 사용되지 않습니다. 즉, 독립 실행형 기본 사이트를 중앙 관리 사이트가 있는 계층 구조로 확장하여 관리 사용자를 분리하지 마세요.
계층 구조에 대한 관리 사용자를 만들고 한 번만 보안을 할당하면 됩니다.
모든 보안 할당은 계층 전체에서 복제되고 사용할 수 있습니다. 역할 기반 관리 구성은 계층의 각 사이트에 전역 데이터로 복제된 다음 모든 관리 연결에 적용됩니다.
중요
사이트 간 복제 지연으로 인해 사이트에서 역할 기반 관리에 대한 변경 내용을 수신하지 못할 수 있습니다. 사이트 간 데이터베이스 복제를 모니터링하는 방법에 대한 자세한 내용은 사이트 간 데이터 전송을 참조하세요.
일반적인 관리 작업을 할당하는 데 사용되는 기본 제공 보안 역할이 있습니다. 고유한 사용자 지정 보안 역할을 만들어 특정 비즈니스 요구 사항을 지원합니다.
관리 사용자는 관리할 권한이 있는 개체만 볼 수 있습니다.
관리 보안 작업을 감사할 수 있습니다.
보안 역할
보안 역할을 사용하여 관리 사용자에게 보안 권한을 부여합니다. 보안 역할은 관리 사용자에게 할당하여 관리 작업을 수행할 수 있도록 하는 보안 권한 그룹입니다. 이러한 보안 권한은 관리자가 수행할 수 있는 작업과 특정 개체 형식에 대해 부여된 권한을 정의합니다. 보안 모범 사례로 작업에 필요한 최소 권한을 제공하는 보안 역할을 할당합니다.
Configuration Manager 일반적인 관리 작업 그룹화 지원을 위한 몇 가지 기본 제공 보안 역할이 있습니다. 고유한 사용자 지정 보안 역할을 만들어 특정 비즈니스 요구 사항을 지원할 수 있습니다.
다음 표에는 모든 기본 제공 역할이 요약되어 있습니다.
이름 | 설명 |
---|---|
애플리케이션 관리자 | 애플리케이션 배포 관리자 및 애플리케이션작성자 역할의 권한을 결합합니다. 이 역할의 관리자는 쿼리를 관리하고, 사이트 설정을 보고, 컬렉션을 관리하고, 사용자 디바이스 선호도에 대한 설정을 편집하고, App-V 가상 환경을 관리할 수도 있습니다. |
애플리케이션 작성자 | 애플리케이션을 만들고, 수정하고, 사용 중지할 수 있습니다. 이 역할의 관리 사용자는 애플리케이션, 패키지 및 App-V 가상 환경을 관리할 수도 있습니다. |
애플리케이션 배포 관리자 | 애플리케이션을 배포할 수 있습니다. 이 역할의 관리 사용자는 애플리케이션 목록을 볼 수 있습니다. 애플리케이션, 경고 및 패키지에 대한 배포를 관리할 수 있습니다. 컬렉션 및 해당 멤버, 상태 메시지, 쿼리, 조건부 배달 규칙 및 App-V 가상 환경을 볼 수 있습니다. |
자산 관리자 | Asset Intelligence 동기화 지점, Asset Intelligence 보고 클래스, 소프트웨어 인벤토리, 하드웨어 인벤토리 및 계량 규칙을 관리할 수 있는 권한을 부여합니다. |
회사 리소스 액세스 관리자 | 회사 리소스 액세스 프로필을 만들고, 관리하고, 배포할 수 있는 권한을 부여합니다. 예를 들어 Wi-Fi, VPN, Exchange ActiveSync 메일 및 인증서 프로필이 있습니다. |
규정 준수 설정 관리자 | 준수 설정을 정의하고 모니터링할 수 있는 권한을 부여합니다. 이 역할의 관리 사용자는 구성 항목 및 기준을 만들고, 수정하고, 삭제할 수 있습니다. 또한 컬렉션에 구성 기준을 배포하고, 규정 준수 평가를 시작하고, 비준수 컴퓨터에 대한 수정을 시작할 수도 있습니다. |
Endpoint Protection Manager | 엔드포인트 보호 정책을 만들고 수정하고 삭제할 수 있는 권한을 부여합니다. 컬렉션에 이러한 정책을 배포하고, 경고를 만들고 수정하며, 엔드포인트 보호 상태를 모니터링할 수 있습니다. |
전체 관리자 | Configuration Manager 모든 권한을 부여합니다. Configuration Manager 설치하는 관리자에게 이 보안 역할, 모든 범위 및 모든 컬렉션이 자동으로 부여됩니다. |
인프라 관리자 | Configuration Manager 서버 인프라를 만들고, 삭제하고, 수정하고, 마이그레이션 작업을 실행할 수 있는 권한을 부여합니다. |
운영 체제 배포 관리자 | OS 이미지를 만들고 컴퓨터에 배포하고, OS 업그레이드 패키지 및 이미지, 작업 순서, 드라이버, 부팅 이미지 및 상태 마이그레이션 설정을 관리할 수 있는 권한을 부여합니다. |
운영 관리자 | 보안 관리 권한을 제외한 Configuration Manager 모든 작업에 대한 권한을 부여합니다. 이 역할은 관리 사용자, 보안 역할 및 보안 범위를 관리할 수 없습니다. |
읽기 전용 분석가 | 모든 Configuration Manager 개체를 볼 수 있는 권한을 부여합니다. |
원격 도구 연산자 | 사용자가 컴퓨터 문제를 해결하는 데 도움이 되는 원격 관리 도구를 실행하고 감사할 수 있는 권한을 부여합니다. 이 역할의 관리 사용자는 Configuration Manager 콘솔에서 원격 제어, 원격 지원 및 원격 데스크톱을 실행할 수 있습니다. |
보안 관리자 | 관리 사용자를 추가 및 제거하고 관리 사용자를 보안 역할, 컬렉션 및 보안 범위와 연결할 수 있는 권한을 부여합니다. 이 역할의 관리 사용자는 보안 역할 및 할당된 보안 범위 및 컬렉션을 만들고 수정하고 삭제할 수도 있습니다. |
소프트웨어 업데이트 관리자 | 소프트웨어 업데이트를 정의하고 배포할 수 있는 권한을 부여합니다. 이 역할의 관리자는 소프트웨어 업데이트 그룹, 배포 및 배포 템플릿을 관리할 수 있습니다. |
팁
권한이 있는 경우 Configuration Manager 콘솔의 모든 보안 역할 목록을 볼 수 있습니다. 역할을 보려면 관리 작업 영역으로 이동하여 보안을 확장한 다음 보안 역할 노드를 선택합니다.
관리자를 추가하는 것 외에는 기본 제공 보안 역할을 수정할 수 없습니다. 역할을 복사하고 변경한 다음 이러한 변경 내용을 새 사용자 지정 보안 역할로 저장할 수 있습니다. 랩 환경과 같은 다른 계층 구조에서 내보낸 보안 역할을 가져올 수도 있습니다. 자세한 내용은 역할 기반 관리 구성을 참조하세요.
보안 역할 및 해당 권한을 검토하여 기본 제공 보안 역할을 사용할지 또는 사용자 고유의 사용자 지정 보안 역할을 만들어야 하는지 여부를 결정합니다.
역할 권한
각 보안 역할에는 다양한 개체 유형에 대한 특정 권한이 있습니다. 예를 들어 애플리케이션 작성자 역할에는 애플리케이션에 대한 다음 권한이 있습니다.
- 승인
- 만들기
- 삭제
- 수정
- 폴더 수정
- 개체 이동
- 읽기
- 보고서 실행
- 보안 범위 설정
이 역할에는 다른 개체에 대한 권한도 있습니다.
역할에 대한 권한을 보거나 사용자 지정 역할에 대한 권한을 변경하는 방법에 대한 자세한 내용은 역할 기반 관리 구성을 참조하세요.
보안 역할 계획
이 프로세스를 사용하여 사용자 환경에서 Configuration Manager 보안 역할을 계획합니다.
관리 사용자가 Configuration Manager 수행해야 하는 작업을 식별합니다. 이러한 작업은 하나 이상의 관리 작업 그룹과 관련이 있을 수 있습니다. 예를 들어 규정 준수를 위한 운영 체제 및 설정을 배포합니다.
이러한 관리 작업을 하나 이상의 기본 제공 역할에 매핑합니다.
일부 관리 사용자가 여러 역할의 작업을 수행하는 경우 사용자를 여러 역할에 할당합니다. 사용 권한을 결합하는 사용자 지정 역할을 만들지 마세요.
식별한 작업이 기본 제공 보안 역할에 매핑되지 않는 경우 사용자 지정 역할을 만들고 테스트합니다.
자세한 내용은 사용자 지정 보안 역할 만들기 및 보안 역할 구성을 참조하세요.
컬렉션
컬렉션은 관리 사용자가 보거나 관리할 수 있는 사용자 및 디바이스를 지정합니다. 예를 들어 디바이스에 애플리케이션을 배포하려면 관리 사용자가 디바이스가 포함된 컬렉션에 대한 액세스 권한을 부여하는 보안 역할에 있어야 합니다.
컬렉션에 대한 자세한 내용은 컬렉션 소개를 참조하세요.
역할 기반 관리를 구성하기 전에 다음 이유 중 어떤 이유로 새 컬렉션을 만들어야 하는지 여부를 결정합니다.
- 기능 조직. 예를 들어 서버 및 워크스테이션의 컬렉션을 구분합니다.
- 지리적 맞춤. 예를 들어 북아메리카 및 유럽에 대한 컬렉션을 구분합니다.
- 보안 요구 사항 및 비즈니스 프로세스. 예를 들어 프로덕션 및 테스트 컴퓨터에 대한 별도의 컬렉션입니다.
- 조직 맞춤. 예를 들어 각 사업부에 대한 컬렉션을 구분합니다.
자세한 내용은 보안을 관리하도록 컬렉션 구성을 참조하세요.
보안 범위
보안 범위를 사용하여 관리 사용자에게 보안 개체에 대한 액세스 권한을 제공합니다. 보안 범위는 관리자 사용자에게 그룹으로 할당되는 명명된 보안 개체 집합입니다. 모든 보안 개체는 하나 이상의 보안 범위에 할당됩니다. Configuration Manager 두 가지 기본 제공 보안 범위가 있습니다.
모두: 모든 범위에 대한 액세스 권한을 부여합니다. 이 보안 범위에 개체를 할당할 수 없습니다.
기본값: 이 범위는 기본적으로 모든 개체에 사용됩니다. Configuration Manager 설치하면 이 보안 범위에 모든 개체가 할당됩니다.
관리자가 보고 관리할 수 있는 개체를 제한하려면 사용자 고유의 사용자 지정 보안 범위를 만듭니다. 보안 범위는 계층 구조를 지원하지 않으며 중첩할 수 없습니다. 보안 범위에는 다음 항목을 포함하는 하나 이상의 개체 형식이 포함될 수 있습니다.
- 경고 구독
- 애플리케이션 및 애플리케이션 그룹
- App-V 가상 환경
- 부팅 이미지
- 경계 그룹
- 구성 항목 및 기준
- 사용자 지정 클라이언트 설정
- 배포 지점 및 배포 지점 그룹
- 드라이버 패키지
- 엔드포인트 보호 정책(모두)
- 폴더
- 전역 조건
- 마이그레이션 작업
- 비즈니스용 OneDrive 프로필
- OS 이미지
- OS 업그레이드 패키지
- 패키지
- 쿼리
- 원격 연결 프로필
- 스크립트
- 사이트
- 소프트웨어 계량 규칙
- 소프트웨어 업데이트 그룹
- 소프트웨어 업데이트 패키지
- 작업 순서
- 사용자 데이터 및 프로필 구성 항목
- 비즈니스용 Windows 업데이트 정책
보안 역할에 의해서만 보호되므로 보안 범위에 포함할 수 없는 개체도 있습니다. 이러한 개체에 대한 관리 액세스는 사용 가능한 개체의 하위 집합으로 제한될 수 없습니다. 예를 들어 특정 사이트에 사용되는 경계 그룹을 만드는 관리자가 있을 수 있습니다. 경계 개체는 보안 범위를 지원하지 않으므로 이 사용자에게 해당 사이트와 연결될 수 있는 경계에 대한 액세스만 제공하는 보안 범위를 할당할 수 없습니다. 경계 개체는 보안 범위에 연결할 수 없으므로 사용자에게 경계 개체에 대한 액세스 권한이 포함된 보안 역할을 할당할 때 해당 사용자는 계층 구조의 모든 경계에 액세스할 수 있습니다.
보안 범위를 지원하지 않는 개체는 다음 항목을 포함하지만 제한되지는 않습니다.
- Active Directory 포리스트
- 관리 사용자
- 경고
- 경계
- 컴퓨터 연결
- 기본 클라이언트 설정
- 배포 템플릿
- 장치 드라이버
- 사이트 간에 매핑 마이그레이션
- 보안 역할
- 보안 범위
- 사이트 주소
- 사이트 시스템 역할
- 소프트웨어 업데이트
- 상태 메시지
- 사용자 디바이스 친화성
별도의 개체 인스턴스에 대한 액세스를 제한해야 하는 경우 보안 범위를 만듭니다. 예를 들면
애플리케이션을 테스트하지 않고 프로덕션 애플리케이션을 확인해야 하는 관리 사용자 그룹이 있습니다. 프로덕션 애플리케이션에 대한 보안 범위 하나와 테스트 애플리케이션에 대한 보안 범위를 만듭니다.
한 관리 사용자 그룹에는 특정 소프트웨어 업데이트 그룹에 대한 읽기 권한이 필요합니다. 다른 관리 사용자 그룹에는 다른 소프트웨어 업데이트 그룹에 대한 수정 및 삭제 권한이 필요합니다. 이러한 소프트웨어 업데이트 그룹에 대해 서로 다른 보안 범위를 만듭니다.
자세한 내용은 개체에 대한 보안 범위 구성을 참조하세요.