Microsoft Entra 조인 디바이스에서 로컬 관리자 그룹 관리 방법
Windows 디바이스를 관리하려면 로컬 관리자 그룹의 구성원이 되어야 합니다. Microsoft Entra 조인 프로세스의 일부로 Microsoft Entra ID는 디바이스에서 이 그룹의 멤버 자격을 업데이트합니다. 비즈니스 요구 사항을 충족하도록 멤버 자격 업데이트를 사용자 지정할 수 있습니다. 멤버 자격 업데이트는 예를 들어 기술 지원팀 직원이 디바이스에 대해 관리자 권한이 필요한 작업을 수행할 수 있도록 하려는 경우에 유용합니다.
이 문서에서는 로컬 관리자 멤버 자격 업데이트가 작동하는 방식과 Microsoft Entra 조인 중에 이를 사용자 지정할 수 있는 방법에 대해 설명합니다. 이 문서의 콘텐츠는 Microsoft Entra 하이브리드 조인 디바이스에는 적용되지 않습니다.
작동 방식
Microsoft Entra 조인 시 디바이스의 로컬 관리자 그룹에 다음 보안 주체가 추가됩니다.
- Microsoft Entra 조인 디바이스 로컬 관리자 및 전역 관리자 역할
- Microsoft Entra 조인을 수행하는 사용자
참고 항목
이는 조인 작업 중에만 수행됩니다. 관리자가 이 시점 이후에 변경을 수행하는 경우 디바이스의 그룹 멤버 자격을 업데이트해야 합니다.
Microsoft Entra 조인 디바이스 로컬 관리자 역할에 사용자를 추가하면 디바이스에서 아무것도 수정하지 않고 Microsoft Entra ID에서 언제든지 디바이스를 관리할 수 있는 사용자를 업데이트할 수 있습니다. 최소 권한 원칙을 지원하기 위해 Microsoft Entra 조인 디바이스 로컬 관리자 역할이 로컬 관리자 그룹에 추가됩니다.
관지라 역할 관리
관리자 역할의 멤버 자격을 확인하고 업데이트하려면 다음을 참조하세요.
Microsoft Entra 조인 디바이스 로컬 관리자 역할 관리
디바이스 설정에서 Microsoft Entra 조인 디바이스 로컬 관리자 역할을 관리할 수 있습니다.
- 최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>디바이스>모든 디바이스>디바이스 설정으로 이동하세요.
- 모든 Microsoft Entra 조인 디바이스에서 추가 로컬 관리자 관리를 선택합니다.
- 할당 추가를 선택한 다음 추가할 다른 관리자를 선택하고 추가를 선택합니다.
Microsoft Entra 조인 디바이스 로컬 관리자 역할을 수정하려면 모든 Microsoft Entra 조인 디바이스에 추가 로컬 관리자를 구성합니다.
참고 항목
이 옵션을 사용하려면 Microsoft Entra ID P1 또는 P2 라이선스가 필요합니다.
Microsoft Entra 조인 디바이스 로컬 관리자는 모든 Microsoft Entra 조인 디바이스에 할당됩니다. 이 역할은 특정 디바이스 집합으로 범위를 지정할 수 없습니다. Microsoft Entra 조인 디바이스 로컬 관리자 역할을 업데이트해도 영향을 받는 사용자에게 즉각적인 영향을 주는 것은 아닙니다. 사용자가 이미 로그인한 디바이스에서는 아래의 두 작업을 수행할 때 권한 상승이 발생합니다.
- Microsoft Entra ID가 적절한 권한으로 새 기본 새로 고침 토큰을 발급하는 데 최대 4시간이 지났습니다.
- 사용자가 잠금/잠금 해제가 아니라 로그아웃 했다가 다시 로그인하여 프로필을 새로 고칠 수 있습니다.
사용자는 로컬 관리자 그룹에 직접 나열되지 않고 기본 새로 고침 토큰을 통해 해당 권한을 받습니다.
참고 항목
위의 작업은 이전에 관련 디바이스에 로그인하지 않은 사용자에게는 적용되지 않습니다. 이 경우, 관리자 권한은 처음으로 디바이스에 로그인 한 후 즉시 적용됩니다.
Microsoft Entra 그룹을 사용하여 관리자 권한 관리(미리 보기)
Microsoft Entra 그룹을 사용하여 로컬 사용자 및 그룹 MDM(모바일 장치 관리) 정책을 통해 Microsoft Entra 조인 디바이스에 대한 관리자 권한을 관리할 수 있습니다. 이 정책을 사용하면 개별 사용자 또는 Microsoft Entra 그룹을 Microsoft Entra 조인 디바이스의 로컬 관리자 그룹에 할당할 수 있으므로 다양한 디바이스 그룹에 대해 개별 관리자를 구성할 수 있는 세분성을 제공할 수 있습니다.
조직은 Intune을 사용하여 사용자 지정 OMA-URI 설정 또는 계정 보호 정책을 사용하여 이러한 정책을 관리할 수 있습니다. 이 정책을 사용하기 위한 몇 가지 고려 사항:
정책을 통해 Microsoft Entra 그룹을 추가하려면 그룹용 Microsoft Graph API를 실행하여 가져올 수 있는 그룹의 SID(보안 식별자)가 필요합니다. SID는 API 응답의 속성
securityIdentifier
와(과) 동일합니다.이 정책을 사용하는 관리자 권한은 Windows 10 이상 디바이스에서 잘 알려진 다음 그룹(관리자, 사용자, 게스트, 파워 사용자, 원격 데스크톱 사용자 및 원격 관리 사용자)에 대해서만 평가됩니다.
Microsoft Entra 그룹을 사용하여 로컬 관리자를 관리하는 것은 Microsoft Entra 하이브리드 조인 또는 Microsoft Entra 등록 디바이스에 적용할 수 없습니다.
이 정책을 사용하여 디바이스에 배포된 Microsoft Entra 그룹은 원격 데스크톱 연결에 적용되지 않습니다. Microsoft Entra 조인 디바이스에 대한 원격 데스크톱 권한을 제어하려면 개별 사용자의 SID를 적절한 그룹에 추가해야 합니다.
Important
Microsoft Entra ID를 사용한 Windows 로그인은 관리자 권한에 대해 최대 20개 그룹의 평가를 지원합니다. 관리자 권한이 올바르게 할당되도록 하려면 각 디바이스에 Microsoft Entra 그룹을 20개 이하로 두는 것이 좋습니다. 이 제한은 중첩된 그룹에도 적용됩니다.
일반 사용자 관리
기본적으로 Microsoft Entra ID는 Microsoft Entra 조인을 수행하는 사용자를 디바이스의 관리자 그룹에 추가합니다. 일반 사용자가 로컬 관리자가 되지 않도록 하려면 다음 옵션을 사용할 수 있습니다.
- Windows Autopilot - Windows Autopilot은 조인을 수행하는 기본 사용자가 Autopilot 프로필을 만들어 로컬 관리자가 되는 것을 방지하는 옵션을 제공합니다.
- 대량 등록 - 대량 등록 컨텍스트에서 수행되는 Microsoft Entra 조인은 자동 만들어진 사용자 컨텍스트에서 발생합니다. 디바이스가 조인된 후 로그인하는 사용자는 관리자 그룹에 추가되지 않습니다.
수동으로 디바이스에서 사용자 권한 상승
Microsoft Entra 조인 프로세스를 사용하는 것 외에도 일반 사용자를 수동으로 승격하여 특정 디바이스의 로컬 관리자가 될 수도 있습니다. 이 단계를 사용하려면 로컬 관리자 그룹의 구성원이어야 합니다.
Windows 10 1709 릴리스부터 설정 -> 계정 -> 다른 사용자에서 이 작업을 수행할 수 있습니다. 회사 또는 학교 사용자 추가를 선택하고 사용자 계정 아래에 사용자의 UPN(사용자 계정 이름)을 입력한 다음, 계정 유형에서 관리자를 선택합니다.
또한 명령 프롬프트를 사용하여 사용자를 추가할 수 있습니다.
- 테넌트 사용자가 온-프레미스 Active Directory에서 동기화되면
net localgroup administrators /add "Contoso\username"
을 사용합니다. - 테넌트 사용자가 Microsoft Entra ID로 만들어진 경우
net localgroup administrators /add "AzureAD\UserUpn"
을 사용합니다.
고려 사항
- Microsoft Entra 조인 디바이스 로컬 관리자 역할에만 역할 기반 그룹을 할당할 수 있습니다.
- Microsoft Entra 조인 디바이스 로컬 관리자 역할은 모든 Microsoft Entra 조인 디바이스에 할당됩니다. 이 역할은 특정 디바이스 집합으로 범위를 지정할 수 없습니다.
- Windows 디바이스의 로컬 관리자 권한은 Microsoft Entra B2B 게스트 사용자에게는 적용되지 않습니다.
- Microsoft Entra 조인 디바이스 로컬 관리자 역할에서 사용자를 제거해도 변경 내용이 즉시 적용되지 않습니다. 사용자는 디바이스에 로그인되어 있는 동안 디바이스에 대한 로컬 관리자 권한을 계속 가집니다. 권한은 다음 번에 로그인하는 중에 또는 새 Primary Refresh Tokens이 발급된 후 해지됩니다. 권한 상승과 유사한 이 해지에는 최대 4시간이 걸릴 수 있습니다.
다음 단계
- 디바이스를 관리하는 방법에 대한 개요를 보려면 디바이스 ID 관리를 참조하세요.
- 디바이스 기반 조건부 액세스에 대해 자세히 알아보려면 조건부 액세스: 규격 또는 Microsoft Entra 하이브리드 조인 디바이스 필요를 참조하세요.