변경 검토 에이전트 개요

공개 미리 보기에서 Microsoft Intune 변경 검토 에이전트는 Microsoft Security Copilot 생성 AI를 사용하여 Windows 디바이스의 PowerShell 스크립트에 대한 다중 관리 승인 요청을 평가합니다. 관리자가 스크립트 동작 및 관련 위험을 이해하는 데 도움이 되는 위험 기반 권장 사항 및 컨텍스트 인사이트를 제공합니다. 이러한 인사이트는 Intune 관리자가 요청을 승인하거나 거부할지 여부에 대해 보다 신속하게 정보에 입각한 결정을 내리는 데 도움이 됩니다.

이러한 권장 사항을 생성하기 위해 에이전트는 여러 원본의 신호를 집계합니다.

• Microsoft Defender 취약성 관리 - 위협 인사이트용
• Microsoft -Entra ID - ID 위험
• Microsoft Intune - 다중 관리 승인 요청 및 유사한 요청의 기록 컨텍스트

에이전트는 이러한 신호를 분석하여 각 요청과 관련된 잠재적 위험을 평가한 다음, 안전하고 효율적인 변경 관리를 지원하기 위한 실행 가능한 인사이트를 제공합니다.

필수 구성 요소

클라우드 요구 사항

에이전트는 퍼블릭 클라우드에서만 지원됩니다. 정부 클라우드에서는 지원되지 않습니다.

라이선스 요구 사항

Microsoft Intune Security Copilot 에이전트를 사용하려면 organization 특정 라이선스 요구 사항을 충족해야 합니다.

필수 라이선스:

• Microsoft Intune 계획 1 구독
• Microsoft Entra ID P2
• Microsoft Defender 취약성 관리
• 충분한 보안 컴퓨팅 단위(SCU)가 있는 Microsoft Security Copilot

플러그 인 요구 사항

플러그 인을 사용하면 Security Copilot 에이전트가 Microsoft 서비스에 연결하고 특수한 작업을 수행할 수 있습니다.

변경 검토 에이전트에는 다음 플러그 인이 필요합니다.

• Microsoft Intune
• Microsoft Entra
• Microsoft Defender XDR
• Microsoft 위협 인텔리전스

플러그 인에 대해 자세히 알아보세요.

플랫폼 요구 사항 및 시나리오

에이전트는 다음 플랫폼 및 시나리오에 대한 평가 및 권장 사항을 지원합니다.

• Windows
• Intune PowerShell 스크립트

역할 요구 사항

역할 요구 사항은 에이전트를 구성하거나 사용하는지 여부와 수행된 특정 작업에 따라 달라집니다.

---

변경 검토 에이전트를 사용하도록 설정하고 구성 하려면 다음 역할이 있는 계정을 사용합니다.

Entra 역할:

• Intune 관리자
• 보안 읽기 권한자
• Entra/Identity 위험한 사용자(읽기) - 이 권한은 통합 RBAC 권한 보안 태세/ID 위험/위험한 사용자(읽기)에 매핑됩니다.

Defender 역할 - Defender RBAC(역할 기반 액세스 제어) 역할은 Defender XDR 구현에 따라 달라집니다.

• 통합 RBAC: 에이전트의 ID 계정에 Microsoft Entra ID 보안 판독기를 할당합니다. 이 역할은 Defender 취약성 관리 데이터에 대한 읽기 전용 액세스를 제공하고 디바이스 그룹 범위 지정을 자동으로 적용합니다.

• 세분화된 RBAC: 통합 RBAC 보안 읽기 권한자 역할에 해당하는 권한을 가진 사용자 지정 RBAC 역할을 할당합니다. 예시:

  • 데이터 보기 – Defender 취약성 관리 - 이 권한은 통합 RBAC 권한 보안 태세/자세 관리/취약성 관리(읽기)에 매핑됩니다.

  통합 RBAC 보안 읽기 권한자 역할에 대한 매핑 권한에 대한 자세한 내용은 Defender 설명서의 맵 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어) 문서에서 Microsoft Entra 전역 역할 액세스를 참조하세요.

  에이전트의 ID 범위가 모든 관련 디바이스 그룹을 포함하도록 Microsoft Defender 범위가 지정되었는지 확인합니다. 에이전트는 할당된 scope 외부의 디바이스에 액세스하거나 보고할 수 없습니다.

Security Copilot 역할:

• 코필로트 소유자

---

에이전트를 사용하고 오프보딩 작업을 수행하려면 다음 역할이 있는 계정을 사용합니다.

Intune 역할:

• 동등한 권한이 있는 운영자 또는 사용자 지정 역할만 읽습니다.

Entra 역할:

• 보안 읽기 권한자

Defender 역할

• 에이전트를 사용하려면 에이전트를 사용하도록 설정하고 구성하는 것과 동일한 액세스 권한이 필요합니다.

Security Copilot 역할:

• 코필로트 기여자

에이전트 작동 방식

변경 검토 에이전트는 Intune 관리자 계정 ID를 사용하여 작동하며 관리자가 시작할 때 수동으로 실행됩니다.

높은 수준에서 에이전트는 실행할 때마다 다음 단계를 수행합니다.

1. 신호 집계 - 에이전트는 다음 원본의 신호를 집계하여 시작합니다.

   • Microsoft Defender 취약성 관리 - 위협 인사이트용
   • Microsoft Entra ID - ID 위험
   • Microsoft Intune - 다중 관리 승인 요청 및 유사한 요청의 기록 컨텍스트

2. 평가 - 에이전트는 에이전트 구성에 기본 제공되는 미리 정의된 논리를 사용하여 다중 관리 승인 요청에 대한 Windows PowerShell 스크립트를 평가합니다.

3. 권장 사항 - 에이전트는 실행당 최대 10개의 요청에 대한 권장 사항을 검토한 다음 제공합니다.

   제안은 제안 사항 입니다. 요청의 승인 또는 거부는 Intune 관리자에게 남아 있습니다.

   권장 사항 목록의 첫 번째 열에는 권장 작업 뒤에 요청 이름이 표시되는 제안된 다음 단계가 표시됩니다. 가능한 작업은 다음과 같습니다.

   • 승인 - 위험 수준이 낮은 요청; 승인해도 안전할 수 있습니다.
   • 거부 - 고위험 요청; 승인하면 안 됩니다.
   • 자세한 정보 필요 - 위험을 완전히 평가할 수 없습니다. 이 요청에는 추가 검토가 필요합니다.

   각 권장 사항에는 다음을 설명하는 지원 세부 정보가 포함됩니다.

   • 에이전트 권장 사항의 근거입니다.
   • 스크립트가 수행하거나 수행하려는 작업입니다.
   • 에이전트가 프로세스의 일부로 검토한 자세한 요소 목록입니다.

에이전트 ID

에이전트는 설치 중에 사용되는 Intune 관리자 계정의 ID 및 권한으로 실행됩니다. 에이전트의 작업은 해당 계정의 권한으로 제한되며, 각 실행 시 ID가 새로 고쳐집니다. 에이전트가 90일 연속으로 실행되지 않으면 인증이 만료되고 갱신될 때까지 후속 실행이 실패합니다. 기능을 유지하려면 90일 제한 전에 에이전트 ID를 갱신합니다.

운영 고려 사항

에이전트를 처음으로 설정하고 시작하기 전에 다음 고려 사항을 검토합니다.

• 관리자는 에이전트를 수동으로 시작해야 합니다. 시작되면 중지하거나 일시 중지할 수 있는 옵션이 없습니다.
• 에이전트는 Microsoft Intune 관리 센터에서만 시작할 수 있습니다.
• Microsoft Security Copilot 포털의 세션 세부 정보는 에이전트를 설정한 사용자에게만 표시됩니다.
• 에이전트는 실행당 최대 10개의 요청에 대한 권장 사항을 검토한 다음 제공합니다.
• 테넌트/사용자 컨텍스트당 하나의 에이전트 instance만 지원됩니다.

에이전트 설정

에이전트는 설치 중에 사용되는 Intune 관리자 계정의 ID 및 권한으로 작동합니다. 해당 작업은 해당 계정의 권한으로 제한되며, 각 실행과 함께 ID가 새로 고쳐집니다. 계정의 권한을 변경하면 다음 실행 중에 에이전트의 기능에 영향을 줍니다.

변경 검토 에이전트를 설정하려면 다음을 수행합니다.

1. Microsoft Intune 관리 센터에서에이전트>변경 검토 에이전트로 이동합니다.

2. 개요에서 에이전트 설정을 선택하여 변경 검토 에이전트 설정 창을 엽니다.

3. 변경 검토 에이전트 설정 창에는 필요한 권한이 나열되고 설정 요구 사항에 대한 세부 정보가 표시됩니다. 요구 사항이 충족되면 에이전트 시작을 선택합니다.

   

에이전트는 평가를 완료하고 개요 탭에 결과를 표시할 때까지 작동합니다. 실행이 완료되면 에이전트를 사용할 준비가 됩니다.

에이전트 사용에 대한 자세한 내용은 변경 검토 에이전트 사용을 참조하세요.

에이전트 제거

에이전트를 제거하면 제안 및 활동을 포함하여 생성된 모든 관련 데이터가 삭제됩니다. 이전에 적용된 제안은 변경되지 않은 상태로 유지됩니다.

에이전트 instance 제거하는 단계:

1. Microsoft Intune 관리 센터에서에이전트를 선택합니다.
2. 제거할 에이전트 instance 선택합니다.
3. 에이전트 제거를 선택하고 제거를 확인합니다.

제거 후:

• 에이전트 창이 원래 상태로 돌아갑니다.
• 관리자는 설치 프로세스를 반복하여 나중에 에이전트를 다시 설치할 수 있습니다.

Intune 에이전트의 미래를 형성하는 데 도움이 됩니다.

Intune 에이전트 피드백 포럼에 참여하여 인사이트를 공유하고 Microsoft Intune 예정된 기능에 영향을 줍니다.

등록하고 자세히 알아보세요. https://aka.ms/IntuneAgentsForum

관련 콘텐츠

• 변경 검토 에이전트 사용