organization 대한 액세스 보안은 필수 보안 단계입니다. 이 문서에서는 Microsoft Entra ID RBAC 컨트롤의 확장인 RBAC(Microsoft Intune 역할 기반 액세스 제어)를 사용하기 위한 기본 세부 정보를 소개합니다. 후속 문서는 organization Intune RBAC를 배포하는 데 도움이 될 수 있습니다.
Intune RBAC를 사용하면 관리자에게 organization 리소스에 대한 액세스 권한이 있는 사용자와 해당 리소스로 수행할 수 있는 작업을 제어할 수 있는 세분화된 권한을 부여할 수 있습니다. Intune RBAC 역할을 할당하고 최소 권한 액세스 원칙을 준수하면 관리자는 관리 권한이 부여되어야 하는 사용자 및 디바이스에서만 할당된 작업을 수행할 수 있습니다.
RBAC 역할
각 Intune RBAC 역할은 해당 역할에 할당된 사용자가 사용할 수 있는 사용 권한 집합을 지정합니다. 권한은 디바이스 구성 또는 감사 데이터와 같은 하나 이상의 관리 범주와 읽기, 쓰기, 업데이트 및 삭제와 같이 수행할 수 있는 작업 집합으로 구성됩니다. 함께 Intune 내에서 관리 액세스 및 권한의 scope 정의합니다.
Intune 기본 제공 역할과 사용자 지정 역할을 모두 포함합니다. 기본 제공 역할은 모든 테넌트에서 동일하며 일반적인 관리 시나리오를 해결하기 위해 제공되며, 만드는 사용자 지정 역할은 관리자가 필요에 따라 특정 권한을 허용합니다. 또한 여러 Microsoft Entra 역할에는 Intune 내의 권한이 포함됩니다.
Intune 관리 센터에서 역할을 보려면 테넌트 관리>역할>모든 역할로 이동하여 역할을 > 선택합니다. 그런 다음, 다음 페이지를 통해 해당 역할을 관리할 수 있습니다.
- 속성: 역할의 이름, 설명, 권한 및 범위 태그입니다. 기본 제공 역할 권한에서 이 설명서에서 기본 제공 역할의 이름, 설명 및 권한을 볼 수도 있습니다.
- 할당: 역할에 대한 할당을 선택하여 할당 에 포함된 그룹 및 범위를 포함하여 역할에 대한 세부 정보를 봅니다. 역할에는 여러 할당이 있을 수 있으며 사용자는 여러 할당을 받을 수 있습니다.
참고
2021년 6월에 Intune 무면허 관리자를 지원하기 시작했습니다. 이 변경 후 생성된 사용자 계정은 할당된 라이선스 없이 Intune 관리할 수 있습니다. 이 변경 전에 만든 계정에는 여전히 Intune 관리하기 위한 라이선스가 필요합니다.
기본 제공 역할
충분한 권한이 있는 Intune 관리자는 사용자 그룹에 Intune 역할을 할당할 수 있습니다. 기본 제공 역할은 역할의 목적에 맞는 관리 작업을 수행하는 데 필요한 특정 권한을 부여합니다. Intune 기본 제공 역할의 설명, 형식 또는 권한에 대한 편집을 지원하지 않습니다.
- 애플리케이션 관리자: 모바일 및 관리되는 애플리케이션을 관리하며, 디바이스 정보를 읽고, 디바이스 구성 프로필을 볼 수 있습니다.
- 엔드포인트 권한 관리자: Intune 콘솔에서 엔드포인트 권한 관리 정책을 관리합니다.
- 엔드포인트 권한 읽기 권한자: 엔드포인트 권한 읽기 권한자는 Intune 콘솔에서 엔드포인트 권한 관리 정책을 볼 수 있습니다.
- 엔드포인트 보안 관리자: 보안 기준, 디바이스 규정 준수, 조건부 액세스 및 엔드포인트용 Microsoft Defender 같은 보안 및 규정 준수 기능을 관리합니다.
- 기술 지원팀 운영자: 사용자와 디바이스에 대해 원격 작업을 수행하며, 사용자 또는 디바이스에 애플리케이션이나 정책을 할당할 수 있습니다.
- Intune 역할 관리자: 사용자 지정 Intune 역할을 관리하고 기본 제공 Intune 역할에 대한 할당을 추가합니다. 관리자에게 사용 권한을 할당할 수 있는 유일한 Intune 역할입니다.
- 정책 및 프로필 관리자: 규정 준수 정책, 구성 프로필, Apple 등록, 회사 디바이스 식별자 및 보안 기준을 관리합니다.
- 읽기 전용 운영자: 사용자, 디바이스, 등록, 구성 및 애플리케이션 정보를 확인할 수 있습니다. Intune을 변경할 수 없습니다.
- 학교 관리자: Intune for Education으로 Windows 10 디바이스를 관리합니다.
테넌트가 클라우드 PC를 지원하기 위한 Windows 365 구독을 포함하는 경우 Intune 관리 센터에서 다음 클라우드 PC 역할도 찾을 수 있습니다. 이러한 역할은 기본적으로 사용할 수 없으며 클라우드 PC와 관련된 작업에 대한 Intune 내의 권한을 포함합니다. 이러한 역할에 대한 자세한 내용은 Windows 365 설명서의 클라우드 PC 기본 제공 역할을 참조하세요.
- 클라우드 PC 관리자: 클라우드 PC 관리자는 클라우드 PC 영역에 있는 모든 클라우드 PC 기능에 대한 읽기 및 쓰기 액세스 권한을 갖습니다.
- 클라우드 PC 읽기 권한자: 클라우드 PC 판독기는 클라우드 PC 영역에 있는 모든 클라우드 PC 기능에 대한 읽기 권한이 있습니다.
사용자 지정 역할
사용자 고유의 사용자 지정 Intune 역할을 만들어 관리자에게 작업에 필요한 특정 권한만 부여할 수 있습니다. 이러한 사용자 지정 역할에는 Intune RBAC 권한이 포함될 수 있으므로 organization 내에서 최소 권한 액세스 원칙에 대한 관리자 액세스 및 지원을 구체화할 수 있습니다.
사용자 지정 역할 만들기를 참조하세요.
Intune 액세스 권한이 있는 역할 Microsoft Entra
Intune RBAC 권한은 Microsoft Entra RBAC 권한의 하위 집합입니다. 하위 집합으로 Intune 내의 권한을 포함하는 일부 Entra 역할이 있습니다. Intune 액세스할 수 있는 대부분의 Entra ID 역할은 권한 있는 역할로 간주됩니다. 권한 있는 역할의 사용 및 할당은 제한되어야 하며 Intune 내의 일상적인 관리 작업에는 사용되지 않아야 합니다.
Microsoft는 관리자가 업무를 수행하는 데 필요한 최소 권한만 할당하여 최소 사용 권한 원칙을 따르는 것이 좋습니다. 이 원칙을 지원하려면 일상적인 Intune 관리 작업에 Intune 기본 제공 RBAC 역할을 사용하고 Intune 액세스할 수 있는 Entra 역할을 사용하지 마세요.
다음 표에서는 Intune 대한 액세스 권한이 있는 Entra 역할과 해당 역할에 포함된 Intune 권한을 식별합니다.
| Microsoft Entra 역할 | 모든 Intune 데이터 | Intune 감사 데이터 |
|---|---|---|
전역 관리자  |
읽기/쓰기 | 읽기/쓰기 |
| Intune 서비스 관리자 |
읽기/쓰기 | 읽기/쓰기 |
| 조건부 액세스 관리자 |
없음 | 없음 |
| 보안 관리자 |
읽기 전용(엔드포인트 보안 노드에 대한 전체 관리 권한) | 읽기 전용 |
| 보안 운영자 |
읽기 전용 | 읽기 전용 |
| 보안 읽기 |
읽기 전용 | 읽기 전용 |
| 규정 준수 관리자 | 없음 | 읽기 전용 |
| 규정 준수 데이터 관리자 | 없음 | 읽기 전용 |
| 전역 읽기 (이 역할은 Intune 기술 지원 센터 운영자 역할과 동일) |
읽기 전용 | 읽기 전용 |
| 기술 지원팀 관리자 (이 역할은 Intune 지원 센터 운영자 역할과 동일) |
읽기 전용 | 읽기 전용 |
| 보고서 읽기 권한자 | 없음 | 읽기 전용 |
Intune 내에서 권한이 있는 Entra 역할 외에도 다음 세 가지 Intune 영역은 Entra의 직접 확장인 사용자, 그룹 및 조건부 액세스입니다. Intune 내에서 만든 이러한 개체 및 구성의 인스턴스는 Entra에 있습니다. Entra 개체는 Entra 역할에 의해 부여된 충분한 권한으로 Entra 관리자가 관리할 수 있습니다. 마찬가지로 Intune 충분한 권한이 있는 Intune 관리자는 Entra에서 만든 이러한 개체 형식을 보고 관리할 수 있습니다.
Intune 대한 Privileged Identity Management
PIM(Entra ID Privileged Identity Management)을 사용하는 경우 사용자가 Intune RBAC 역할 또는 Entra ID Intune 관리자 역할에서 제공하는 권한을 사용할 수 있는 시기를 관리할 수 있습니다.
Intune 두 가지 역할 상승 방법을 지원합니다. 두 메서드 간에 성능 및 최소 권한 차이가 있습니다.
방법 1: Microsoft Entra 기본 제공 Intune 관리자 역할에 대한 MICROSOFT ENTRA PRIVILEGED IDENTITY MANAGEMENT(PIM)를 사용하여 JIT(Just-In-Time) 정책을 만들고 관리자 계정에 할당합니다.
방법 2: Intune RBAC 역할 할당을 사용하여 그룹에 대한 PIM(Privileged Identity Management)을 활용합니다. INTUNE RBAC 역할과 함께 그룹에 PIM을 사용하는 방법에 대한 자세한 내용은 다음을 참조하세요. Microsoft Intune 그룹에 대한 MICROSOFT ENTRA PIM을 사용하여 Just-In-Time 관리자 액세스 구성 | Microsoft 커뮤니티 허브
Entra ID Intune 관리자 역할에 PIM 권한 상승을 사용하는 경우 일반적으로 권한 상승은 10초 이내에 발생합니다. Intune 기본 제공 또는 사용자 지정 역할에 대한 PIM 그룹 기반 권한 상승은 일반적으로 적용하는 데 최대 15분이 걸립니다.
Intune 역할 할당 정보
Intune 사용자 지정 역할과 기본 제공 역할은 모두 사용자 그룹에 할당됩니다. 할당된 역할은 그룹의 각 사용자에게 적용되며 다음을 정의합니다.
- 역할에 할당되는 사용자
- 역할에 할당되는 사용자가 볼 수 있는 리소스
- 역할에 할당되는 사용자가 변경할 수 있는 리소스
Intune 역할이 할당된 각 그룹에는 해당 역할에 대한 관리 작업을 수행할 권한이 있는 사용자만 포함되어야 합니다.
- 최소 권한의 기본 제공 역할이 과도한 권한 또는 권한을 부여하는 경우 사용자 지정 역할을 사용하여 관리 액세스의 scope 제한하는 것이 좋습니다.
- 역할 할당을 계획할 때 여러 역할 할당이 있는 사용자의 결과를 고려합니다.
사용자에게 Intune 역할이 할당되고 Intune 관리할 수 있는 액세스 권한이 있는 경우 2021년 6월 이후에 Entra에서 계정이 만들어지는 한 Intune 라이선스가 필요하지 않습니다. 2021년 6월 이전에 만든 계정에는 Intune 사용할 라이선스가 할당되어야 합니다.
기존 역할 할당을 보려면 Intune>테넌트 관리>역할>모든 역할이> 할당을 선택하는 역할을>> 선택합니다. 할당 속성 페이지에서 다음을 편집할 수 있습니다.
기본 사항: 할당 이름 및 설명입니다.
멤버: 멤버는 역할 할당을 만들 때 관리 그룹 페이지에서 구성된 그룹입니다. 나열된 Azure 보안 그룹의 모든 사용자에게는 범위(그룹)에 나열된 사용자 및 디바이스를 관리할 수 있는 권한이 있습니다.
범위(그룹): 범위(그룹)를 사용하여 이 역할 할당을 사용하는 관리자가 관리할 수 있는 사용자 및 디바이스 그룹을 정의합니다. 이 역할 할당을 사용하는 관리 사용자는 역할에서 부여한 권한을 사용하여 scope 그룹에 정의된 역할 할당 내의 모든 사용자 또는 디바이스를 관리할 수 있습니다.
팁
scope 그룹을 구성할 때 이 역할 할당을 사용하는 관리자가 관리해야 하는 사용자 및 디바이스를 포함하는 보안 그룹만 선택하여 액세스를 제한합니다. 이 역할을 가진 관리자가 모든 사용자 또는 모든 디바이스를 대상으로 지정할 수 없도록 하려면 모든 사용자 추가 또는 모든 디바이스 추가를 선택하지 마세요.
범위 태그: 이 역할 할당이 할당된 관리자 사용자는 동일한 scope 태그가 있는 리소스를 볼 수 있습니다.
참고
범위 태그는 관리자가 정의한 다음 역할 할당에 추가하는 자유 형식 텍스트 값입니다. 역할에 추가된 scope 태그는 역할 자체의 가시성을 제어하지만 역할 할당에 추가된 scope 태그는 역할 할당에 하나 이상의 일치하는 scope 태그가 포함되어 있으므로 정책, 앱 또는 디바이스와 같은 Intune 개체의 표시 여부를 해당 역할 할당의 관리자만 볼 수 있도록 제한합니다.
여러 역할 할당
사용자에게 여러 역할 할당, 권한 및 범위 태그가 있으면 해당 역할 할당이 다음과 같이 다른 개체로 확장됩니다.
- 두 개 이상의 역할이 동일한 개체에 권한을 부여하는 경우 사용 권한은 증분됩니다. 예를 들어 한 역할의 읽기 권한과 다른 역할의 읽기/쓰기 권한이 있는 사용자는 읽기/쓰기의 유효 권한이 있습니다(두 역할에 대한 할당이 동일한 scope 태그를 대상으로 가정).
- 할당 권한 및 범위 태그는 해당 역할의 할당 범위(그룹) 내에 있는 개체(예: 정책 또는 앱)에만 적용됩니다. 다른 할당에서 권한을 특별히 부여하지 않는 한 할당 권한 및 범위 태그는 다른 역할 할당의 개체에 적용되지 않습니다.
- 다른 권한(예: 만들기, 읽기, 업데이트, 삭제) 및 범위 태그는 사용자 할당에서 유형이 같은 모든 개체(예: 모든 정책 또는 모든 앱)에 적용됩니다.
- 유형이 다른 개체(예: 정책 또는 앱)에 대한 권한 및 범위 태그는 서로에게 적용되지 않습니다. 예를 들어 정책 읽기 권한은 사용자 할당의 앱을 읽을 수 있는 권한을 제공하지 않습니다.
- scope 태그가 없거나 다른 할당에서 일부 scope 태그가 할당된 경우 사용자는 일부 scope 태그의 일부이며 모든 디바이스를 볼 수 없는 디바이스만 볼 수 있습니다.
RBAC 할당 모니터링
이 부분과 세 개의 하위 섹션이 진행 중입니다.
Intune 관리 센터 내에서 테넌트 관리자>역할로 이동하고 모니터를 확장하여 다른 사용자가 Intune 테넌트 내에서 가진 권한을 식별하는 데 도움이 되는 몇 가지 보기를 찾을 수 있습니다. 예를 들어 복잡한 관리 환경에서는 관리 권한 보기를 사용하여 현재 관리 권한 scope 볼 수 있도록 계정을 지정할 수 있습니다.
내 권한
이 노드를 선택하면 계정에 부여된 현재 Intune RBAC 범주 및 사용 권한의 결합된 목록이 표시됩니다. 이 결합된 목록에는 모든 역할 할당의 모든 권한이 포함되지만 어떤 역할 할당이 할당되는지 또는 할당된 그룹 멤버 자격이 포함되지는 않습니다.
권한별 역할
이 보기를 사용하면 특정 Intune RBAC 범주 및 권한, 역할 할당 및 해당 조합을 사용할 수 있는 그룹에 대한 세부 정보를 볼 수 있습니다.
시작하려면 Intune 권한 범주를 선택한 다음 해당 범주에서 특정 권한을 선택합니다. 그러면 관리 센터에서 다음을 포함하는 권한이 할당되는 인스턴스 목록을 표시합니다.
- 역할 표시 이름 – 권한을 부여하는 기본 제공 또는 사용자 지정 RBAC 역할의 이름입니다.
- 역할 할당 표시 이름 – 사용자 그룹에 역할을 할당하는 역할 할당의 이름입니다.
- 그룹 이름 – 해당 역할 할당을 받는 그룹의 이름입니다.
관리 권한
관리 권한 노드를 사용하여 계정이 현재 부여된 특정 권한을 식별합니다.
먼저 사용자 계정을 지정합니다. 사용자가 계정에 할당된 Intune 권한이 있는 한 Intune 범주 및 권한으로 식별된 사용 권한의 전체 목록을 표시합니다.
