엔드포인트 권한 관리 배포 계획 및 준비

참고

이 기능은 Intune 추가 기능으로 사용할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.

Microsoft Intune 엔드포인트 권한 관리(EPM)을 사용하면 organization 사용자가 관리자 권한 없이 표준 사용자로 실행하고 상승된 권한이 필요한 작업을 완료할 수 있습니다. 자세한 내용은 EPM 개요를 참조하세요.

적용 대상:

• Windows

이 문서에서는 요구 사항, 중요한 개념, 보안 권장 사항 및 역할 기반 액세스 제어를 포함하여 EPM(엔드포인트 권한 관리) 배포를 계획하는 데 필요한 정보를 다룹니다.

계획 검사 목록

• 테넌트의 기술 및 라이선스 필수 구성 요소를 검토합니다.
• 대상 사용자 가상 사용자를 정의하여 이러한 가상 사용자에 대한 논리적 그룹화로 규칙을 빌드할 수 있습니다.
• 다음을 포함하여 권한 상승 설정 및 권한 상승 규칙 정책을 잘 이해해야 합니다.
  • 기본 권한 상승 설정 및 진단 데이터 수집.
  • 파일 해시, 메타데이터 또는 인증서를 사용하여 권한 상승 파일 정의
  • 인증서 규칙에서 해당 인증서로 서명된 모든 앱을 승격할 수 있는 방법. 동일한 인증서로 모든 앱에 서명할 수 있는 공급업체에 주의하세요.
  • Rules 인수 지원 및 자식 프로세스 동작 옵션입니다.
  • 권한 상승 유형입니다.
  • 겹치는 규칙 할당이 있을 때 규칙 충돌을 처리하는 방법입니다.
• organization 사용자 가상 사용자에 대한 보안과 유연성 간의 적절한 균형을 찾습니다.
• 강력한 출시 전략이 있는지 확인합니다. 여기에는 관련자 관리, 최종 사용자 통신 및 교육 계획 및 모니터링이 포함됩니다.

필수 구성 요소

✅ EPM에 필요한 항목 알아보기

라이선싱

엔드포인트 권한 관리 Microsoft Intune 계획 1 라이선스 이외의 추가 기능 라이선스가 필요합니다. EPM만 추가하는 독립 실행형 라이선스 또는 Microsoft Intune Suite 일부로 EPM 라이선스 중에서 선택할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.

요구 사항

엔드포인트 권한 관리 다음과 같은 요구 사항이 있습니다.

• Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인
• Microsoft Intune 등록 또는 공동 관리 디바이스 Microsoft Configuration Manager(워크로드 요구 사항 없음)
• 지원하는 운영 체제
• 필요한 엔드포인트에 대한 명확한 시야(SSL 검사 없음)

참고

• Windows 365 지원되는 운영 체제 버전을 사용하여 지원됩니다.
• EPM은 작업 공간 조인 디바이스 및 Azure Virtual Desktop을 지원하지 않습니다.

엔드포인트 권한 관리 다음 운영 체제를 지원합니다.

• Windows 11 버전 24H2
• Windows 11 버전 23H2(22631.2506 이상) 및 KB5031455
• Windows 11 버전 22H2(22621.2215 이상) 및 KB5029351
• Windows 11 버전 21H2(22000.2713 이상) 및 KB5034121
• Windows 10 버전 22H2(19045.3393 이상) 및 KB5030211
• Windows 10 버전 21H2(19044.3393 이상) 및 KB5030211

중요

2025년 10월 14일, Windows 10 지원이 종료되었으며 품질 및 기능 업데이트를 받지 못합니다. Windows 10 Intune에서 허용되는 버전입니다. 이 버전을 실행하는 디바이스는 여전히 Intune에 등록하고 적격 기능을 사용할 수 있지만 기능이 보장되지 않으며 다를 수 있습니다.

중요

• 권한 상승 설정 정책은 지원되는 운영 체제 버전을 실행하지 않는 디바이스에 대해 '해당 없음'으로 보고합니다.
• 엔드포인트 권한 관리 Arm64를 포함하여 64비트 운영 체제 아키텍처와만 호환됩니다.

정부 클라우드 지원

엔드포인트 권한 관리 다음과 같은 소버린 클라우드 환경에서 지원됩니다.

• 미국 정부 커뮤니티 클라우드(GCC) High
• 미국 국방부(DoD)

자세한 내용은 Microsoft Intune for US Government GCC 서비스 설명을 참조하세요.

엔드포인트 권한 관리 대한 중요한 개념

앞에서 언급한 권한 상승 설정 및 권한 상승 규칙 정책을 구성하는 경우 organization 요구 사항을 충족하도록 EPM을 구성하는 것을 이해하는 몇 가지 중요한 개념이 있습니다. EPM을 널리 배포하기 전에 다음 개념과 이러한 개념이 환경에 미치는 영향을 잘 이해해야 합니다.

• 관리자 권한으로 실행 - EPM이 디바이스에서 활성화될 때 나타나는 오른쪽 클릭 상황에 맞는 메뉴 옵션입니다. 이 옵션을 사용하면 디바이스 권한 상승 규칙 정책이 일치 여부를 확인하여 해당 파일을 관리자 권한으로 관리자 권한으로 관리 컨텍스트에서 실행할 수 있는지, 어떻게 확인할 수 있는지 확인합니다. 적용 가능한 권한 상승 규칙이 없는 경우 디바이스는 권한 상승 설정 정책에 정의된 대로 기본 권한 상승 구성을 사용합니다.

• 파일 권한 상승 및 권한 상승 유형 – EPM을 사용하면 관리 권한이 없는 사용자가 관리 컨텍스트에서 프로세스를 실행할 수 있습니다. 권한 상승 규칙을 만들 때 해당 규칙을 사용하면 EPM에서 해당 규칙의 대상을 프록시하여 디바이스의 관리자 권한으로 실행할 수 있습니다. 그 결과 애플리케이션은 디바이스에서 전체 관리 기능을 갖습니다.

현재 사용자로 Elevate를 제외하고 EPM은 가상 계정을 사용하여 프로세스를 승격합니다. 이렇게 하면 사용자 프로필에서 상승된 작업을 격리하여 사용자별 데이터에 대한 노출을 줄이고 권한 상승 위험을 낮춥니다.

엔드포인트 권한 관리 사용하는 경우 권한 상승 동작에 대한 몇 가지 옵션이 있습니다.

• 자동: 자동 권한 상승 규칙의 경우 EPM은 사용자의 입력 없이 이러한 애플리케이션을 자동으로 상승합니다. 이 범주의 광범위한 규칙은 organization 보안 태세에 광범위한 영향을 미칠 수 있습니다.

• 사용자 확인: 사용자가 확인한 규칙을 사용하면 최종 사용자가 새 마우스 오른쪽 클릭 상황에 맞는 메뉴를 사용하여 관리자 권한으로 실행합니다. 사용자가 확인한 규칙은 인증 또는 비즈니스 근거를 사용하여 유효성 검사를 요구할 수도 있습니다. 유효성 검사를 요구하면 사용자가 권한 상승을 승인하도록 하여 추가 보호 계층을 제공합니다.

• 현재 사용자 권한 상승: 이 유형의 권한 상승은 로그인한 사용자 고유의 계정에서 관리자 권한 프로세스를 실행하여 활성 사용자 프로필을 사용하는 도구 및 설치 관리자와의 호환성을 유지합니다. 이렇게 하려면 사용자가 Windows 인증에 대한 자격 증명을 입력해야 합니다. 이렇게 하면 사용자의 프로필 경로, 환경 변수 및 개인 설정된 설정이 유지됩니다. 관리자 권한 상승 프로세스는 상승 전후에 동일한 사용자 ID를 유지하므로 감사 내역은 일관되고 정확하게 유지됩니다.

  그러나 관리자 권한 프로세스는 사용자의 전체 컨텍스트를 상속하므로 이 모드는 더 광범위한 공격 표면을 도입하고 사용자 데이터로부터 격리를 줄입니다.

  주요 고려사항:

  • 호환성 필요: 가상 계정 상승으로 인해 애플리케이션 오류가 발생하는 경우에만 이 모드를 사용합니다.
  • 엄격하게 범위 지정: 권한 상승 규칙을 신뢰할 수 있는 이진 파일 및 경로로 제한하여 위험을 줄입니다.
  • 보안 절충: 이 모드는 사용자별 데이터에 대한 노출을 증가한다는 것을 이해합니다.

  팁

  호환성이 문제가 되지 않는 경우 더 강력한 보안을 위해 가상 계정 상승을 사용하는 방법을 선호합니다.

• 거부: 거부 규칙은 EPM이 관리자 권한 컨텍스트에서 실행되지 못하도록 차단하는 파일을 식별합니다. 거부 규칙은 알려진 파일 또는 잠재적으로 악성 소프트웨어를 관리자 권한 컨텍스트에서 실행할 수 없도록 할 수 있습니다.

• 지원 승인됨: 지원 승인된 규칙의 경우 최종 사용자는 관리자 권한으로 애플리케이션을 실행하기 위한 요청을 제출해야 합니다. 요청이 제출되면 관리자가 요청을 승인할 수 있습니다. 요청이 승인되면 최종 사용자는 디바이스에서 권한 상승을 다시 시도할 수 있다는 알림을 받습니다. 이 규칙 유형을 사용하는 방법에 대한 자세한 내용은 승인된 권한 상승 요청 지원을 참조하세요.

참고

각 권한 상승 규칙은 관리자 권한 프로세스가 만드는 자식 프로세스에 대한 권한 상승 동작을 설정할 수도 있습니다.

• 자식 프로세스 컨트롤 - EPM에서 프로세스를 승격하는 경우 자식 프로세스 생성이 EPM에 의해 제어되는 방식을 제어할 수 있습니다. 이를 통해 관리자 권한 애플리케이션에서 만들 수 있는 하위 프로세스를 세분화할 수 있습니다.

• 클라이언트 쪽 구성 요소 – 엔드포인트 권한 관리 사용하기 위해 Intune은 디바이스에서 권한 상승 정책을 수신하고 적용하는 작은 구성 요소 집합을 프로비전합니다. Intune은 권한 상승 설정 정책을 수신할 때만 구성 요소를 프로비전하고 정책은 엔드포인트 권한 관리를 사용하도록 설정 하려는 의도를 표현합니다.

• 관리되는 권한 상승과 관리되지 않는 권한 상승 – 이러한 용어는 보고 및 사용량 현황 데이터에 사용될 수 있습니다. 이러한 용어는 다음 설명을 참조합니다.

  • 관리되는 권한 상승: 엔드포인트 권한 관리 모든 권한 상승이 용이합니다. 관리되는 권한 상승에는 EPM이 표준 사용자를 용이하게 하는 모든 권한 상승이 포함됩니다. 이러한 관리되는 권한 상승에는 권한 상승 규칙의 결과 또는 기본 권한 상승 작업의 일부로 발생하는 권한 상승이 포함될 수 있습니다.

  • 관리되지 않는 권한 상승: 엔드포인트 권한 관리 사용하지 않고 발생하는 모든 파일 권한 상승입니다. 관리자 권한이 있는 사용자가 관리자 권한으로 실행의 Windows 기본 작업을 사용하는 경우 이러한 권한 상승이 발생할 수 있습니다.

EPM 정책

✅ EPM 정책 유형 이해

엔드포인트 권한 관리 파일 권한 상승 요청이 처리되는 방법을 관리하기 위해 구성하는 두 가지 정책 형식을 사용합니다. 정책은 표준 사용자가 관리 권한으로 실행을 요청할 때 파일 권한 상승에 대한 동작을 함께 구성합니다.

이러한 정책은 다음과 같습니다.

• 권한 상승 설정 정책
• 권한 상승 규칙 정책

EPM은 여러 규칙 또는 규칙 정책에서 참조할 수 있는 게시자 인증서를 저장하는 재사용 가능한 설정 그룹도 지원합니다.

엔드포인트 권한 관리 대한 정책 충돌 처리

✅ 정책 충돌에 대해 알아보기

다음 경우를 제외하고 EPM에 대한 충돌 정책은 다른 정책 충돌처럼 처리됩니다.

Windows 권한 상승 설정 정책:

디바이스에서 충돌 값이 있는 두 개의 별도 권한 상승 설정 정책을 받으면 충돌이 해결될 때까지 EPM 클라이언트가 기본 클라이언트 동작으로 되돌아갑니다.

참고

엔드포인트 권한 관리 사용이 충돌하는 경우 클라이언트의 기본 동작은 EPM 사용입니다.

Windows 권한 상승 규칙 정책:

디바이스가 동일한 애플리케이션을 대상으로 하는 두 개의 규칙을 수신하는 경우 두 규칙이 모두 디바이스에서 소비됩니다. EPM이 권한 상승에 적용되는 resolve 규칙으로 전환되면 다음 논리를 사용합니다.

• 권한 상승 형식이 Deny인 규칙은 항상 우선적으로 적용되며 파일 권한 상승이 거부됩니다.
• 사용자에게 배포된 규칙이 디바이스에 배포된 규칙보다 우선합니다.
• 해시가 정의된 규칙은 항상 가장 구체적인 규칙으로 간주됩니다.
• 둘 이상의 규칙이 적용되는 경우(해시가 정의되지 않음) 가장 정의된 특성이 있는 규칙이 우선합니다(가장 구체적인 경우).
• 진행 논리를 적용하면 둘 이상의 규칙이 생성되는 경우 다음 순서에 따라 권한 상승 동작이 결정됩니다. 사용자 확인됨, 현재 사용자로 권한 상승, 지원 승인됨, 자동.

참고

권한 상승에 대한 규칙이 없고 권한 상승이 요청된 액세스 권한 으로 실행 마우스 오른쪽 단추 클릭 상황에 맞는 메뉴를 통해 요청된 경우 기본 상승 동작 이 사용됩니다.

엔드포인트 권한 관리 및 사용자 계정 컨트롤

✅ EPM과 사용자 계정 컨트롤 간의 상호 작용 이해

엔드포인트 권한 관리 및 Windows 기본 제공 UAC(사용자 계정 컨트롤)는 다양한 기능을 갖춘 별도의 기능입니다.

사용자를 표준 사용자로 실행하도록 이동하고 엔드포인트 권한 관리 활용하는 경우 표준 사용자의 기본 UAC 동작을 변경하도록 선택할 수 있습니다. 이 변경은 애플리케이션에 상승이 필요한 경우 혼동을 줄이고 더 나은 최종 사용자 환경을 만들 수 있습니다. 자세한 내용은 표준 사용자에 대한 권한 상승 프롬프트의 동작 을 검토합니다.

참고

엔드포인트 권한 관리 디바이스의 관리자가 실행하는 사용자 계정 제어 작업(또는 UAC)을 방해하지 않습니다.

보안 권장 사항

✅ EPM을 사용하는 가장 안전한 방법 이해

엔드포인트 권한 관리 안전하게 배포할 수 있도록 권한 상승 동작 및 규칙을 구성할 때 이러한 권장 사항을 고려합니다.

보안 기본 권한 상승 응답 설정

기본 권한 상승 응답을사용자 확인 필요 대신 지원 승인 필요 또는 거부로 설정합니다. 이러한 옵션은 알려진 이진 파일에 대해 미리 정의된 규칙을 사용하여 권한 상승을 제어하여 사용자가 임의 또는 잠재적으로 악의적인 실행 파일을 상승시킬 위험을 줄입니다.

모든 규칙 형식에서 파일 경로 제한 필요

권한 상승 규칙을 구성할 때 필요한 파일 경로를 지정합니다. 파일 경로는 선택 사항이지만 경로가 보안 시스템 디렉터리처럼 표준 사용자가 수정할 수 없는 위치를 가리키는 경우 자동 권한 상승 또는 와일드카드 기반 특성을 사용하는 규칙에 대한 중요한 보안 검사 될 수 있습니다. 보안 파일 위치를 사용하면 실행 파일 또는 종속 이진 파일이 권한 상승 전에 변조되거나 교체되지 않도록 방지할 수 있습니다.

이 권장 사항은 권한 상승 보고서의 세부 정보 또는 승인된 요청 지원 및 수동으로 만드는 권한 상승 규칙에 따라 자동으로 생성된 규칙에 적용됩니다.

중요

네트워크 공유에 있는 파일은 지원되지 않으며 규칙 정의에 사용하면 안 됩니다.

설치 관리자 및 런타임 권한 상승 구분

설치 관리자 파일과 애플리케이션 런타임의 권한 상승에 대해 의도적으로 설명합니다. 무단 소프트웨어 설치를 방지하기 위해 설치 관리자의 권한 상승을 엄격하게 제어해야 합니다. 전체 공격 노출 영역을 줄이려면 런타임 상승을 최소화해야 합니다.

고위험 애플리케이션에 더 엄격한 규칙 적용

웹 브라우저 및 PowerShell과 같은 광범위한 액세스 또는 스크립팅 기능이 있는 애플리케이션에 대해 더 제한적인 권한 상승 규칙을 사용합니다. PowerShell의 경우 스크립트별 규칙을 사용하여 신뢰할 수 있는 스크립트만 관리자 권한으로 실행할 수 있도록 하는 것이 좋습니다.

타사 제품에서 마이그레이션하는 경우에도 새로 시작

EPM은 타사 제품과 다르게 작동하므로 감사 정책부터 시작하는 것이 좋습니다. 그런 다음, 보고서에서 새 규칙을 만들고 파일에 규칙이 없지만 사용자가 작업을 완료하려면 해당 파일을 승격해야 하는 경우 지원 승인된 권한 상승을 활용할 수 있습니다.

엔드포인트 권한 관리 대한 역할 기반 액세스 제어

✅ EPM에 대한 액세스를 위임하는 방법 알아보기

엔드포인트 권한 관리 관리하려면 원하는 작업을 완료할 수 있는 충분한 권한이 있는 다음 권한이 포함된 Intune RBAC(역할 기반 액세스 제어) 역할이 계정에 할당되어야 합니다.

• 엔드포인트 권한 관리 정책 작성 – 이 권한은 엔드포인트 권한 관리 대한 정책 또는 데이터 및 보고서를 사용하는 데 필요하며 다음 권한을 지원합니다.

  • 보고서 보기
  • 읽기
  • 만들기
  • 업데이트
  • 삭제
  • 할당

• 엔드포인트 권한 관리 권한 상승 요청 - 이 권한은 승인을 위해 사용자가 제출한 지원 승인된 권한 상승 요청과 함께 작동하며 다음 권한을 지원하는 데 필요합니다.

  • 권한 상승 요청 보기
  • 권한 상승 요청 수정

사용자 고유의 사용자 지정 RBAC 역할에 하나 이상의 권한으로 이 권한을 추가하거나 엔드포인트 권한 관리 관리 전용으로 기본 제공 RBAC 역할을 사용할 수 있습니다.

• 엔드포인트 권한 관리자 – 이 기본 제공 역할은 Intune 콘솔에서 엔드포인트 권한 관리 관리하기 위한 것입니다. 이 역할에는 엔드포인트 권한 관리 정책 작성 및 엔드포인트 권한 관리 권한 상승 요청에 대한 모든 권한이 포함됩니다.

• 엔드포인트 권한 읽기 권한자 - 이 기본 제공 역할을 사용하여 보고서를 포함하여 Intune 콘솔에서 엔드포인트 권한 관리 정책을 봅니다. 이 역할에는 다음 권한이 포함됩니다.

  • 보고서 보기
  • 읽기
  • 권한 상승 요청 보기

전용 역할 외에도 Intune에 대한 다음과 같은 기본 제공 역할에는 엔드포인트 권한 관리 정책 작성에 대한 권한도 포함됩니다.

• 엔드포인트 보안 관리자 - 이 역할에는 엔드포인트 권한 관리 정책 작성 및 엔드포인트 권한 관리 권한 상승 요청에 대한 모든 권한이 포함됩니다.

• 읽기 전용 연산자 - 이 역할에는 다음 권한이 포함됩니다.

  • 보고서 보기
  • 읽기
  • 권한 상승 요청 보기

자세한 내용은 Microsoft Intune에 대한 역할 기반 액세스 제어를 참조하세요.

EpmTools PowerShell 모듈

✅ EPM PowerShell 모듈을 사용하는 방법 알아보기

엔드포인트 권한 관리 정책을 수신하는 각 디바이스는 해당 정책을 관리하기 위해 EPM Microsoft 에이전트를 설치합니다. 에이전트에는 디바이스로 가져올 수 있는 cmdlet 집합인 EpmTools PowerShell 모듈이 포함되어 있습니다. EpmTools의 cmdlet을 사용하여 다음을 수행할 수 있습니다.

• 엔드포인트 권한 관리 문제를 진단하고 해결합니다.
• 검색 규칙을 빌드하려는 파일 또는 애플리케이션에서 직접 파일 특성을 가져옵니다.

EpmTools PowerShell 모듈 설치

EPM 도구 PowerShell 모듈은 EPM 정책을 받은 모든 디바이스에서 사용할 수 있습니다. EpmTools PowerShell 모듈을 가져오려면 다음을 수행합니다.

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

참고

Arm64의 Windows에서는 Windows PowerShell x64를 사용해야 합니다.

사용 가능한 cmdlet은 다음과 같습니다.

• Get-Policies: 지정된 'PolicyType'('ElevationRules' 또는 'ClientSettings')에 대해 EPM에서 받은 모든 정책 목록을 검색합니다.
• Get-DeclaredConfiguration: 디바이스를 대상으로 하는 정책을 식별하는 WinDC 문서 목록을 검색합니다.
• Get-DeclaredConfigurationAnalysis: MSFTPolicies 형식의 WinDC 문서 목록을 검색하고 정책이 Epm 에이전트(처리된 열)에 이미 있는지 확인합니다.
• Get-ElevationRules: EpmAgent 조회 기능을 쿼리하고 조회 및 대상이 지정된 규칙을 검색합니다. 파일 이름 및 CertificatePayload에 대한 조회가 지원됩니다.
• Get-ClientSettings: 모든 기존 클라이언트 설정 정책을 처리하여 EPM에서 사용하는 효과적인 클라이언트 설정을 표시합니다.
• Get-FileAttributes: .exe 파일에 대한 파일 특성을 검색하고 게시자와 CA 인증서를 특정 애플리케이션의 권한 상승 규칙 속성을 채우는 데 사용할 수 있는 설정된 위치로 추출합니다.

각 cmdlet에 대한 자세한 내용은 디바이스의 EpmTools 폴더에서 readme.md 파일을 검토합니다.

---

다음 단계

다음: 개인 정보 데이터 수집 검토 >