Microsoft Intune으로 RBAC(역할 기반 액세스 제어)

RBAC(역할 기반 액세스 제어)를 사용하여 조직의 리소스에 액세스할 수 있는 사람과 그 사람이 해당 리소스로 할 수 있는 일을 관리할 수 있습니다. Intune 사용자에게 역할을 할당하여 해당 사용자가 보고 변경할 수 있는 범위를 제한할 수 있습니다. 각 역할에는 해당 역할이 할당된 사용자가 조직 내에서 액세스하여 변경할 수 있는 항목을 결정하는 권한 세트가 있습니다.

역할을 만들거나 편집하거나 할당하려면 계정에 Microsoft Entra ID에 다음 권한 중 하나가 있어야 합니다.

  • 전역 관리자
  • Intune 서비스 관리자(Intune 관리자라고도 함)

역할

역할은 해당 역할이 할당된 사용자에게 부여되는 권한 세트를 정의합니다. 기본 제공 역할과 사용자 지정 역할을 모두 사용할 수 있습니다. 기본 제공 역할은 몇 가지 일반적인 Intune 시나리오를 다룹니다. 꼭 필요한 권한 세트만 있는 사용자 고유의 사용자 지정 역할 만들기가 가능합니다. 여러 Microsoft Entra 역할에는 Intune에 대한 권한이 있습니다. Intune 관리 센터에서 역할을 보려면 테넌트 관리>역할>모든 역할> 선택 역할로 이동합니다. 다음 페이지에서 역할을 관리할 수 있습니다.

  • 속성: 역할의 이름, 설명, 권한 및 범위 태그입니다.
  • 할당: 어떤 사용자가 어떤 사용자/디바이스에 액세스할 수 있는지 정의하는 역할 할당 목록입니다. 한 역할에 여러 권한을 할당할 수 있으며, 한 사용자를 여러 할당에 포함할 수 있습니다.

참고

Intune을 관리하려면 Intune 라이선스가 할당되어 있어야 합니다. 또는 허가되지 않은 관리자에게 액세스 허용을 예로 설정하여 허가받지 않은 사용자가 Intune을 관리하도록 허용할 수 있습니다.

기본 제공 역할

추가 구성 없이 그룹에 기본 제공 역할을 할당할 수 있습니다. 기본 제공 역할의 이름, 설명, 형식 또는 권한을 삭제하거나 편집할 수 없습니다.

  • 애플리케이션 관리자: 모바일 및 관리되는 애플리케이션을 관리하며, 디바이스 정보를 읽고, 디바이스 구성 프로필을 볼 수 있습니다.
  • 엔드포인트 권한 관리자: Intune 콘솔에서 엔드포인트 권한 관리 정책을 관리합니다.
  • 엔드포인트 권한 읽기 권한자: 엔드포인트 권한 읽기 권한자는 Intune 콘솔에서 엔드포인트 권한 관리 정책을 볼 수 있습니다.
  • 엔디포인트 보안 관리자: 보안 기준, 디바이스 준수, 조건부 액세스 및 엔드포인트용 Microsoft Defender와 같은 보안 및 준수 기능을 관리합니다.
  • 기술 지원팀 운영자: 사용자와 디바이스에 대해 원격 작업을 수행하며, 사용자 또는 디바이스에 애플리케이션이나 정책을 할당할 수 있습니다.
  • Intune 역할 관리자: 사용자 지정 Intune 역할을 관리하고 기본 제공 Intune 역할에 대한 할당을 추가합니다. 관리자에게 사용 권한을 할당할 수 있는 유일한 Intune 역할입니다.
  • 정책 및 프로필 관리자: 규정 준수 정책, 구성 프로필, Apple 등록, 회사 디바이스 식별자 및 보안 기준을 관리합니다.
  • 조직 메시지 관리자: Intune 콘솔에서 조직 메시지를 관리합니다.
  • 읽기 전용 운영자: 사용자, 디바이스, 등록, 구성 및 애플리케이션 정보를 확인할 수 있습니다. Intune을 변경할 수 없습니다.
  • 학교 관리자: Intune for Education으로 Windows 10 디바이스를 관리합니다.
  • 클라우드 PC 관리자: 클라우드 PC 관리자는 클라우드 PC 블레이드 내에 위치한 모든 클라우드 PC 기능에 대한 읽기 및 쓰기 액세스 권한을 가집니다.
  • 클라우드 PC 읽기 권한자: 클라우드 PC 읽기 권한자는 클라우드 PC 블레이드에 있는 모든 클라우드 PC 기능에 대한 읽기 액세스 권한을 가집니다.

사용자 지정 역할

사용자 지정 권한을 사용하여 사용자 고유의 역할을 만들 수 있습니다. 사용자 지정 역할에 대한 자세한 내용은 사용자 지정 역할 만들기를 참조하세요.

Intune 액세스를 사용하여 역할 Microsoft Entra

Microsoft Entra 역할 모든 Intune 데이터 Intune 감사 데이터
전역 관리자 읽기/쓰기 읽기/쓰기
Intune 서비스 관리자 읽기/쓰기 읽기/쓰기
조건부 액세스 관리자 없음 없음
보안 관리자 읽기 전용(엔드포인트 보안 노드에 대한 전체 관리 권한) 읽기 전용
보안 운영자 읽기 전용 읽기 전용
보안 읽기 권한자 읽기 전용 읽기 전용
규정 준수 관리자 없음 읽기 전용
규정 준수 데이터 관리자 없음 읽기 전용
전역 읽기 권한자(이 역할은 Intune 지원 센터 운영자 역할과 동일) 읽기 전용 읽기 전용
기술 지원팀 관리자(이 역할은 Intune 지원 센터 운영자 역할과 동일) 읽기 전용 읽기 전용
보고서 읽기 권한자 없음 읽기 전용

또한 Intune에는 Microsoft Entra RBAC를 사용하여 제어되는 사용자, 그룹조건부 액세스라는 세 가지 Microsoft Entra 확장이 표시됩니다. 또한 사용자 계정 관리자는 Microsoft Entra 사용자/그룹 활동만 수행하며 Intune에서 모든 활동을 수행할 수 있는 모든 권한이 없습니다. 자세한 내용은 Microsoft Entra ID가 있는 RBAC를 참조하세요.

역할 할당

역할 할당은 다음을 정의합니다.

  • 역할에 할당되는 사용자
  • 역할에 할당되는 사용자가 볼 수 있는 리소스
  • 역할에 할당되는 사용자가 변경할 수 있는 리소스

사용자에게 사용자 지정 역할과 기본 제공 역할을 모두 할당할 수 있습니다. Intune 역할을 할당받으려면 사용자에게 Intune 라이선스가 있어야 합니다. 역할 할당을 보려면 Intune>테넌트 관리>역할>모든 역할이>할당을 선택하는 역할을 >> 선택합니다. 속성 페이지에서 다음을 편집할 수 있습니다.

  • 기본 사항: 할당 이름 및 설명입니다.
  • 관리자: 나열된 Azure 보안 그룹의 모든 사용자는 범위(그룹)에 나와 있는 사용자/디바이스를 관리할 수 있는 권한이 있습니다.
  • 범위(그룹): 범위 그룹은 사용자 또는 디바이스의 보안 그룹 또는 해당 역할 할당의 관리자가 작업을 수행하는 것으로 제한되는 보안 그룹에 Microsoft Entra. 예를 들어 사용자에게 정책 또는 애플리케이션을 배포하거나 디바이스를 원격으로 잠급 수 있습니다. 이러한 Microsoft Entra 보안 그룹의 모든 사용자 및 디바이스는 구성원의 사용자가 관리할 수 있습니다.
  • 범위(태그): 멤버의 사용자는 범위 태그가 동일한 리소스를 볼 수 있습니다.

참고

범위 태그는 관리자가 정의한 다음 역할 할당에 추가하는 자유 형식 텍스트 값입니다. 역할에 추가된 범위 태그는 역할 자체의 표시 여부를 제어하는 반면 역할 할당에 추가된 범위 태그는 역할 할당에 하나 이상의 일치하는 범위 태그가 포함되어 있기 때문에 Intune 개체(예: 정책 및 앱) 또는 장치의 가시성을 해당 역할 할당의 관리자에게만 제한합니다.

여러 역할 할당

사용자에게 여러 역할 할당, 권한 및 범위 태그가 있으면 해당 역할 할당이 다음과 같이 다른 개체로 확장됩니다.

  • 두 개 이상의 역할이 동일한 개체에 권한을 부여하는 경우 사용 권한은 증분됩니다. 예를 들어 한 역할의 읽기 권한과 다른 역할의 읽기/쓰기 권한이 있는 사용자는 읽기/쓰기의 유효 권한이 있습니다(두 역할에 대한 할당이 동일한 scope 태그를 대상으로 가정).
  • 할당 권한 및 범위 태그는 해당 역할의 할당 범위(그룹) 내에 있는 개체(예: 정책 또는 앱)에만 적용됩니다. 다른 할당에서 권한을 특별히 부여하지 않는 한 할당 권한 및 범위 태그는 다른 역할 할당의 개체에 적용되지 않습니다.
  • 다른 권한(예: 만들기, 읽기, 업데이트, 삭제) 및 범위 태그는 사용자 할당에서 유형이 같은 모든 개체(예: 모든 정책 또는 모든 앱)에 적용됩니다.
  • 유형이 다른 개체(예: 정책 또는 앱)에 대한 권한 및 범위 태그는 서로에게 적용되지 않습니다. 예를 들어 정책 읽기 권한은 사용자 할당의 앱을 읽을 수 있는 권한을 제공하지 않습니다.
  • scope 태그가 없고 다른 할당에서 할당된 일부 scope 태그가 없는 경우 사용자는 일부 scope 태그의 일부인 디바이스만 볼 수 있으며 모든 디바이스를 볼 수 없습니다.

다음 단계