Microsoft Intune 엔드포인트 권한 관리 사용

참고

이 기능은 Intune 추가 기능으로 사용할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.

Microsoft Intune EPM(엔드포인트 권한 관리)을 사용하면 organization 사용자가 관리자 권한 없이 표준 사용자로 실행하고 상승된 권한이 필요한 작업을 완료할 수 있습니다. 일반적으로 관리 권한이 필요한 작업은 애플리케이션 설치(예: Microsoft 365 애플리케이션), 디바이스 드라이버 업데이트 및 특정 Windows 진단 실행입니다.

엔드포인트 권한 관리는 organization 최소한의 권한으로 실행되는 광범위한 사용자 기반을 달성하는 동시에 사용자가 organization 허용된 작업을 계속 실행할 수 있도록 하여 제로 트러스트 경험을 지원합니다. 자세한 내용은 Microsoft Intune 제로 트러스트 참조하세요.

이 문서의 다음 섹션에서는 EPM을 사용하기 위한 요구 사항을 설명하고, 이 기능의 작동 방식에 대한 기능 개요를 제공하고, EPM에 대한 중요한 개념을 소개합니다.

적용 대상:

• Windows 10
• Windows 11

필수 구성 요소

라이선싱

엔드포인트 권한 관리에는 Microsoft Intune 플랜 1 라이선스 이외의 추가 라이선스가 필요합니다. EPM만 추가하는 독립 실행형 라이선스 또는 Microsoft Intune Suite 일부로 EPM 라이선스 중에서 선택할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.

요구 사항

엔드포인트 권한 관리에는 다음과 같은 요구 사항이 있습니다.

• Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인
• Microsoft Intune 등록 또는 공동 관리 디바이스 Microsoft Configuration Manager(워크로드 요구 사항 없음)
• 지원하는 운영 체제
• 필요한 엔드포인트에 대한 명확한 시야(SSL 검사 없음)

참고

• CloudPC(Windows 365)는 지원되는 운영 체제 버전을 사용하여 지원됩니다.
• 작업 공간 조인 디바이스는 엔드포인트 권한 관리에서 지원되지 않습니다.
• Azure Virtual Desktop은 엔드포인트 권한 관리에서 지원되지 않습니다.

엔드포인트 권한 관리는 다음 운영 체제를 지원합니다.

• Windows 11 버전 23H2(22631.2506 이상) 및 KB5031455
• Windows 11 버전 22H2(22621.2215 이상) 및 KB5029351
• Windows 11 버전 21H2(22000.2713 이상) 및 KB5034121
• Windows 10 버전 22H2(19045.3393 이상) 및 KB5030211
• Windows 10 버전 21H2(19044.3393 이상) 및 KB5030211

중요

• 권한 상승 설정 정책은 지원되는 운영 체제 버전을 실행하지 않는 디바이스에는 적용되지 않는 것으로 표시됩니다.
• 엔드포인트 권한 관리에는 몇 가지 새로운 네트워킹 요구 사항이 있습니다. Intune 대한 네트워크 엔드포인트를 참조하세요.

엔드포인트 권한 관리 시작

EPM(엔드포인트 권한 관리)은 Microsoft Intune 기본 제공되므로 모든 구성이 Microsoft Intune 관리 센터 내에서 완료됩니다. 조직에서 EPM을 시작하면 다음과 같은 고급 프로세스를 사용합니다.

• 라이선스 엔드포인트 권한 관리 - 엔드포인트 권한 관리 정책을 사용하려면 먼저 테넌트에서 EPM을 Intune 추가 기능으로 라이선스를 부여해야 합니다. 라이선스 정보는 Intune Suite 추가 기능 사용을 참조하세요.

• 권한 상승 설정 정책 배포 - 권한 상승 설정 정책은 클라이언트 디바이스에서 EPM을 활성화합니다. 또한 이 정책을 사용하면 클라이언트와 관련이 있지만 개별 애플리케이션 또는 작업의 상승과 반드시 관련이 없는 설정을 구성할 수도 있습니다.

• 권한 상승 규칙 정책 배포 - 권한 상승 규칙 정책은 애플리케이션 또는 작업을 권한 상승 작업에 연결합니다. 이 정책을 사용하여 디바이스에서 애플리케이션을 실행할 때 organization 허용하는 애플리케이션에 대한 권한 상승 동작을 구성합니다.

엔드포인트 권한 관리에 대한 중요한 개념

앞에서 언급한 권한 상승 설정 및 권한 상승 규칙 정책을 구성하는 경우 organization 요구 사항을 충족하도록 EPM을 구성하는 것을 이해하는 몇 가지 중요한 개념이 있습니다. EPM을 널리 배포하기 전에 다음 개념과 이러한 개념이 환경에 미치는 영향을 잘 이해해야 합니다.

• 관리자 권한으로 실행 - EPM이 디바이스에서 활성화될 때 나타나는 오른쪽 클릭 상황에 맞는 메뉴 옵션입니다. 이 옵션을 사용하면 디바이스 권한 상승 규칙 정책이 일치 여부를 확인하여 해당 파일을 관리자 권한으로 관리자 권한으로 관리 컨텍스트에서 실행할 수 있는지, 어떻게 확인할 수 있는지 확인합니다. 적용 가능한 권한 상승 규칙이 없는 경우 디바이스는 권한 상승 설정 정책에 정의된 대로 기본 권한 상승 구성을 사용합니다.

• 파일 권한 상승 및 권한 상승 유형 – EPM을 사용하면 관리 권한이 없는 사용자가 관리 컨텍스트에서 프로세스를 실행할 수 있습니다. 권한 상승 규칙을 만들 때 해당 규칙을 사용하면 EPM에서 해당 규칙의 대상을 프록시하여 디바이스의 관리자 권한으로 실행할 수 있습니다. 그 결과 애플리케이션은 디바이스에서 전체 관리 기능을 갖습니다.

  엔드포인트 권한 관리를 사용하는 경우 권한 상승 동작에 대한 몇 가지 옵션이 있습니다.

  • 자동 권한 상승 규칙의 경우 EPM은 사용자의 입력 없이 이러한 애플리케이션을 자동으로 상승합니다. 이 범주의 광범위한 규칙은 organization 보안 태세에 광범위한 영향을 미칠 수 있습니다.
  • 사용자가 확인한 규칙의 경우 최종 사용자는 새 마우스 오른쪽 클릭 상황에 맞는 메뉴 관리자 권한으로 실행 메뉴를 사용합니다. 사용자가 확인한 규칙에 따라 최종 사용자는 애플리케이션의 상승이 허용되기 전에 몇 가지 추가 요구 사항을 완료해야 합니다. 이러한 요구 사항은 권한 상승이 발생하기 전에 사용자가 앱이 관리자 권한 컨텍스트에서 실행될 것임을 승인함으로써 추가 보호 계층을 제공합니다.
  • 지원 승인된 규칙의 경우 최종 사용자는 애플리케이션 승인 요청을 제출해야 합니다. 요청이 제출되면 관리자가 요청을 승인할 수 있습니다. 요청이 승인되면 최종 사용자는 디바이스에서 권한 상승을 완료할 수 있다는 알림을 받습니다. 이 규칙 유형을 사용하는 방법에 대한 자세한 내용은 승인된 권한 상승 요청 지원을 참조하세요.

  참고

  각 권한 상승 규칙은 관리자 권한 프로세스가 만드는 자식 프로세스에 대한 권한 상승 동작을 설정할 수도 있습니다.

• 자식 프로세스 컨트롤 - EPM에서 프로세스를 승격하는 경우 자식 프로세스 생성이 EPM에 의해 제어되는 방식을 제어할 수 있습니다. 이를 통해 관리자 권한 애플리케이션에서 만들 수 있는 하위 프로세스를 세분화할 수 있습니다.

• 클라이언트 쪽 구성 요소 – 엔드포인트 권한 관리를 사용하려면 Intune 권한 상승 정책을 수신하고 적용하는 디바이스에 작은 구성 요소 집합을 프로비전합니다. Intune 권한 상승 설정 정책을 받은 경우에만 구성 요소를 프로비전하고 정책은 엔드포인트 권한 관리를 사용하도록 설정하려는 의도를 표현합니다.

• 사용 안 함 및 프로비전 해제 – 디바이스에 설치되는 구성 요소로서 권한 상승 설정 정책 내에서 엔드포인트 권한 관리를 사용하지 않도록 설정할 수 있습니다. 디바이스에서 엔드포인트 권한 관리를 제거하려면 권한 상승 설정 정책을 사용해야 합니다 .

  디바이스에 EPM을 사용하지 않도록 설정해야 하는 권한 상승 설정 정책이 있으면 Intune 클라이언트 쪽 구성 요소를 즉시 사용하지 않도록 설정합니다. EPM은 7일의 기간 후에 EPM 구성 요소를 제거합니다. 지연은 정책 또는 할당의 일시적 또는 우발적 변경으로 인해 비즈니스 운영에 상당한 영향을 미칠 수 있는 대량의 프로비저/닝 다시 프로비저닝 이벤트가 발생하지 않도록 하는 것입니다.

• 관리되는 권한 상승과 관리되지 않는 권한 상승 – 이러한 용어는 보고 및 사용량 현황 데이터에 사용될 수 있습니다. 이러한 용어는 다음 설명을 참조합니다.

  • 관리되는 권한 상승: 엔드포인트 권한 관리가 용이하게 하는 모든 권한 상승입니다. 관리되는 권한 상승에는 EPM이 표준 사용자를 용이하게 하는 모든 권한 상승이 포함됩니다. 이러한 관리되는 권한 상승에는 권한 상승 규칙의 결과 또는 기본 권한 상승 작업의 일부로 발생하는 권한 상승이 포함될 수 있습니다.
  • 관리되지 않는 권한 상승: 엔드포인트 권한 관리를 사용하지 않고 발생하는 모든 파일 권한 상승입니다. 관리자 권한이 있는 사용자가 관리자 권한으로 실행의 Windows 기본 작업을 사용하는 경우 이러한 권한 상승이 발생할 수 있습니다.

엔드포인트 권한 관리를 위한 역할 기반 액세스 제어

엔드포인트 권한 관리를 관리하려면 원하는 작업을 완료할 수 있는 충분한 권한이 있는 다음 권한이 포함된 Intune RBAC(역할 기반 액세스 제어) 역할이 계정에 할당되어야 합니다.

• 엔드포인트 권한 관리 정책 작성 – 이 권한은 Endpoint Privilege Management에 대한 정책 또는 데이터 및 보고서를 사용하는 데 필요하며 다음 권한을 지원합니다.

  • 보고서 보기
  • 읽기
  • 만들기
  • 업데이트
  • 삭제
  • 할당

• 엔드포인트 권한 관리 권한 상승 요청 - 이 권한은 승인을 위해 사용자가 제출한 권한 상승 요청을 사용하는 데 필요하며 다음 권한을 지원합니다.

  • 권한 상승 요청 보기
  • 권한 상승 요청 수정

사용자 고유의 사용자 지정 RBAC 역할에 하나 이상의 권한으로 이 권한을 추가하거나 엔드포인트 권한 관리 전용 기본 제공 RBAC 역할을 사용할 수 있습니다.

• 엔드포인트 권한 관리자 – 이 기본 제공 역할은 Intune 콘솔에서 엔드포인트 권한 관리를 관리하기 위한 것입니다. 이 역할에는 엔드포인트 권한 관리 정책 작성 및 엔드포인트 권한 관리 권한 상승 요청에 대한 모든 권한이 포함됩니다.

• 엔드포인트 권한 읽기 권한자 - 이 기본 제공 역할을 사용하여 보고서를 포함하여 Intune 콘솔에서 엔드포인트 권한 관리 정책을 봅니다. 이 역할에는 다음 권한이 포함됩니다.

  • 보고서 보기
  • 읽기
  • 권한 상승 요청 보기

전용 역할 외에도 다음과 같은 Intune 기본 제공 역할에는 엔드포인트 권한 관리 정책 작성에 대한 권한도 포함됩니다.

• 엔드포인트 보안 관리자 - 이 역할에는 엔드포인트 권한 관리 정책 작성 및 엔드포인트 권한 관리 권한 상승 요청에 대한 모든 권한이 포함됩니다.

• 읽기 전용 연산자 - 이 역할에는 다음 권한이 포함됩니다.

  • 보고서 보기
  • 읽기
  • 권한 상승 요청 보기

자세한 내용은 Microsoft Intune 대한 역할 기반 액세스 제어를 참조하세요.

EpmTools PowerShell 모듈

엔드포인트 권한 관리 정책을 수신하는 각 디바이스는 해당 정책을 관리하기 위해 EPM Microsoft 에이전트를 설치합니다. 에이전트에는 디바이스로 가져올 수 있는 cmdlet 집합인 EpmTools PowerShell 모듈이 포함되어 있습니다. EpmTools의 cmdlet을 사용하여 다음을 수행할 수 있습니다.

• 엔드포인트 권한 관리 문제를 진단하고 해결합니다.
• 검색 규칙을 빌드하려는 파일 또는 애플리케이션에서 직접 파일 특성을 가져옵니다.

EpmTools PowerShell 모듈 설치

EPM 도구 PowerShell 모듈은 EPM 정책을 받은 모든 디바이스에서 사용할 수 있습니다. EpmTools PowerShell 모듈을 가져오려면 다음을 수행합니다.

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

사용 가능한 cmdlet은 다음과 같습니다.

• Get-Policies: 지정된 PolicyType(ElevationRules, ClientSettings)에 대해 Epm 에이전트에서 받은 모든 정책 목록을 검색합니다.
• Get-DeclaredConfiguration: 디바이스를 대상으로 하는 정책을 식별하는 WinDC 문서 목록을 검색합니다.
• Get-DeclaredConfigurationAnalysis: MSFTPolicies 형식의 WinDC 문서 목록을 검색하고 정책이 Epm 에이전트(처리된 열)에 이미 있는지 확인합니다.
• Get-ElevationRules: EpmAgent 조회 기능을 쿼리하고 조회 및 대상이 지정된 규칙을 검색합니다. 파일 이름 및 CertificatePayload에 대한 조회가 지원됩니다.
• Get-ClientSettings: 모든 기존 클라이언트 설정 정책을 처리하여 EPM 에이전트에서 사용하는 효과적인 클라이언트 설정을 표시합니다.
• Get-FileAttributes: .exe 파일에 대한 파일 특성을 검색하고 게시자와 CA 인증서를 특정 애플리케이션의 권한 상승 규칙 속성을 채우는 데 사용할 수 있는 설정된 위치로 추출합니다.

각 cmdlet에 대한 자세한 내용은 디바이스의 EpmTools 폴더에서 readme.txt 파일을 검토합니다.

다음 단계

• 권한 상승 규칙을 만들기 위한 지침
• 엔드포인트 권한 관리에 대한 정책 구성
• 권한 상승 요청 승인
• 엔드포인트 권한 관리에 대한 보고서
• 엔드포인트 권한 관리를 위한 데이터 수집 및 개인 정보
• 배포 고려 사항 및 질문과 대답