Windows LAPS에 대한 Microsoft Intune 지원

  • 아티클

모든 Windows 컴퓨터에는 삭제할 수 없고 디바이스에 대한 모든 권한이 있는 기본 제공 로컬 관리자 계정이 있습니다. 이 계정 보안은 organization 보호하는 중요한 단계입니다. Windows 디바이스에는 로컬 관리자 계정을 관리하는 데 도움이 되는 기본 제공 솔루션인 LAPS(Windows 로컬 관리자 암호 솔루션)가 포함되어 있습니다.

계정 보호에 Microsoft Intune 엔드포인트 보안 정책을 사용하여 Intune에 등록된 디바이스에서 LAPS를 관리할 수 있습니다. Intune 정책은 다음을 수행할 수 있습니다.

  • 로컬 관리자 계정에 대한 암호 요구 사항 적용
  • 디바이스에서 AD(Active Directory) 또는 Microsoft Entra 로컬 관리자 계정 백업
  • 이러한 계정 암호를 안전하게 유지하기 위해 해당 계정 암호의 회전을 예약합니다.

Intune 관리 센터에서 관리되는 로컬 관리자 계정에 대한 세부 정보를 보고 예약된 회전 외부에서 계정 암호를 수동으로 회전할 수도 있습니다.

Intune LAPS 정책을 사용하면 통과 해시 또는 횡적 순회 공격과 같은 로컬 사용자 계정을 악용하기 위한 공격으로부터 Windows 디바이스를 보호할 수 있습니다. Intune을 사용하여 LAPS를 관리하면 원격 지원 센터 시나리오에 대한 보안을 개선하고 액세스할 수 없는 디바이스를 복구할 수도 있습니다.

Intune LAPS 정책은 Windows LAPS CSP에서 사용할 수 있는 설정을 관리합니다. Intune의 CSP 사용은 레거시 Microsoft LAPS 또는 기타 LAPS 관리 솔루션의 사용을 다른 LAPS 관리 원본 보다 우선 적으로 사용하는 CSP 기반으로 대체합니다.

Windows LAPS에 대한 Intune 지원에는 다음 기능이 포함됩니다.

  • 암호 요구 사항 설정 – 디바이스의 로컬 관리자 계정에 대한 복잡성 및 길이를 포함하여 암호 요구 사항을 정의합니다.
  • 암호 회전 – 정책을 사용하면 디바이스가 일정에 따라 로컬 관리자 계정 암호를 자동으로 회전할 수 있습니다. Intune 관리 센터를 사용하여 디바이스의 암호를 디바이스 작업으로 수동으로 회전할 수도 있습니다.
  • 백업 계정 및 암호 – 디바이스가 클라우드의 Microsoft Entra ID 또는 온-프레미스 Active Directory 계정 및 암호를 백업하도록 선택할 수 있습니다. 암호는 강력한 암호화를 사용하여 저장됩니다.
  • 사후 인증 작업 구성 – 로컬 관리자 계정 암호가 만료되면 디바이스가 수행하는 작업을 정의합니다. 작업은 관리되는 계정을 다시 설정하여 새 보안 암호를 사용하도록 설정하거나, 계정을 로그오프하거나, 두 가지 작업을 모두 수행한 다음 디바이스 전원을 끄는 것까지 다양합니다. 이러한 작업을 수행하기 전에 암호가 만료된 후 디바이스가 대기하는 기간을 관리할 수도 있습니다.
  • 계정 세부 정보 보기 – 충분한 RBAC(역할 기반 관리 제어) 권한이 있는 Intune 관리자는 디바이스 로컬 관리자 계정 및 현재 암호에 대한 정보를 볼 수 있습니다. 또한 해당 암호가 마지막으로 회전된 시간(재설정)과 다음에 회전하도록 예약된 시점을 확인할 수도 있습니다.
  • 보고서 보기 – Intune은 과거 수동 및 예약된 암호 회전에 대한 세부 정보를 포함하여 암호 회전에 대한 보고서를 제공합니다.

Windows LAPS에 대해 자세히 알아보려면 Windows 설명서의 다음 문서로 시작하세요.

  • Windows LAPS란? – Windows LAPS 및 Windows LAPS 설명서 집합 소개
  • Windows LAPS CSP – LAPS 설정 및 옵션에 대한 전체 세부 정보를 봅니다. LAPS에 대한 Intune 정책은 이러한 설정을 사용하여 디바이스에서 LAPS CSP를 구성합니다.

적용 대상:

  • Windows 10
  • Windows 11

필수 구성 요소

다음은 Intune이 테넌트에서 Windows LAPS를 지원하기 위한 요구 사항입니다.

라이선스 요구사항

  • Intune 구독 - 기본 Intune 구독인 플랜 1을 Microsoft Intune. Intune에 대한 평가판 구독과 함께 Windows LAPS를 사용할 수도 있습니다.

  • Microsoft Entra IDIntune을 구독할 때 포함된 무료 버전의 Microsoft Entra ID Microsoft Entra ID 무료입니다. Microsoft Entra ID 무료를 사용하면 LAPS의 모든 기능을 사용할 수 있습니다.

Active Directory 지원

Windows LAPS에 대한 Intune 정책은 다음 디렉터리 유형 중 하나에 로컬 관리자 계정 및 암호를 백업하도록 디바이스를 구성할 수 있습니다.

참고

WPJ(작업 공간 조인)인 디바이스는 INtune for LAPS에서 지원되지 않습니다.

  • 클라우드 – 클라우드는 다음 시나리오에 대해 Microsoft Entra ID 백업을 지원합니다.

  • 온-프레미스 – 온-프레미스는 Windows Server Active Directory(온-프레미스 Active Directory)에 백업을 지원합니다.

    중요

    Windows 디바이스의 LAPS는 디렉터리 유형 또는 다른 디렉터리 유형을 사용하도록 구성할 수 있지만 둘 다 사용하도록 구성할 수는 없습니다. 또한 백업 디렉터리를 디바이스 조인 유형에서 지원해야 합니다. 디렉터리를 온-프레미스 Active Directory 설정하고 디바이스가 도메인에 가입되지 않은 경우 Intune의 정책 설정을 수락하지만 LAPS는 해당 구성을 성공적으로 사용할 수 없습니다.

Device Edition 및 Platform

디바이스에는 Intune에서 지원하는 Windows 버전이 있을 수 있지만 Windows LAPS CSP를 지원하려면 다음 버전 중 하나를 실행해야 합니다.

GCC High 지원

Windows LAPS에 대한 Intune 정책은 GCC High 환경에서 지원됩니다.

LAPS에 대한 역할 기반 액세스 제어

LAPS를 관리하려면 계정에 원하는 작업을 완료할 수 있는 충분한 RBAC(역할 기반 액세스 제어) 권한이 있어야 합니다. 다음은 필요한 권한이 있는 사용 가능한 작업입니다.

  • LAPS 정책 만들기 및 액세스 – LAPS 정책을 사용하고 보려면 계정에 보안 기준의 Intune RBAC 범주에서 충분한 권한이 할당되어야 합니다. 기본적으로 이러한 역할은 기본 제공 역할 Endpoint Security Manager에 포함됩니다. 사용자 지정 역할을 사용하려면 사용자 지정 역할에 보안 기준 범주의 권한이 포함되어 있는지 확인합니다.

  • 로컬 관리자 암호 회전 – Intune 관리 센터를 사용하여 디바이스 로컬 관리자 계정 암호를 보거나 회전하려면 계정에 다음 Intune 권한이 할당되어야 합니다.

    • 관리되는 디바이스: 읽기
    • 조직: 읽기
    • 원격 작업: 로컬 관리 암호 회전

  • 로컬 관리자 암호 검색 – 암호 세부 정보를 보려면 계정에 다음 Microsoft Entra 권한 중 하나가 있어야 합니다.

    • microsoft.directory/deviceLocalCredentials/password/read 을 사용하여 LAPS 메타데이터 및 암호를 읽습니다.
    • microsoft.directory/deviceLocalCredentials/standard/read 암호를 제외한 LAPS 메타데이터를 읽습니다.

    이러한 권한을 부여할 수 있는 사용자 지정 역할을 만들려면 Microsoft Entra 설명서의 Microsoft Entra ID 사용자 지정 역할 만들기 및 할당을 참조하세요.

  • 감사 로그 및 이벤트 Microsoft Entra 보기 – LAPS 정책 및 암호 회전 이벤트와 같은 최근 디바이스 작업에 대한 세부 정보를 보려면 계정이 기본 제공 Intune 역할 읽기 전용 운영자와 동일한 권한을 가져야 합니다.

자세한 내용은 Microsoft Intune 대한 역할 기반 액세스 제어를 참조하세요.

LAPS 아키텍처

Windows LAPS 아키텍처에 대한 자세한 내용은 Windows 설명서의 Windows LAPS 아키텍처 를 참조하세요.

질문과 대답

Intune LAPS 정책을 사용하여 디바이스의 로컬 관리자 계정을 관리할 수 있나요?

예. Intune LAPS 정책을 사용하여 디바이스의 로컬 관리자 계정을 관리할 수 있습니다. 그러나 LAPS는 디바이스당 하나의 계정만 지원합니다.

  • 정책이 계정 이름을 지정하지 않으면 Intune은 디바이스의 현재 이름에 관계없이 기본 제공 관리자 계정을 관리합니다.
  • 디바이스의 할당된 정책을 변경하거나 현재 정책을 편집하여 다른 계정을 지정하여 Intune에서 디바이스에 대해 관리하는 계정을 변경할 수 있습니다.
  • 서로 다른 계정을 지정하는 두 개의 별도 정책이 디바이스에 할당된 경우 디바이스의 계정을 관리하기 전에 해결해야 하는 충돌이 발생합니다.

다른 원본의 LAPS 구성이 이미 있는 디바이스에 Intune을 사용하여 LAPS 정책을 배포하는 경우 어떻게 해야 하나요?

Intune의 CSP 기반 정책은 GPO 또는 레거시 Microsoft LAPS의 구성과 같은 LAPS 정책의 다른 모든 원본을 재정의합니다. 자세한 내용은 Windows LAPS 설명서의 지원되는 정책 루트 를 참조하세요.

Windows LAPS는 LAPS 정책을 사용하여 구성된 관리자 계정 이름을 기반으로 로컬 관리자 계정을 만들 수 있나요?

아니요. Windows LAPS는 디바이스에 이미 있는 계정만 관리할 수 있습니다. 정책이 디바이스에 없는 이름으로 계정을 지정하는 경우 정책이 적용되고 오류를 보고하지 않습니다. 그러나 계정이 백업되지 않습니다.

Windows LAPS는 Microsoft Entra 비활성화된 디바이스의 암호를 회전하고 백업하나요?

아니요. Windows LAPS를 사용하려면 암호 회전 및 백업 작업이 적용되기 전에 디바이스가 활성화된 상태여야 합니다.

Microsoft Entra 디바이스가 삭제되면 어떻게 되나요?

Microsoft Entra 디바이스가 삭제되면 해당 디바이스에 연결된 LAPS 자격 증명이 손실되고 Microsoft Entra ID 저장된 암호가 손실됩니다. LAPS 암호를 검색하고 외부에 저장하는 사용자 지정 워크플로가 없는 한 Microsoft Entra ID 삭제된 디바이스에 대한 LAPS 관리 암호를 복구하는 방법은 없습니다.

LAPS 암호를 복구하는 데 필요한 역할은 무엇인가요?

다음과 같은 기본 제공 역할 Microsoft Entra 역할에는 LAPS 암호를 복구할 수 있는 권한이 있습니다. 전역 관리, 클라우드 디바이스 관리 및 Intune 서비스 관리.

LAPS 메타데이터를 읽는 데 필요한 역할은 무엇인가요?

다음 기본 제공 역할은 디바이스 이름, 마지막 암호 회전 및 다음 암호 회전을 포함하여 LAPS에 대한 메타데이터를 볼 수 있도록 지원됩니다. 전역 관리, 클라우드 디바이스 관리, Intune 서비스 관리, 기술 지원팀 관리, 보안 읽기 권한자, 보안 관리 및 전역 읽기 권한자.

로컬 관리자 암호 단추가 회색으로 표시되고 액세스할 수 없는 이유는 무엇인가요?

현재 이 영역에 액세스하려면 로컬 관리자 암호 Intune 회전 권한이 필요합니다. Microsoft Intune 대한 역할 기반 액세스 제어를 참조하세요.

정책에서 지정한 계정이 변경되면 어떻게 되나요?

Windows LAPS는 한 번에 하나의 로컬 관리자 계정만 관리할 수 있으므로 원래 계정은 더 이상 LAPS 정책에 의해 관리되지 않습니다. 정책에 디바이스가 해당 계정을 백업하는 경우 새 계정이 백업되고 이전 계정에 대한 세부 정보는 더 이상 Intune 관리 센터 내에서 또는 계정 정보를 저장하도록 지정된 디렉터리에서 사용할 수 없습니다.

다음 단계