Microsoft Intune 사용하여 Windows LAPS 정책 관리

  • 아티클

Microsoft Intune 사용하여 관리하는 Windows 디바이스에서 Windows LAPS(Windows로컬 관리자 암호 솔루션)를 관리할 준비가 되면 이 문서의 정보를 통해 Intune 관리 센터를 사용하여 다음을 수행할 수 있습니다.

  • Intune LAPS 정책을 만들고 디바이스에 할당합니다.
  • 디바이스의 로컬 관리자 계정 세부 정보를 봅니다.
  • 관리되는 계정의 암호를 수동으로 회전합니다.
  • LAPS 정책에 대한 보고서를 사용합니다.

정책을 만들기 전에 다음을 포함하는 Windows LAPS에 대한 Microsoft Intune 지원의 정보를 숙지해야 합니다.

  • Intune의 Windows LAPS 정책 및 기능에 대한 개요입니다.
  • LAPS에 Intune 정책을 사용하기 위한 필수 구성 요소입니다.
  • 계정에서 LAPS 정책을 관리해야 하는 RBAC(역할 기반 관리자 제어) 권한입니다.
  • Intune LAPS 정책을 구성하고 사용하는 인사이트를 제공할 수 있는 질문과 대답입니다.

적용 대상:

  • Windows 10
  • Windows 11

Intune LAPS 정책 정보

Intune은 계정 보호를 위해 엔드포인트 보안 정책을 통해 사용할 수 있는 Windows LAPS(로컬 관리자 암호 솔루션) 프로필을 통해 디바이스에서 Windows LAPS를 구성할 수 있도록 지원합니다.

Intune 정책은 Windows LAPS CSP(구성 서비스 공급자)를 사용하여 LAPS를 관리합니다. Windows LAPS CSP 구성은 GPO 또는 레거시 Microsoft LAPS 도구와 같은 다른 LAPS 원본의 기존 구성보다 우선하고 덮어씁니다.

Windows LAPS를 사용하면 디바이스당 단일 로컬 관리자 계정을 관리할 수 있습니다. Intune 정책은 정책 설정 관리자 계정 이름을 사용하여 적용되는 로컬 관리자 계정을 지정할 수 있습니다. 정책에 지정된 계정 이름이 디바이스에 없는 경우 계정이 관리되지 않습니다. 그러나 관리자 계정 이름을 비워 두면 정책은 기본적으로 잘 알려진 RID(상대 식별자)로 식별되는 기본 제공 로컬 관리자 계정 디바이스로 설정됩니다.

참고

정책을 만들기 전에 테넌트에서 Windows LAPS를 지원하기 위한 Intune의 필수 구성 요소가 충족되는지 확인합니다.

Intune의 LAPS 정책은 새 계정 또는 암호를 만들지 않습니다. 대신 디바이스에 이미 있는 계정을 관리합니다.

LAPS 정책을 신중하게 구성하고 할당합니다. Windows LAPS CSP는 디바이스의 각 LAPS 설정에 대해 단일 구성을 지원합니다. 충돌하는 설정을 포함하는 여러 Intune 정책을 수신하는 디바이스는 정책을 처리하지 못할 수 있습니다. 충돌은 관리되는 로컬 관리자 계정 및 암호를 테넌트 디렉터리에 백업하는 것을 방지할 수도 있습니다.

잠재적 충돌을 줄이려면 사용자 그룹이 아닌 디바이스 그룹을 통해 각 디바이스에 단일 LAPS 정책을 할당하는 것이 좋습니다. LAPS 정책은 사용자 그룹 할당을 지원하지만, 다른 사용자가 디바이스에 로그인할 때마다 LAPS 구성을 변경하는 주기가 발생할 수 있습니다. 자주 변경되는 정책은 충돌을 야기하고, 요구 사항을 준수하는 디바이스가 부족하며, 현재 관리 중인 디바이스의 로컬 관리자 계정을 혼동할 수 있습니다.

LAPS 정책 만들기

중요

Microsoft Entra ID를 사용하여 Windows LAPS 사용 설명서에 설명된 대로 Microsoft Entra LAPS를 사용하도록 설정했는지 확인합니다.

LAPS 정책을 만들거나 관리하려면 계정에 보안 기준 범주의 적용 가능한 권한이 있어야 합니다. 기본적으로 이러한 권한은 기본 제공 역할 Endpoint Security Manager에 포함됩니다. 사용자 지정 역할을 사용하려면 사용자 지정 역할에 보안 기준 범주의 권한이 포함되어 있는지 확인합니다. LAPS에 대한 역할 기반 액세스 제어를 참조하세요.

정책을 만들기 전에 Windows LAPS CSP 설명서에서 사용 가능한 설정에 대한 세부 정보를 검토할 수 있습니다.

  1. Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>계정 보호로 이동한 다음 정책 만들기를 선택합니다.

    관리 센터에서 LAPS 정책을 만드는 위치를 보여 주는 스크린샷.

    플랫폼을Windows 10 이상, 프로필을 Windows LAPS(로컬 관리자 암호 솔루션)로 설정한 다음 만들기를 선택합니다.

  2. 기본 사항에서 다음 속성을 입력합니다.

    • 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다.
    • 설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

  3. 구성 설정에서 로컬 관리자 계정을 백업하는 데 사용할 디렉터리 유형을 정의하도록 Backup Directory에 대한 선택을 구성합니다. 계정 및 암호를 백업하지 않도록 선택할 수도 있습니다. 또한 디렉터리 유형은 이 정책에서 사용할 수 있는 추가 설정을 결정합니다.

    Backup 디렉터리 설정에 대한 옵션을 보여 주는 스크린샷

    중요

    정책을 구성할 때 정책의 백업 디렉터리 유형은 정책이 할당된 디바이스의 조인 유형에서 지원되어야 합니다. 예를 들어 디렉터리를 Active Directory로 설정하고 디바이스가 도메인에 가입되지 않은 경우(하지만 Microsoft Entra 멤버) 디바이스는 Intune의 정책 설정을 오류 없이 적용할 수 있지만 디바이스의 LAPS는 해당 구성을 사용하여 계정을 백업할 수 없습니다.

    Backup 디렉터리를 구성한 후 organization 요구 사항에 맞게 사용 가능한 설정을 검토하고 구성합니다.

  4. 범위 태그 페이지에서 적용할 범위 태그를 선택하고 다음을 선택합니다.

  5. 할당의 경우 이 정책을 받을 그룹을 선택합니다. 디바이스 그룹에 LAPS 정책을 할당하는 것이 좋습니다. 사용자 그룹에 할당된 정책은 디바이스에서 디바이스로 사용자를 따릅니다. 디바이스 사용자가 변경되면 디바이스에 새 정책이 적용되고 디바이스가 백업하는 계정 또는 관리되는 계정 암호가 다음에 회전되는 경우를 포함하여 일관되지 않은 동작이 발생할 수 있습니다.

    참고

    모든 Intune 정책과 마찬가지로 새 정책이 디바이스에 적용되는 경우 Intune은 해당 디바이스에 정책을 검사 처리하도록 알리려고 시도합니다.

    디바이스가 Intune을 사용하여 성공적으로 체크 인하고 LAPS 정책을 성공적으로 처리할 때까지 관리되는 로컬 관리자 계정에 대한 데이터를 관리 센터 내에서 보거나 관리할 수 없습니다.

    프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요.

  6. 검토 + 만들기에서 설정을 검토한 다음 만들기를 선택합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책 목록에도 정책이 표시됩니다.

디바이스 작업 보기 상태

계정에 엔드포인트 보안 워크로드의 모든 정책 템플릿에 대한 권한을 부여하는 보안 기준 권한과 동일한 권한이 있는 경우 Intune 관리 센터를 사용하여 디바이스에 대해 요청된 디바이스 작업의 상태 볼 수 있습니다.

자세한 내용은 LAPS에 대한 역할 기반 액세스 제어를 참조하세요.

  1. Microsoft Intune 관리 센터에서디바이스>모든 디바이스 로 이동하여 로컬 관리자 계정을 백업하는 LAPS 정책이 있는 디바이스를 선택합니다. Intune은 해당 디바이스 개요 창을 표시합니다.

  2. 디바이스 개요 창에서 디바이스 작업 상태 볼 수 있습니다. 이전에 요청한 작업 및 보류 중인 작업은 요청 시간을 포함하여 표시되며 작업이 실패했거나 성공한 경우 입니다. 다음 예제 스크린샷에서 디바이스에 로컬 관리 계정 암호가 성공적으로 회전되었습니다.

    디바이스 작업의 스크린샷은 하나의 작업이 완료되고 현재 작업이 보류 중인 디바이스에 대해 상태.

  3. 목록에서 작업을 선택하면 해당 작업에 대한 추가 세부 정보를 표시할 수 있는 디바이스 작업 상태 창이 열립니다.

계정 및 암호 세부 정보 보기

계정 및 암호 세부 정보를 보려면 계정에 다음 Microsoft Entra 권한 중 하나가 있어야 합니다.

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

다음 방법을 사용하여 계정에 이러한 권한을 부여합니다.

  • 다음 기본 제공 Microsoft Entra 역할 중 하나를 할당합니다.
    • 전역 관리자
    • 클라우드 디바이스 관리

이러한 권한을 부여하는 Microsoft Entra ID에서 사용자 지정 역할을 만들고 할당합니다. Microsoft Entra 설명서의 Microsoft Entra ID에서 사용자 지정 역할 만들기 및 할당을 참조하세요.

자세한 내용은 LAPS에 대한 역할 기반 액세스 제어를 참조하세요.

  1. Microsoft Intune 관리 센터에서디바이스>모든 디바이스로 이동하여 Windows 디바이스 > 를 선택하여 개요 창을 엽니다.

    개요 창에서 디바이스 작업 상태 디바이스를 볼 수 있습니다. 상태 암호 회전과 같은 현재 및 과거 작업을 표시합니다.

  2. 디바이스 개요 창의 모니터 아래에서 로컬 관리자 암호를 선택합니다. 계정에 충분한 권한이 있는 경우 디바이스에 대한 로컬 관리자 암호 창이 열리며 이는 Azure Portal 내에서 사용할 수 있는 것과 동일한 보기입니다.

    Windows 디바이스의 로컬 관리자 암호 창을 보여 주는 스크린샷

    관리 센터 내에서 다음 정보를 볼 수 있습니다. 그러나 로컬 관리자 암호는 계정이 Microsoft Entra 백업된 경우에만 볼 수 있습니다. 온-프레미스 Active Directory(Windows Server Active Directory)에 백업된 계정에 대해 볼 수 없습니다.

    • 계정 이름 – 디바이스에서 백업된 로컬 관리자 계정의 이름입니다.
    • 보안 ID – 디바이스에서 백업되는 계정의 잘 알려진 SID입니다.
    • 로컬 관리자 암호 – 기본적으로 가려져 있습니다. 계정에 권한이 있는 경우 표시 를 선택하여 암호를 표시할 수 있습니다. 그런 다음 복사 옵션을 사용하여 클립보드에 암호를 복사할 수 있습니다. 이 정보는 온-프레미스 Active Directory 백업하는 디바이스에서 사용할 수 없습니다.
    • 마지막 암호 회전 – UTC에서 정책에 따라 암호가 마지막으로 변경되거나 회전된 날짜와 시간입니다.
    • 다음 암호 회전 – UTC에서 정책별로 암호를 회전할 다음 날짜와 시간입니다.

다음은 디바이스 계정 및 암호 정보를 보기 위한 고려 사항입니다.

  • 로컬 관리자 계정의 암호를 검색(보기)하면 감사 이벤트가 트리거됩니다.

  • 다음 디바이스에 대한 암호 세부 정보는 볼 수 없습니다.

    • 로컬 관리자 계정이 온-프레미스 Active Directory 백업된 디바이스
    • Active Directory를 사용하여 계정 암호를 백업하도록 설정된 디바이스입니다.

수동으로 암호 회전

LAPS 정책에는 계정 암호를 자동으로 회전하는 일정이 포함됩니다. 예약된 회전 외에도 로컬 관리자 암호 회전의 Intune 디바이스 작업을 사용하여 디바이스 LAPS 정책에서 설정한 회전 일정과 관계없이 디바이스 암호를 수동으로 회전할 수 있습니다.

이 디바이스 작업을 사용하려면 계정에 다음 세 가지 Intune 권한이 있어야 합니다.

  • 관리되는 디바이스: 읽기
  • 조직: 읽기
  • 원격 작업: 로컬 관리 암호 회전

LAPS에 대한 역할 기반 액세스 제어를 참조하세요.

암호를 회전하려면

  1. Microsoft Intune 관리 센터에서디바이스>모든 디바이스로 이동하여 회전하려는 계정으로 Windows 디바이스를 선택합니다.

  2. 디바이스 세부 정보를 보는 동안 메뉴 모음의 오른쪽에 있는 줄임표(...)를 확장하여 사용 가능한 옵션을 표시한 다음 로컬 관리자 암호 회전을 선택합니다.

    디바이스 작업에 대한 확장된 메뉴 옵션의 스크린샷.

  3. 로컬 관리자 암호 회전을 선택하면 Intune에서 암호를 회전하기 전에 확인이 필요한 경고가 표시됩니다.

    암호를 회전하려는 의도를 확인한 후 Intune은 프로세스를 시작하며 완료하는 데 몇 분 정도 걸릴 수 있습니다. 이 시간 동안 디바이스 세부 정보 창에는 작업이 보류 중임을 나타내는 배너 및 디바이스 작업 상태 표시됩니다.

회전이 성공하면 디바이스 작업 상태 확인이 완료로 표시됩니다.

다음은 수동 암호 회전에 대한 고려 사항입니다.

  • 로컬 관리자 암호 회전 디바이스 작업은 모든 Windows 디바이스에서 사용할 수 있지만 계정 및 암호 데이터를 성공적으로 백업하지 못한 디바이스는 회전 요청을 완료하지 못합니다.

  • 각 수동 회전 시도 시 감사 이벤트가 발생합니다. 예약된 암호 회전은 감사 이벤트도 기록합니다.

  • 암호를 수동으로 회전하면 예약된 다음 암호 회전 시간이 다시 설정됩니다. 다음으로 예약된 회전 시간은 LAPS 정책의 PasswordAgeDays 설정을 통해 관리됩니다.

    작동 방식은 다음과 같습니다. 디바이스는 3월 1일에 PasswordAgeDays 를 10일로 설정하는 정책을 받습니다. 그 결과 디바이스는 3월 11일에 10일 후에 자동으로 암호를 회전합니다. 3월 5일에 관리자는 해당 디바이스의 암호를 수동으로 회전하고 PasswordAgeDays 의 시작 날짜를 3월 5일로 다시 설정하는 작업을 수행합니다. 따라서 디바이스는 이제 10일 후인 3월 15일에 자동으로 암호를 회전합니다.

  • Microsoft Entra 조인된 디바이스의 경우 수동 회전이 요청될 때 디바이스가 온라인 상태여야 합니다. 요청 시 디바이스가 온라인 상태가 아니면 오류가 발생합니다.

  • 암호 회전은 대량 작업으로 지원되지 않습니다. 한 번에 하나의 디바이스만 회전할 수 있습니다.

정책 충돌 방지

다음 세부 정보는 충돌을 방지하고 LAPS 정책으로 관리되는 디바이스에서 예상되는 동작을 이해하는 데 도움이 될 수 있습니다.

정책이 성공한 디바이스에 충돌을 발생시키는 두 개 이상의 정책이 할당된 경우:

  • 디바이스에서 사용 중인 설정은 마지막 집합 값의 디바이스에 남아 있습니다. 원래 정책과 새 정책 모두 충돌하는 것으로 보고합니다.
  • 충돌을 resolve 충돌하는 정책이 적용되지 않을 때까지 정책 할당을 제거하거나 적용 가능한 정책을 다시 구성하여 동일한 구성을 설정하여 충돌을 제거합니다.

LAPS 정책이 없는 디바이스가 충돌하는 두 정책을 동시에 수신하는 경우:

  • 설정은 디바이스로 전송되지 않으며 두 정책 모두 충돌이 있는 것으로 보고됩니다.
  • 충돌이 남아 있는 동안 정책의 설정은 디바이스에 적용되지 않습니다.

충돌을 resolve 디바이스에서 정책 할당을 제거하거나 충돌이 더 이상 남아 있지 않을 때까지 해당 정책의 설정을 다시 구성해야 합니다.

다음 단계