Microsoft Entra ID의 사용자 지정 역할 정의에서 장치 관리 권한을 사용하여 다음과 같은 세분화된 액세스 권한을 부여할 수 있습니다.
- 디바이스 사용 또는 사용 안 함
- 디바이스 삭제
- BitLocker 복구 키 읽기
- BitLocker 메타데이터 읽기
- 디바이스 등록 정책 읽기
- 디바이스 등록 정책 업데이트
이 문서에는 다양한 디바이스 관리 시나리오에 대한 사용자 지정 역할에서 사용할 수 있는 권한이 나열되어 있습니다. 사용자 지정 역할을 만드는 방법에 대한 자세한 내용은 Microsoft Entra ID사용자 지정 역할 만들기를 참조하세요.
디바이스 사용 또는 사용 안 함
디바이스 상태를 전환하는 데 사용할 수 있는 권한은 다음과 같습니다.
- microsoft.directory/devices/enable
- microsoft.directory/devices/disable
BitLocker 복구 키 읽기
BitLocker 메타데이터 및 복구 키를 읽을 수 있는 권한은 다음과 같습니다. 이 단일 권한은 BitLocker 메타데이터와 복구 키 모두에 대한 읽기를 제공합니다.
- microsoft.directory/bitlockerKeys/key/read
모든 디바이스 페이지에서 디바이스를 선택한 다음 복구 키 표시를 선택하여 BitLocker 복구 키를 볼 수 있습니다. BitLocker 복구 키 읽기에 대한 자세한 내용은 BitLocker 키 보기 또는 복사를 참조하세요.
참고 항목
Windows Autopilot을 활용하는 디바이스를 재사용하여 Entra에 참가하는 경우 새 디바이스 소유자가 있는 경우, 새 디바이스 소유자는 관리자에게 문의하여 해당 디바이스에 대한 BitLocker 복구 키를 받아야 합니다. 사용자 지정 역할 또는 관리 장치 범위 관리자는 디바이스 소유권이 변경된 디바이스의 BitLocker 복구 키에 액세스할 수 없게 됩니다. 이러한 범위 관리자는 범위가 지정되지 않은 관리자에게 복구 키를 문의해야 합니다. 자세한 내용은 Intune 디바이스의 기본 사용자 찾기 문서를 참조하세요.
BitLocker 메타데이터 읽기
다음 권한은 모든 디바이스에 대한 BitLocker 메타데이터를 읽는 데 사용할 수 있습니다.
- microsoft.directory/bitlockerKeys/metadata/read
모든 디바이스에 대한 BitLocker 메타데이터를 읽을 수 있지만 BitLocker 복구 키는 읽을 수 없습니다.
디바이스 등록 정책 읽기
테넌트 차원의 디바이스 등록 설정을 읽기 위해 다음 권한을 사용할 수 있습니다.
- microsoft.directory/deviceRegistrationPolicy/standard/read
Microsoft Entra 관리 센터에서 디바이스 설정을 읽을 수 있습니다.
디바이스 등록 정책 업데이트
다음 권한은 테넌트 전체 디바이스 등록 설정을 업데이트하는 데 사용할 수 있습니다.
- microsoft.directory/deviceRegistrationPolicy/basic/update
전체 권한 목록
읽기
| 허가 | 설명 |
|---|---|
| microsoft.directory/devices/createdFrom/read | IoT(사물 인터넷) 디바이스 템플릿 링크에서 만든 항목 읽기 |
| microsoft.directory/devices/registeredOwners/read | 등록된 디바이스 소유자 읽기 |
| microsoft.directory/devices/registeredUsers/read | 등록된 디바이스 사용자 읽기 |
| microsoft.directory/devices/standard/read | 디바이스의 기본 속성 읽기 |
| microsoft.directory/bitlockerKeys/key/read | 디바이스의 bitlocker 메타데이터 및 키 읽기 |
| microsoft.directory/bitlockerKeys/metadata/read | 디바이스에서 bitlocker 키 메타데이터 읽기 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 디바이스 등록 정책의 표준 속성 읽기 |
업데이트
| 허가 | 설명 |
|---|---|
| microsoft.directory/devices/registeredOwners/update | 등록된 디바이스 소유자 업데이트 |
| microsoft.directory/devices/registeredUsers/update | 등록된 디바이스 사용자 업데이트 |
| microsoft.directory/devices/enable | Microsoft Entra ID에서 디바이스 사용 |
| microsoft.directory/devices/disable | Microsoft Entra ID에서 디바이스 사용 안 함 |
| microsoft.directory/deviceRegistrationPolicy/basic/update | 디바이스 등록 정책의 기본 속성 업데이트 |
삭제
| 허가 | 설명 |
|---|---|
| microsoft.directory/devices/delete | Microsoft Entra ID에서 디바이스 삭제 |
다음 단계
- Microsoft Entra ID 사용자 지정 역할 만들기
- Microsoft Entra 역할 할당 나열