다음을 통해 공유

엔드포인트 권한 관리를 사용하여 권한 상승 설정 관리

Microsoft Intune EPM(엔드포인트 권한 관리)을 사용하면 organization 사용자가 관리자 권한 없이 표준 사용자로 실행하고 상승된 권한이 필요한 작업을 완료할 수 있습니다. 자세한 내용은 EPM 개요를 참조하세요.

적용 대상:

  • Windows

디바이스에서 EPM(엔드포인트 권한 관리)을 구성하려면 사용자 또는 디바이스에 Windows 권한 상승 설정 정책을 배포합니다.

  • 디바이스에서 EPM을 사용하거나 사용하지 않도록 설정합니다.
  • 권한 상승 규칙과 일치하지 않는 파일에 대한 권한 상승 요청에 대한 기본 규칙을 설정합니다.
  • EPM이 Intune에 다시 보고하는 정보를 구성합니다.

EPM을 사용하도록 설정 C:\Program Files\Microsoft EPM Agent 하면 EPM 정책 처리를 담당하는 'Microsoft EPM 에이전트 서비스' 서비스와 함께 폴더가 만들어집니다.

Windows 권한 상승 설정 정책 정보

다음을 수행하려는 경우 Windows 권한 상승 설정 정책을 사용합니다.

  • 디바이스에서 엔드포인트 권한 관리를 사용하거나 사용하지 않도록 설정합니다. EPM에 대해 처음 사용하도록 설정하면 EPM 구성 요소가 설치됩니다.

    디바이스가 EPM을 사용하지 않도록 설정한 경우 클라이언트 구성 요소는 다음 정책 동기화에서 비활성화됩니다. EPM 구성 요소가 제거되기까지 7일이 지연됩니다. 지연은 디바이스가 실수로 EPM을 사용하지 않도록 설정하거나 권한 상승 설정 정책을 할당하지 않은 경우 EPM을 복원하는 데 걸리는 시간을 줄이는 데 도움이 됩니다.

  • 기본 권한 상승 응답 설정 - Windows 권한 상승 규칙 정책으로 관리되지 않는 파일의 권한 상승 요청에 대한 기본 응답을 설정합니다. 이 설정이 효과를 주려면 애플리케이션에 대한 규칙이 없으며 최종 사용자는 관리자 권한으로 실행 마우스 오른쪽 단추 클릭 메뉴를 통해 명시적으로 권한 상승을 요청해야 합니다. 기본적으로 이 옵션은 구성되지 않음으로 설정됩니다. 설정이 구성되지 않은 경우 EPM 구성 요소는 모든 요청을 거부하는 기본 제공 기본값으로 대체됩니다.

    기본 권한 상승 응답으로 지원 승인 필요 또는 모든 요청 거부를 사용하는 것이 좋습니다.

    옵션은 다음과 같습니다.

    • 모든 요청 거부(권장) - 이 옵션은 Windows 권한 상승 규칙 정책에 정의되지 않은 파일에 대한 권한 상승 요청 작업을 차단합니다.

    • 지원 승인 필요 (권장) - 지원 승인이 필요한 경우 관리자가 권한 상승이 허용되기 전에 권한 상승 요청을 검토해야 합니다.

    • 사용자 확인 필요 - 사용자 확인이 필요한 경우 Windows 권한 상승 규칙 정책에 대해 찾은 것과 동일한 유효성 검사 옵션 중에서 선택할 수 있습니다.

      • 유효성 검사 옵션 - 기본 권한 상승 응답이 사용자 확인 필요로 정의되면 유효성 검사 옵션을 설정합니다. 옵션은 다음과 같습니다.

        • 비즈니스 근거 - 이 옵션을 사용하려면 기본 권한 상승 응답에 의해 촉진되는 권한 상승을 완료하기 전에 최종 사용자가 근거를 제공해야 합니다.
        • Windows 인증 - 이 옵션을 사용하려면 기본 권한 상승 응답에 의해 촉진되는 권한 상승을 완료하기 전에 최종 사용자가 인증해야 합니다.

        참고

        organization 요구 사항을 충족하기 위해 여러 유효성 검사 옵션을 선택할 수 있습니다. 옵션이 선택되지 않은 경우 사용자는 계속 을 선택하여 권한 상승을 완료하기만 하면 됩니다.

    주의

    기본 권한 상승 응답은 권한 상승 규칙과 일치하지 않는 모든 파일에 적용되므로 사용자 확인 필요 설정을 사용하면 기본적으로 모든 파일을 승격할 수 있습니다. 권한 상승에 대한 비즈니스 근거 또는 자격 증명 프롬프트를 찾지 않는 경우 모든 요청 거부 또는 지원 승인 필요를 사용하는 것이 좋습니다.

  • 보고를 위한 권한 상승 데이터 보내기 - 이 설정은 디바이스가 진단 및 사용량 현황 데이터를 Microsoft와 공유하는지 여부를 제어합니다. 보고 scope 설정을 사용하여 수집된 데이터를 제어합니다.

    진단 데이터는 Microsoft에서 EPM 클라이언트 구성 요소의 상태를 측정하는 데 사용됩니다. 사용량 현황 데이터는 테넌트 내에서 발생하는 권한 상승을 표시하는 데 사용됩니다. 데이터 형식 및 데이터 저장 방법에 대한 자세한 내용은 Endpoint Privilege Management에 대한 데이터 수집 및 개인 정보를 참조하세요.

    옵션은 다음과 같습니다.

    • - 이 옵션은 보고 범위 설정에 따라 Microsoft로 데이터를 보냅니다.
    • 아니요 - 이 옵션은 Microsoft로 데이터를 보내지 않습니다.

  • 보고 범위 - 보고권한 상승 데이터 보내기예로 설정된 경우 이 설정은 Microsoft로 전송되는 데이터의 양을 제어합니다. 기본적으로 *진단 데이터 및 모든 엔드포인트 권한 상승이 선택됩니다.

    옵션은 다음과 같습니다.

    • 진단 데이터 및 관리 권한 상승만 - 이 옵션은 엔드포인트 권한 관리에 의해 촉진되는 권한 상승에 대한 클라이언트 구성 요소 데이터의 상태에 대한 진단 데이터를 Microsoft에 보냅니다.
    • 진단 데이터 및 모든 엔드포인트 권한 상승 - 이 옵션은 클라이언트 구성 요소의 상태에 대한 진단 데이터를 Microsoft에 보내고 엔드포인트에서 발생하는 모든 권한 상승에 대한 데이터를 보냅니다.
    • 진단 데이터만 - 이 옵션은 클라이언트 구성 요소의 상태에 대한 진단 데이터만 Microsoft에 보냅니다.

Windows 권한 상승 설정 정책 만들기

  1. Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>엔드포인트 권한 관리>로 이동하여 정책 탭 > 을 선택한 다음 정책 만들기를 선택합니다. Platform to Windows, Profile to Windows 권한 상승 설정 정책을 설정하고 만들기를 선택합니다.

  2. 기본 사항에서 다음 속성을 입력합니다.

    • 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다.
    • 설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

  3. 구성 설정에서 디바이스의 권한 상승 요청에 대한 기본 동작을 정의하도록 다음을 구성합니다.

    평가 설정 구성 페이지의 이미지입니다.

    • 엔드포인트 권한 관리: 사용(기본값) 으로 설정합니다. 사용하도록 설정하면 디바이스에서 엔드포인트 권한 관리를 사용합니다. 사용 안 함으로 설정하면 디바이스는 엔드포인트 권한 관리를 사용하지 않으며 이전에 사용하도록 설정된 경우 EPM을 즉시 사용하지 않도록 설정합니다. 7일 후에 디바이스는 엔드포인트 권한 관리에 대한 구성 요소를 프로비전 해제합니다.

    • 기본 권한 상승 응답: 이 디바이스가 규칙과 일치하지 않는 파일에 대한 권한 상승 요청을 관리하는 방법을 구성합니다.

      • 구성되지 않음: 이 옵션은 모든 요청 거부와 동일하게 작동합니다.

      • 모든 요청 거부: EPM은 파일의 상승을 용이하게 하지 않으며 사용자에게 거부에 대한 정보가 포함된 팝업 창이 표시됩니다. 이 구성은 관리 권한이 있는 사용자가 관리자 권한으로 실행을 사용하여 관리되지 않는 파일을 실행하는 것을 방지하지 않습니다.

      • 지원 승인 필요: 이 동작은 EPM에 사용자에게 지원 승인 요청을 제출하라는 메시지를 표시하도록 지시합니다.

      • 사용자 확인 필요: 사용자는 파일을 실행하려는 의도를 확인하는 간단한 프롬프트를 받습니다. 유효성 검사 드롭다운에서 사용할 수 있는 더 많은 프롬프트가 필요할 수도 있습니다.

        • 비즈니스 근거: 사용자가 파일 실행에 대한 근거를 입력하도록 요구합니다. 이 근거에 필요한 형식은 없습니다. 사용자 입력은 저장되며 보고 scope 엔드포인트 권한 상승 컬렉션이 포함된 경우 로그를 통해 검토할 수 있습니다.
        • Windows 인증: 이 옵션을 사용하려면 사용자가 organization 자격 증명을 사용하여 인증해야 합니다.

        주의

        기본 권한 상승 응답은 권한 상승 규칙과 일치하지 않는 모든 파일에 적용되므로 사용자 확인 필요 설정을 사용하면 기본적으로 모든 파일을 승격할 수 있습니다. 추가 감사 또는 자격 증명 프롬프트를 찾지 않는 경우 모든 요청 거부 또는 지원 승인 필요를 사용하는 것이 좋습니다.

    • 보고를 위한 권한 상승 데이터 보내기: 기본적으로 이 동작은 예로 설정됩니다. 예로 설정하면 보고 scope 구성할 수 있습니다. 아니요로 설정하면 디바이스는 진단 데이터 또는 파일 권한 상승에 대한 정보를 Intune에 보고하지 않습니다.

    • scope 보고: 디바이스가 Intune에 보고하는 정보 유형을 선택합니다.

      • 진단 데이터 및 모든 엔드포인트 권한 상승 (기본값): 디바이스는 EPM이 용이하게 하는 모든 파일 권한 상승에 대한 진단 데이터 및 세부 정보를 보고합니다.

        이 수준의 정보는 사용자가 관리자 권한 컨텍스트에서 실행하려는 권한 상승 규칙에 의해 아직 관리되지 않는 다른 파일을 식별하는 데 도움이 될 수 있습니다.

      • 진단 데이터 및 관리 권한 상승만: 디바이스는 EPM에서 제어하는 파일 권한 상승에 대한 진단 데이터 및 세부 정보를 보고합니다. EPM 권한 상승에는 권한 상승 규칙과 일치하거나 관리자 권한으로 실행 마우스 오른쪽 단추 클릭 상황에 맞는 메뉴에 의해 시작되는 권한 상승이 포함됩니다. 관리되지 않는 파일에 대한 파일 요청 및 관리자 권한으로 실행의 Windows 기본 작업을 통해 상승된 파일은 관리되는 권한 상승으로 보고되지 않습니다.

      • 진단 데이터만: 엔드포인트 권한 관리 작업에 대한 진단 데이터만 수집됩니다. 파일 권한 상승에 대한 정보는 Intune에 보고되지 않습니다.

    준비가 되면 다음을 선택하여 계속합니다.

  4. 범위 태그 페이지에서 적용할 범위 태그를 선택하고 다음을 선택합니다.

  5. 할당에 대해 정책을 수신하는 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요. 다음을 선택합니다.

  6. 검토 + 만들기의 경우 설정을 검토한 다음 만들기를 선택합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책 목록에도 정책이 표시됩니다.

다음 단계

다음: 권한 상승 규칙 정책 만들기 >

  • Last updated on