Microsoft Entra ID의 Windows 로컬 관리자 암호 솔루션
모든 Windows 디바이스에는 PtH(Pass-the-Hash) 및 측면 트래버스 공격을 완화하기 위해 보안을 유지해야 하는 로컬 관리자 계정이 기본 제공됩니다. 많은 고객이 도메인에 조인된 Windows 컴퓨터의 로컬 관리자 암호 관리를 위해 독립형 온-프레미스 LAPS(로컬 관리자 암호 솔루션) 제품을 사용해 왔습니다. Windows LAPS에 대한 Microsoft Entra 지원을 통해 Microsoft Entra 조인 디바이스와 Microsoft Entra 하이브리드 조인 디바이스 모두에 일관된 환경을 제공하고 있습니다.
LAPS에 대한 Microsoft Entra 지원에는 다음 기능이 포함됩니다.
- Microsoft Entra ID 로 Windows LAPS 사용 - 테넌트 전체 정책 및 클라이언트 쪽 정책을 사용하도록 설정하여 로컬 관리자 암호를 Microsoft Entra ID에 백업합니다.
- 로컬 관리자 암호 관리 - 계정 이름, 암호 사용 기간, 길이, 복잡성, 수동 암호 재설정 등을 설정하는 클라이언트 쪽 정책을 구성합니다.
- 로컬 관리자 암호 복구 - 로컬 관리자 암호 복구를 위해 API/포털 환경을 사용합니다.
- 모든 Windows LAPS 지원 디바이스 열거 - API/포털 환경을 사용하여 Windows LAPS가 지원되는 Microsoft Entra ID의 모든 Windows 디바이스를 열거합니다.
- 로컬 관리자 암호 복구 권한 부여 - 사용자 지정 역할 및 관리 단위와 함께 RBAC(역할 기반 액세스 제어) 정책을 사용합니다.
- 로컬 관리자 암호 업데이트 및 복구 감사 - 감사 로그 API/포털 환경을 사용하여 암호 업데이트 및 복구 이벤트를 모니터링합니다.
- 로컬 관리자 암호 복구를 위한 조건부 액세스 정책 - 암호 복구 권한이 있는 디렉터리 역할에 대한 조건부 액세스 정책을 구성합니다.
참고 항목
Microsoft Entra ID를 사용하는 Windows LAPS는 Microsoft Entra에 등록된 Windows 디바이스에서는 지원되지 않습니다.
로컬 관리자 암호 솔루션은 Windows 이외의 플랫폼에서는 지원되지 않습니다.
Windows LAPS에 대해 더 자세히 알아보려면 Windows 설명서의 다음 문서부터 시작합니다.
- Windows LAPS란? – Windows LAPS 및 Windows LAPS 설명서 집합을 소개합니다.
- Windows LAPS CSP – LAPS 설정 및 옵션에 대한 전체 세부 정보를 봅니다. LAPS에 대한 Intune 정책은 이러한 설정을 사용하여 디바이스에서 LAPS CSP를 구성합니다.
- Windows LAPS에 대한 Microsoft Intune 지원
- Windows LAPS 아키텍처
요구 사항
지원되는 Azure 지역 및 Windows 배포
이제 다음 Azure 클라우드에서 이 기능을 사용할 수 있습니다.
- Azure 글로벌
- Azure Government
- 21Vianet에서 운영하는 Microsoft Azure
운영 체제 업데이트
이제 이 기능은 지정된 업데이트 이상이 설치된 다음 Windows OS 플랫폼에서 사용할 수 있습니다.
- Windows 11 22H2 - 2023년 4월 11일 업데이트
- Windows 11 21H2 - 2023년 4월 11일 업데이트
- Windows 10 20H2, 21H2 및 22H2 - 2023년 4월 11일 업데이트
- Windows Server 2022 - 2023년 4월 11일 업데이트
- Windows Server 2019 - 11 2023 11, 2023 11 2023 업데이트
조인 유형
LAPS는 Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인 디바이스에서만 지원됩니다. Microsoft Entra 등록 디바이스는 지원되지 않습니다.
라이선스 요구 사항
LAPS는 Microsoft Entra ID Free 이상의 라이선스를 보유한 모든 고객이 사용할 수 있습니다. 관리 장치, 사용자 지정 역할, 조건부 액세스, Intune과 같은 기타 관련 기능에는 다른 라이선스 요구 사항이 있습니다.
필수 역할 또는 권한
device.LocalCredentials.Read.All이 부여된 클라우드 디바이스 관리자, Intune 관리자 및 전역 관리자의 기본 제공 Microsoft Entra 역할 외에 Microsoft Entra 사용자 지정 역할 또는 관리 장치를 사용하여 로컬 관리자 암호 복구를 권한 부여할 수 있습니다. 예를 들면 다음과 같습니다.
로컬 관리자 암호 복구를 권한 부여하려면 사용자 지정 역할에 microsoft.directory/deviceLocalCredentials/password/read 권한을 할당해야 합니다. Microsoft Entra 관리 센터, Microsoft Graph API 또는 PowerShell을 사용하여 사용자 지정 역할을 만들고 권한을 부여할 수 있습니다. 사용자 지정 역할을 만든 후에는 사용자에게 할당할 수 있습니다.
또한 Microsoft Entra ID 관리 장치를 만들고, 디바이스를 추가하고, 관리 장치로 범위가 할당된 클라우드 디바이스 관리자 역할을 할당하여 로컬 관리자 암호 복구를 권한 부여할 수도 있습니다.
Microsoft Entra ID로 Windows LAPS 사용
Microsoft Entra ID로 Windows LAPS를 사용하도록 설정하려면 Microsoft Entra ID와 관리하려는 디바이스에서 작업을 수행해야 합니다. 조직에서는 Microsoft Intune을 사용하여 Windows LAPS를 관리하는 것이 좋습니다. 디바이스가 Microsoft Entra에 가입되어 있지만 Microsoft Intune을 사용하지 않거나 지원하지 않는 경우 Microsoft Entra ID용 Windows LAPS를 수동으로 배포할 수 있습니다. 자세한 내용은 Windows LAPS 정책 설정 구성 문서를 참조하세요.
최소한 클라우드 디바이스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>디바이스>개요>디바이스 설정으로 이동합니다.
로컬 관리사용자 암호 솔루션(LAPS) 설정에 대해 예를선택한 다음 저장을 선택합니다. Microsoft Graph API Update deviceRegistrationPolicy 를 사용하여 이 작업을 완료할 수도 있습니다.
클라이언트 쪽 정책을 구성하고 BackUpDirectory를 Microsoft Entra ID로 설정합니다.
- Microsoft Intune을 사용하여 클라이언트 쪽 정책을 관리하는 경우 Microsoft Intune을 사용하여 Windows LAPS 관리를 참조하세요.
- GPO(그룹 정책 개체)를 사용하여 클라이언트 쪽 정책을 관리하는 경우 Windows LAPS 그룹 정책을 참조 하세요.
로컬 관리자 암호 및 암호 메타데이터 복구
Microsoft Entra ID에 조인된 Windows 디바이스의 로컬 관리자 암호를 보려면 microsoft.directory/deviceLocalCredentials/password/read 작업을 부여받아야 합니다.
Microsoft Entra ID에 조인된 Windows 디바이스의 로컬 관리자 암호 메타데이터를 보려면 microsoft.directory/deviceLocalCredentials/standard/read 작업을 부여받아야 합니다.
다음 기본 제공 역할에는 기본적으로 이러한 작업이 부여됩니다.
| 기본 제공 역할 | microsoft.directory/deviceLocalCredentials/standard/read 및 microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| 클라우드 디바이스 관리자 | 예 | 예 |
| Intune 서비스 관리자 | 예 | 예 |
| 기술 지원팀 관리자 | 예 | 예 |
| 보안 관리자 | 예 | 예 |
| 보안 읽기 권한자 | 예 | 예 |
나열되지 않은 역할에는 어떤 작업도 부여되지 않습니다.
Microsoft Graph API Get deviceLocalCredentialInfo를 사용하여 로컬 관리 암호를 복구할 수도 있습니다. Microsoft Graph API를 사용하는 경우 반환된 암호는 사용하기 전에 디코딩해야 하는 Base64로 인코딩된 값입니다.
모든 Windows LAPS 지원 디바이스 나열
모든 Windows LAPS 지원 디바이스를 나열하려면 ID>디바이스>개요>로컬 관리자 암호 복구로 이동하거나 Microsoft Graph API를 사용할 수 있습니다.
로컬 관리자 암호 업데이트 및 복구 감사
감사 이벤트를 보려면 ID>디바이스>개요>감사 로그로 이동한 다음, 작업 필터를 사용하고 디바이스 로컬 관리자 암호 업데이트 또는 디바이스 로컬 관리자 암호 복구를 검색하여 감사 이벤트를 봅니다.
로컬 관리자 암호 복구를 위한 조건부 액세스 정책
조건부 액세스 정책의 범위를 기본 제공 역할로 지정하여 로컬 관리자 암호를 복구하기 위한 액세스를 보호할 수 있습니다. 공통 조건부 액세스 정책: 관리자를 위한 MFA 요구 문서에서 다단계 인증을 요구하는 정책의 예를 찾을 수 있습니다.
참고 항목
관리 장치 범위 역할 및 사용자 지정 역할을 비롯한 다른 역할 형식은 지원되지 않습니다.
자주 묻는 질문
Microsoft Entra 관리 구성이 포함된 Windows LAPS는 GPO(그룹 정책 개체)를 사용하여 지원되는가요?
예, Microsoft Entra 하이브리드 조인 디바이스에만 해당됩니다. Windows LAPS 그룹 정책을 참조하세요.
Microsoft Entra 관리 구성이 포함된 Windows LAPS는 MDM을 사용하여 지원되나요?
예, Microsoft Entra 조인/Microsoft Entra 하이브리드 조인(공동 관리) 디바이스의 경우 가능합니다. 고객은 Microsoft Intune 또는 선택한 다른 타사 MDM(모바일 디바이스 관리)을 사용할 수 있습니다.
Microsoft Entra ID에서 디바이스를 삭제하면 어떻게 되나요?
Microsoft Entra ID에서 디바이스를 삭제하면 해당 디바이스에 연결된 LAPS 자격 증명이 손실되고 Microsoft Entra ID에 저장된 암호가 손실됩니다. LAPS 암호를 검색하여 외부에 저장하는 사용자 지정 워크플로가 없으면 Microsoft Entra ID에는 삭제된 디바이스의 LAPS 관리 암호를 복구할 수 있는 방법이 없습니다.
LAPS 암호를 복구하려면 어떤 역할이 필요하나요?
Microsoft Entra 역할에는 LAPS 암호를 복구할 수 있는 권한이 있는 기본 제공 역할인 클라우드 디바이스 관리istrator 및 Intune 관리istrator가 있습니다.
LAPS 메타데이터를 읽으려면 어떤 역할이 필요하나요?
디바이스 이름, 마지막 암호 회전 및 다음 암호 회전을 포함하여 LAPS에 대한 메타데이터를 볼 수 있는 기본 제공 역할은 클라우드 디바이스 관리istrator, Intune 관리istrator, Helpdesk 관리istrator, Security Reader 및 Security 관리istrator입니다.
사용자 지정 역할이 지원되나요?
예. Microsoft Entra ID P1 또는 P2가 있는 경우 다음 RBAC 권한을 사용하여 사용자 지정 역할을 만들 수 있습니다.
- LAPS 메타데이터를 읽으려면: microsoft.directory/deviceLocalCredentials/standard/read
- LAPS 암호를 읽으려면: microsoft.directory/deviceLocalCredentials/password/read
정책에 지정된 로컬 관리자 계정이 변경되면 어떻게 되나요?
Windows LAPS는 디바이스에서 한 번에 하나의 로컬 관리자 계정만 관리할 수 있으므로 원래 계정은 더 이상 LAPS 정책에 의해 관리되지 않습니다. 정책에 디바이스가 해당 계정을 백업하는 경우 새 계정이 백업되고 이전 계정에 대한 세부 정보는 더 이상 Intune 관리 센터 내에서 또는 계정 정보를 저장하도록 지정된 디렉터리에서 사용할 수 없습니다.