엔드포인트 권한 관리에 대한 배포 고려 사항 및 질문과 대답

아티클
05/01/2024

참고

이 기능은 Intune 추가 기능으로 사용할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.

Microsoft Intune EPM(엔드포인트 권한 관리)을 사용하면 organization 사용자가 관리자 권한 없이 표준 사용자로 실행하고 상승된 권한이 필요한 작업을 완료할 수 있습니다. 일반적으로 관리 권한이 필요한 작업은 애플리케이션 설치(예: Microsoft 365 애플리케이션), 디바이스 드라이버 업데이트 및 특정 Windows 진단 실행입니다.

Endpoint Privilege Management는 organization 최소 권한으로 실행되는 광범위한 사용자 기반을 달성하는 동시에 사용자가 organization 허용하는 작업을 계속 실행할 수 있도록 지원하여 제로 트러스트 경험을 지원합니다.

이 문서의 다음 섹션에서는 배포 고려 사항 및 EPM에 대한 질문과 대답에 대해 설명합니다.

적용 대상:

Windows 10
Windows 11

엔드포인트 권한 관리에 대한 배포 고려 사항

Windows 10 디바이스가 지원 승인 확인을 즉시 받지 못할 수 있습니다.

지원 승인된 권한 상승을 사용할 때 디바이스에 대한 새 승인이 준비되었다는 알림을 Windows 10 디바이스가 자동으로 수신하지 못하도록 하는 몇 가지 시나리오를 resolve 노력하고 있습니다. 우리는 가능한 한 빨리이 resolve 위해 소유자와 협력하고 있습니다.

UAC(사용자 계정 제어)를 사용하지 않도록 설정하는 조직에서 엔드포인트 권한 관리에 문제가 발생할 수 있음

엔드포인트 권한 관리는 명시적으로 사용하지 않도록 설정된 UAC를 지원하지 않습니다. UAC 프롬프트 동작에 대한 Windows 정책 컨트롤은 UAC 프롬프트의 동작을 제어하기 위해 존재합니다. 조직에서 Windows 서비스 사용 안 함과 같이 기존 정책 컨트롤 외부에서 UAC를 사용하지 않도록 설정하는 추가 단계를 수행하는 경우 엔드포인트 권한 관리에 문제가 발생할 수 있습니다.

비즈니스용 애플리케이션 제어를 사용하는 조직에서 엔드포인트 권한 관리를 실행하는 데 문제가 발생할 수 있습니다.

EPM 클라이언트 구성 요소를 고려하지 않는 비즈니스용 애플리케이션 제어 정책으로 인해 EPM 구성 요소가 작동하지 않을 수 있습니다. AppControl에서 EPM을 사용하려면 애플리케이션 제어 정책에 EPM이 작동하도록 허용하는 규칙이 포함되어 있는지 확인합니다.

대화형으로 로그온할 수 있는 사용자를 제한하는 조직에서 엔드포인트 권한 관리 관련 문제가 표시될 수 있습니다.

엔드포인트 권한 관리는 격리된 계정을 사용하여 권한 상승을 용이하게 합니다. 이 계정에는 대화형 로그온 세션을 만드는 기능이 필요합니다. 사용자가 대화형 세션을 만드는 기능을 제한하는 조직은 EPM이 제대로 작동하도록 변경해야 합니다.

권한 상승에 대한 지원 승인을 요청하는 사용자는 디바이스의 기본 사용자여야 합니다.

엔드포인트 권한 관리는 현재 권한 상승을 요청하는 사용자가 디바이스의 기본 사용자여야 합니다. 향후 릴리스에서 이 제한을 제거하기 위해 노력하고 있습니다.

파일 이름을 가진 파일을 식별을 위한 유일한 특성 중 하나로 작성

파일 이름은 상승해야 하는 애플리케이션을 검색하는 데 사용할 수 있는 특성입니다. 그러나 파일의 서명으로 보호되지는 않습니다.

파일 이름은 변경에 매우 취약 하며 신뢰할 수 있는 인증서로 서명된 파일의 이름이 검색되고 이후에 승격 되어 의도한 동작이 아닐 수 있습니다.

중요

항상 파일 이름을 포함한 규칙에 파일 ID에 강력한 어설션을 제공하는 다른 특성이 포함되어 있는지 확인합니다. 파일 해시 또는 파일 서명에 포함된 속성과 같은 특성은 원하는 파일이 승격될 가능성이 높다는 좋은 지표입니다.

권한 상승 설정 정책은 빠른 연속으로 변경된 경우 충돌을 표시할 수 있습니다.

엔드포인트 권한 관리는 권한 상승 설정 프로필을 사용하여 적용된 개별 설정의 상태 보고합니다. 이 프로필의 설정(instance 기본 권한 상승 동작)이 빠른 연속으로 여러 번 변경되면 디바이스가 충돌을 보고하거나 권한 상승 거부의 기본 동작으로 되돌아갈 수 있습니다. 이는 일시적인 상태이며 추가 작업 없이(60분 이내에) 해결됩니다. 이 문제는 향후 릴리스에서 해결될 예정입니다.

인터넷에서 다운로드한 차단된 파일이 상승하지 못

Windows에서는 인터넷에서 직접 다운로드한 파일에 특성을 설정하고 유효성이 검사될 때까지 실행되지 않도록 하는 동작이 있습니다. Windows에는 인터넷에서 다운로드한 파일의 평판을 확인하는 기능이 있습니다. 파일 신뢰도의 유효성이 검사되지 않으면 상승하지 못할 수 있습니다.

이 동작을 수정하려면 파일 속성 창에서 파일을 차단 해제하여 파일의 차단을 해제합니다. 파일 차단 해제는 파일을 신뢰할 때만 수행해야 합니다.

"작업 공간 조인"인 Windows 디바이스가 엔드포인트 권한 관리를 사용하도록 설정하지 못했습니다.

작업 공간에 조인된 디바이스는 Endpoint Privilege Management에서 지원되지 않습니다. 이러한 디바이스는 디바이스에 배포할 때 성공 또는 EPM 정책(권한 상승 설정 또는 권한 상승 규칙)을 표시하지 않습니다.

네트워크 파일에 대한 규칙이 상승하지 못할 수 있습니다.

엔드포인트 권한 관리는 디스크에 로컬로 저장된 파일 실행을 지원합니다. 네트워크 공유 또는 매핑된 드라이브와 같은 네트워크 위치에서 파일을 실행하는 것은 지원되지 않습니다.

네트워크 인프라에서 'SSL 검사'를 사용하는 경우 엔드포인트 권한 관리에서 정책을 수신하지 않습니다.

엔드포인트 권한 관리는 '중단 및 검사'라고 하는 SSL 검사를 지원하지 않습니다. 엔드포인트 권한 관리를 사용하려면 엔드포인트 권한 관리를 위한 Intune 엔드포인트에 나열된 URL이 검사에서 제외되는지 확인합니다.

질문과 대답

내 가상 디바이스가 엔드포인트 권한 관리에 온보딩되지 않는 이유는 무엇인가요?

현재 엔드포인트 권한 관리는 Azure Virtual Desktop에서 지원되지 않습니다. 이 문제는 향후 릴리스에서 해결될 예정입니다.

2023년 9월에 Windows 365(클라우드 PC)에 대한 지원이 추가되었습니다.

내 권한 상승 설정 정책이 오류/해당 없음을 표시하는 이유는 무엇인가요?

권한 상승 설정 정책은 EPM의 사용 및 클라이언트 쪽 구성 요소의 구성을 제어합니다. 이 정책이 오류 상태이거나 적용할 수 없는 것으로 표시되면 디바이스에 EPM을 사용하도록 설정하는 데 문제가 있음을 나타냅니다. 가장 일반적인 두 가지 이유는 필요한 Windows 업데이트가 없거나 엔드포인트 권한 관리를 위해 필요한 Intune 엔드포인트와 통신하지 못하는 것입니다.

관리자 권한이 있는 사용자가 EPM에 대해 사용하도록 설정된 디바이스를 사용하면 어떻게 되나요?

엔드포인트 권한 관리는 디바이스에 대한 관리 권한이 있는 사용자의 권한 상승 요청을 관리하지 않습니다. 관리자가 디바이스에 정의된 권한 상승 규칙(특히 자동 권한 상승 규칙)이 있는 파일을 시작하는 경우가 있을 수 있습니다. 이 애플리케이션은 관리자에 대해 정상적으로 시작되고 관리되지 않는 권한 상승에 대한 이벤트는 EPM에서 생성됩니다.

관리자에게 승격할 수 있는 파일은 무엇인가요?

엔드포인트 권한 관리는 실행 파일을 지원합니다. Microsoft는 현재 다른 파일 형식(MSI 등)에 대한 지원을 확장하고 일반적인 운영 체제 작업을 상승시키는 쉬운 방법을 제공하고 있습니다.

시작 메뉴 또는 작업 표시줄에 있는 특정 항목에는 큐레이팅된 오른쪽 클릭 메뉴가 있으며 EPM 오른쪽 클릭 상황에 맞는 메뉴는 해당 메뉴에 추가할 수 없습니다. 향후 릴리스에서 이 문제를 해결할 계획입니다.

한 번에 하나의 파일만 승격할 수 있습니다. 상승된 여러 파일을 시작하려면 각 파일을 개별적으로 마우스 오른쪽 단추 로 클릭하고 관리자 권한으로 실행을 선택합니다.

Share via