엔드포인트 권한 관리에 대해 승인된 파일 권한 상승 지원

  • 아티클

참고

이 기능은 Intune 추가 기능으로 사용할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.

Microsoft Intune 엔드포인트 권한 관리(EPM)를 사용하면 organization 사용자가 관리자 권한 없이 표준 사용자로 실행하고 상승된 권한이 필요한 작업을 완료할 수 있습니다. 일반적으로 관리 권한이 필요한 작업은 애플리케이션 설치(예: Microsoft 365 애플리케이션), 디바이스 드라이버 업데이트 및 특정 Windows 진단 실행입니다.

이 문서에서는 Endpoint Privilege Management에서 지원 승인된 워크플로를 사용하는 방법을 설명합니다.

승인된 권한 상승을 지원하면 권한 상승이 허용되기 전에 승인을 요구할 수 있습니다. 권한 상승 규칙의 일부로 또는 기본 클라이언트 동작으로 지원 승인된 기능을 사용할 수 있습니다. 제출된 요청은 Intune 관리자가 사례별로 요청을 승인해야 합니다.

사용자가 관리자 권한 컨텍스트에서 파일을 실행하려고 하고 해당 파일이 지원 승인된 파일 권한 상승 형식으로 관리되는 경우 Intune 사용자에게 권한 상승 요청을 제출하라는 메시지를 표시합니다. 그런 다음 권한 상승 요청은 Intune 관리자가 검토를 위해 Intune 전송됩니다. 관리자가 권한 상승 요청을 승인하면 디바이스의 사용자에게 알림이 표시되고 파일이 관리자 권한 컨텍스트에서 실행될 수 있습니다. 요청을 승인하려면 Intune 관리자 계정에 검토 및 승인 작업과 관련된 추가 권한이 있어야 합니다.

적용 대상:

  • Windows 10
  • Windows 11

지원 승인된 권한 상승 정보

관리자의 승인이 필요한 파일에 대해 지원 승인된 권한 상승 유형과 함께 EPM 정책을 사용하여 더 높은 액세스 권한으로 실행할 수 있습니다. 다른 EPM 권한 상승 규칙과 비슷하지만 추가 계획이 필요한 몇 가지 차이점이 있습니다.

세 가지 권한 상승 유형 및 기타 정책 옵션을 검토하려면 Windows 권한 상승 규칙 정책을 참조하세요.

다음 주제는 지원 승인된 권한 상승 유형을 사용할 때 계획하고 예상하는 세부 정보입니다.

  • 권한 상승 요청

    사용자가 권한 상승된 액세스 권한으로 실행 옵션을 사용하여 파일을 실행하고 해당 파일이 지원 승인된 권한 상승 규칙을 사용하여 정책에 의해 관리되는 경우 Intune 사용자에게 Intune 관리 센터에 권한 상승 요청을 보내는 프롬프트를 표시합니다.

    • 프롬프트를 통해 사용자는 권한 상승에 대한 비즈니스 이유를 입력할 수 있습니다. 이러한 이유는 사용자의 이름, 디바이스 및 파일 이름도 포함하는 권한 상승 요청의 일부가 됩니다.

    • 사용자가 요청을 보내면 Intune 관리 센터로 이동하여 이러한 요청을 관리할 수 있는 권한이 있는 Intune 관리자가 요청을 승인하거나 거부하기로 결정합니다.

    다음 이미지는 사용자가 경험하는 파일 권한 상승 프롬프트의 예를 보여 줍니다.

    사용자 권한 상승 요청 프롬프트의 예를 표시하는 화면 캡처입니다.

  • 권한 상승 요청 검토

    Intune 관리자는 권한 상승 요청을 검토하고 승인하기 전에 엔드포인트 권한 관리 권한 상승 요청 권한에 대한 권한을 보고관리해야 합니다.

    이러한 관리자는 요청을 찾고 응답하기 위해 관리 센터의 엔드포인트 권한 관리 페이지의 권한 상승 요청 탭을 사용합니다. Intune 관리자에게 새 권한 상승 요청에 대해 알릴 방법이 없으므로 관리자는 보류 중인 요청에 대해 정기적으로 탭을 검사 계획해야 합니다.

    권한 상승 요청을 관리할 수 있는 관리자는 요청을 수락하거나 거부할 수 있습니다. 그들은 또한 그들의 결정에 대 한 이유를 제공할 수 있습니다. 이러한 이유는 요청에 대한 감사 레코드의 일부가 됩니다.

    • 승인: 관리자가 권한 상승 요청을 승인할 때 Intune 사용자가 요청을 제출한 디바이스에 정책을 전송하여 해당 사용자가 다음 24시간 동안 관리자 권한으로 파일을 실행할 수 있도록 합니다. 이 기간은 관리자가 요청을 승인할 때 시작됩니다. 24시간 기간이 만료되기 전에 사용자 지정 기간 또는 승인된 권한 상승 취소에 대한 현재 지원은 없습니다.

      요청이 승인되면 Intune 디바이스에 알리고 동기화를 시작합니다. 이 작업은 다소 시간이 걸릴 수 있습니다. Intune 디바이스에서 알림을 사용하여 이제 관리자 권한으로 실행 마우스 오른쪽 단추 클릭 옵션을 사용하여 파일을 성공적으로 실행할 수 있음을 사용자에게 알릴 수 있습니다.

    • 거부의 경우: Intune 사용자에게 알리지 않습니다. 관리자는 요청이 거부되었음을 사용자에게 수동으로 알려야 합니다.

  • 권한 상승 요청에 대한 감사

    충분한 권한이 있는 Intune 관리자는 테넌트 관리>감사 로그에서 사용할 수 있는 Intune 감사 로그의 권한 상승 요청 생성, 편집 및 처리와 같은 EPM 정책에 대한 정보를 볼 수 있습니다.

    다음 화면 캡처는 지원 승인된 권한 상승 정책(원래 테스트 정책 - 지원 승인됨)의 중복에 대한 감사 로그의 예를 보여줍니다.

    지원 승인된 권한 상승 규칙 정책에 대한 감사 로그 항목을 표시하는 이미지입니다.

권한 상승 요청에 대한 RBAC 권한

권한 상승 승인에 대한 감독을 제공하기 위해 Intune 다음 RBAC(역할 기반 액세스 제어) 권한이 있는 Intune 관리자만 권한 상승 요청을 보고 관리할 수 있습니다.

  • 엔드포인트 권한 관리 권한 상승 요청 - 이 권한은 승인을 위해 사용자가 제출한 권한 상승 요청을 사용하는 데 필요하며 다음 권한을 지원합니다.

    • 권한 상승 요청 보기
    • 권한 상승 요청 수정

EPM을 관리하기 위한 모든 권한에 대한 자세한 내용은 엔드포인트 권한 관리에 대한 역할 기반 액세스 제어를 참조하세요.

지원 승인된 파일 권한 상승에 대한 정책 만들기

지원 승인 권한 상승 정책을 만들려면 다른 EPM 권한 상승 규칙 정책을 만드는 데 동일한 워크플로를 사용합니다. 엔드포인트 권한 관리에 대한 정책 구성에서 Windows 권한 상승 규칙 정책 만들기를 참조하세요.

보류 중인 권한 상승 요청 관리

권한 상승 요청을 검토하고 관리하기 위한 지침으로 다음 절차를 사용합니다.

  1. Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>엔드포인트 권한 관리>권한 상승 요청 탭으로 이동합니다.

  2. 권한 상승 요청 탭에는 지난 30일 동안의 보류 중인 요청 및 요청이 표시됩니다. 행을 선택하면 해당 항목이 권한 상승 요청 속성을 열어 요청을 자세히 검토할 수 있습니다.

  3. 권한 상승 요청 세부 정보에는 다음 정보가 포함됩니다.

    1. 일반 세부 정보:

      1. 파일 - 권한 상승을 위해 요청된 파일의 이름입니다.
      2. Publisher - 권한 상승을 위해 요청된 파일에 서명한 게시자의 이름입니다. 게시자의 이름은 다운로드할 파일의 인증서 체인을 검색하는 링크입니다.
      3. 디바이스 - 권한 상승이 요청된 디바이스입니다. 디바이스 이름은 관리 센터에서 디바이스 개체를 여는 링크입니다.
      4. Intune 준수 - 디바이스의 Intune 준수 상태입니다.

    2. 요청 세부 정보:

      1. 상태 - 요청의 상태입니다. 요청은 보류 중 으로 시작하며 관리자 가 승인 하거나 거부할 수 있습니다.
      2. By - 요청을 승인 하거나 거부한 관리자의 계정입니다.
      3. 마지막 수정 - 요청 항목이 마지막으로 수정된 시간입니다.
      4. 사용자의 근거 - 권한 상승 요청에 대해 사용자가 제공한 근거입니다.
      5. 승인 만료 - 승인이 만료되는 시간입니다. 이 만료 시간에 도달할 때까지 승인된 파일의 권한 상승이 허용됩니다.
      6. 관리 이유 - 승인 또는 거부가 완료될 때 관리자가 제공하는 근거입니다.

    3. 파일 정보 - 승인을 요청한 파일에 대한 메타데이터의 세부 정보입니다.

    권한 상승 요청의 세부 정보를 표시하는 이미지입니다.

  4. 관리자가 요청을 검토한 후 승인 또는 거부를 선택할 수 있습니다. 둘 중 하나를 선택하면 근거 대화 상자 가 제공됩니다. 여기서는 결정에 대한 세부 정보를 가진 이유를 제공할 수 있습니다. 이유를 제공하는 것은 선택 사항입니다. 다음은 승인 대화 상자를 표시합니다.

    • 승인의 경우 - 관리자가 근거 대화 상자를 완료한 다음 예를 선택하여 요청을 승인합니다. Intune 디바이스에 승인을 보내고 최종 사용자는 애플리케이션을 승격할 수 있다는 알림 메시지를 통해 알림을 받습니다.

      이제 최종 사용자는 파일의 권한 상승된 액세스 권한으로 실행 마우스 오른쪽 단추 클릭 메뉴를 사용하여 권한 상승 작업을 완료할 수 있습니다.

      이유로 제공되는 샘플 승인 근거를 사용하여 권한 상승 승인 대화 상자를 표시하는 이미지

    • 거부의 경우 - 관리자는 근거 대화 상자를 완료한 다음 예를 선택하여 요청을 거부합니다.

      관리자가 승인 요청을 거부하면 권한 상승 요청이 승인되지 않습니다. Intune 디바이스에 회신을 보내지 않으며 사용자에게 알림이 전송되지 않습니다.

      샘플 승인 근거 없이 권한 상승 거부 대화 상자를 표시하는 이미지

참고

권한 상승 요청에는 필요한 경우 전체 인증서 체인을 포함하여 권한 상승 규칙을 만드는 데 필요한 모든 정보가 포함됩니다. 승인된 권한 상승 지원은 다른 권한 상승 요청과 마찬가지로 권한 상승 사용량 데이터에도 표시됩니다.

다음 단계