액세스 정책을 사용하여 여러 관리 승인 필요
손상된 관리 계정으로부터 보호하려면 Intune 액세스 정책을 사용하여 변경 내용이 적용되기 전에 두 번째 관리 계정을 사용하여 변경 사항을 승인하도록 요구합니다. 이 기능을 MAA(다중 관리 승인)라고 합니다.
MAA를 사용하면 디바이스용 앱 또는 스크립트와 같은 특정 구성을 보호하는 액세스 정책을 구성합니다. 액세스 정책은 보호되는 항목과 해당 리소스에 대한 변경 내용을 승인할 수 있는 계정 그룹을 지정합니다.
테넌트의 계정이 액세스 정책으로 보호되는 리소스를 변경하는 데 사용되는 경우 Intune은 다른 계정이 명시적으로 승인할 때까지 변경 내용을 적용하지 않습니다. 액세스 보호 정책에서 보호된 리소스가 할당된 승인 그룹의 구성원인 관리자만 변경 내용을 승인할 수 있습니다. 승인자는 변경 요청을 거부할 수도 있습니다.
액세스 정책은 다음 리소스에 대해 지원됩니다.
- 앱 – 앱 배포에 적용되지만 앱 보호 정책에는 적용되지 않습니다.
- 스크립트 – Windows를 실행하는 디바이스에 스크립트를 배포하는 데 적용됩니다.
- 액세스 정책 - 여러 관리 승인 정책을 만들거나 관리하는 데 적용됩니다.
액세스 정책 및 승인자를 위한 필수 구성 요소
다중 관리 승인을 사용하려면 테넌트에게 관리자 계정이 두 개 이상 있어야 합니다. 한 계정은 테넌트에서 변경을 수행하는 데 사용되며, 두 번째 계정은 변경을 승인하는 데 사용됩니다.
액세스 정책을 만들려면 계정에 Intune 서비스 관리자 또는 Azure 전역 관리자 역할이 할당되거나 Intune 역할에 대한 적절한 다중 관리자 승인 권한이 할당되어야 합니다. 다중 관리자 승인을 위해 특별히 액세스 정책을 관리하는 관리자는 다중 관리자 승인 승인 권한이 필요합니다.
액세스 정책의 승인자가 되려면 계정이 특정 유형의 리소스에 대한 액세스 정책에 할당된 승인자 그룹에 있어야 합니다.
조직에서 Intune 역할에 대해 허가되지 않은 관리자를 허용하는 경우 모든 승인자 그룹은 하나 이상의 Intune 역할 할당의 구성원 그룹이어야 합니다.
다중 관리자 승인 및 액세스 정책의 작동 방식
관리자가 액세스 정책으로 보호되는 영역에 대한 새 개체를 편집하거나 만들 때 저장 + 검토 화면에 비즈니스 근거로 변경에 대한 설명을 입력할 수 있는 옵션이 표시됩니다.
- 비즈니스 근거는 변경에 대한 승인 요청의 일부가 됩니다.
- 변경 사항을 제출한 관리자는 테넌트 관리>다중 관리자 승인으로 이동하여 내 요청 페이지를 확인하여 Microsoft Intune 관리 센터에서요청 상태를 볼 수 있습니다.
변경 내용이 제출되면승인자가다중 관리자 승인 노드의 수신된 요청 페이지로 이동합니다. 여기에 활성 또는 최근에 관리되는 요청 목록이 표시됩니다. 이 보기는 요청을 제출한 시기와 사람, 만들기 또는 할당과 같은 작업 유형 및 상태를 포함하여 요청에 대한 몇 가지 세부 정보를 제공합니다. 요청을 관리하려면 다음을 수행합니다.
- 승인자가 요청에 대한 비즈니스 근거 링크를 선택합니다. 이 작업은 액세스 정책 요청 창을 열어 요청의 비즈니스 근거 필드에 제공된 전체 세부 정보를 포함하여 변경 내용에 대한 자세한 정보를 볼 수 있습니다.
- 액세스 정책 요청 창에서 승인자는 승인자 노트 필드에 메모를 입력한 다음 요청 승인 또는 요청 거부 옵션을 선택할 수 있습니다. 이러한 노트는 요청에 추가되며 내 요청 페이지에서 요청을 검토할 때 변경을 요청한 개인에게 표시됩니다. 예를 들어 요청이 거부되면 거부 이유를 승인자 노트를 통해 요청자에게 다시 전달할 수 있습니다.
- 요청을 제출하고 승인 그룹의 구성원이기도 한 개인은 수신된 요청 페이지에서 자신의 요청을 볼 수 있습니다. 그러나 자체 요청을 승인할 수는 없습니다.
변경이 승인되면 Intune은 요청된 변경 사항을 처리하고 개체를 업데이트합니다. Intune은 요청을 처리하는 동안 해당 상태가 승인됨으로 표시될 수 있습니다. 성공적으로 처리되면 상태가 완료됨으로 업데이트됩니다.
상태의 각 변경 내용은 마지막 상태 변경 후 최대 30일 동안 계속 표시됩니다. 요청이 30일 이내에 추가로 처리되지 않으면 만료되고 다시 제출되어야 합니다.
액세스 정책 생성
액세스 정책을 만들려면 Microsoft Intune 관리 센터에서테넌트 관리>다중 관리자 관리>액세스 정책 으로 이동하여 만들기를 선택합니다.
기본 페이지에서이름 및 선택적 설명을 입력하고 프로필 유형에 대해 사용 가능한 옵션 중에서 선택합니다. 각 정책은 단일 프로필 유형을 지원합니다.
승인자 페이지에서그룹 추가를 선택한 다음, 이 정책에 대한 승인자 그룹으로 그룹을 선택합니다. 그룹을 제외하는 더 복잡한 구성은 지원되지 않습니다.
검토 + 만들기 페이지에서 변경 내용을 검토한 다음 저장합니다. Intune에서 이 정책을 적용한 후 보호된 프로필 유형에 대한 구성에는 여러 관리자 승인이 필요합니다.
요청 제출
MAA를 사용할 때 요청을 제출하려면 일반 프로세스를 사용하여 리소스를 만들거나 편집합니다.
변경 내용을 저장하기 전에 마지막 페이지에서 비즈니스 근거 필드에 세부 정보를 추가한 다음 요청을 제출합니다. 긴급 요청의 경우 요청이 적시에 표시되도록 알려진 승인자 목록에 문의하는 것이 좋습니다.
이미 승인이 보류 중인 동일한 개체에 대한 요청이 있는 경우 요청을 제출할 수 없습니다. Intune은 이 상황을 알리는 메시지를 표시합니다.
요청 상태를 모니터링하려면 Microsoft Intune 관리 센터에서테넌트 관리>다중 관리자 승인>내 요청으로 이동합니다.
내 요청 페이지에서 선택한 다음 요청 취소를 선택하여 승인되기 전에 요청을 취소할 수 있습니다.
요청 승인
승인 요청을 찾으려면 Microsoft Intune 관리 센터에서테넌트 관리>다중 관리자 관리>수신 요청으로 이동합니다.
요청에 대한 비즈니스 근거 링크를 선택하여 요청에 대해 자세히 알아보고 승인 또는 거부를 관리할 수 있는 검토 페이지를 엽니다.
세부 정보를 검토한 후 승인자 노트 필드에 관련 세부 정보를 입력한 다음 요청 승인 또는 요청 거부를 선택합니다.
요청을 승인한 후 요청자는 완료를 선택해야 합니다. Intune은 변경 내용을 처리하고 상태를 완료됨으로 변경합니다 . 완료 시 콘솔 알림을 검토하여 승인 성공(또는 실패)을 확인합니다.
승인이 성공했는지(또는 실패했는지) 확인하려면 Intune 관리 센터의 알림을 확인합니다. 승인이 성공했거나 실패한 경우 메시지가 표시됩니다.
추가 고려 사항
Intune은 새 요청이 생성되거나 기존 요청의 상태가 변경될 때 알림을 보내지 않습니다. 긴급 변경 요청을 제출할 때 해당 요청을 승인할 수 있는 권한이 있는 개인에게 연락하는 것이 좋습니다.
Microsoft Intune 관리 센터에서 다중 관리자 승인 노드의 내 요청 페이지를 통해 요청 상태를 모니터링하도록 계획합니다.
개체에 대한 승인이 이미 보류 중인 경우 새 요청을 제출할 수 없습니다.
보호된 리소스에 대한 모든 작업은 다음을 포함하지만 이에 국한되지 않고 보호됩니다.
- 편집
- 만들기
- 수정
- 삭제
- 할당
요청 및 승인 프로세스에 대한 작업은 Intune 감사 로그에 기록됩니다. 자세한 내용은 Intune 활동에 대한 감사 로그를 참조하세요.
요청에 사용할 수 있는 상태 조건은 다음과 같습니다.
- 승인 필요 – 이 요청은 승인자가 보류 중인 작업입니다.
- 승인됨 – 이 요청은 Intune에서 처리 중입니다.
- 완료됨 – 이 요청이 성공적으로 적용되었습니다.
- 거부됨 – 승인자가 이 요청을 거부했습니다.
- 취소됨 – 이 요청을 제출한 관리자가 이 요청을 취소했습니다.
다음 단계
역할 기반 액세스 제어 관리