엔드포인트 권한 관리에 대한 정책 구성
참고
이 기능은 Intune 추가 기능으로 사용할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.
Microsoft Intune EPM(엔드포인트 권한 관리)을 사용하면 organization 사용자가 관리자 권한 없이 표준 사용자로 실행하고 상승된 권한이 필요한 작업을 완료할 수 있습니다. 일반적으로 관리 권한이 필요한 작업은 애플리케이션 설치(예: Microsoft 365 애플리케이션), 디바이스 드라이버 업데이트 및 특정 Windows 진단 실행입니다.
Endpoint Privilege Management는 organization 최소 권한으로 실행되는 광범위한 사용자 기반을 달성하는 동시에 사용자가 organization 허용하는 작업을 계속 실행할 수 있도록 지원하여 제로 트러스트 경험을 지원합니다.
이 문서의 정보는 EPM에 대해 다음 정책 및 재사용 가능한 설정을 구성하는 데 도움이 될 수 있습니다.
- Windows 권한 상승 설정 정책.
- Windows 권한 상승 규칙 정책.
- 권한 상승 규칙에 대한 선택적 구성인 재사용 가능한 설정 그룹입니다.
적용 대상:
- Windows 10
- Windows 11
EPM 정책 시작
엔드포인트 권한 관리는 파일 권한 상승 요청이 처리되는 방법을 관리하도록 구성하는 두 가지 정책 형식을 사용합니다. 정책은 표준 사용자가 관리 권한으로 실행을 요청할 때 파일 권한 상승에 대한 동작을 함께 구성합니다.
엔드포인트 권한 관리 정책을 만들려면 먼저 테넌트에서 EPM을 Intune 추가 기능으로 라이선스를 부여해야 합니다. 라이선스 정보는 Intune Suite 추가 기능 사용을 참조하세요.
Windows 권한 상승 설정 정책 정보
다음을 수행하려는 경우 Windows 권한 상승 설정 정책을 사용합니다.
디바이스에서 엔드포인트 권한 관리를 사용하도록 설정합니다. 기본적으로 이 정책은 EPM을 사용하도록 설정합니다. EPM에 대해 처음 사용하도록 설정된 경우 디바이스는 권한 상승 요청에 대한 사용량 현황 데이터를 수집하고 권한 상승 규칙을 적용하는 구성 요소를 프로비전합니다.
디바이스가 EPM을 사용하지 않도록 설정한 경우 클라이언트 구성 요소는 즉시 사용하지 않도록 설정합니다. EPM 구성 요소가 완전히 제거되기까지 7일이 지연됩니다. 지연은 디바이스가 실수로 EPM을 사용하지 않도록 설정하거나 권한 상승 설정 정책을 할당하지 않은 경우 EPM을 복원하는 데 걸리는 시간을 줄이는 데 도움이 됩니다.
기본 권한 상승 응답 - Windows 권한 상승 규칙 정책으로 관리되지 않는 파일의 권한 상승 요청에 대한 기본 응답을 설정합니다. 이 설정이 효과를 주려면 애플리케이션에 대한 규칙이 없으며 최종 사용자는 관리자 권한으로 실행 마우스 오른쪽 단추 클릭 메뉴를 통해 명시적으로 권한 상승을 요청해야 합니다. 기본적으로 이 옵션은 구성되지 않습니다. 설정이 전달되지 않으면 EPM 구성 요소는 기본 제공 기본값으로 대체되며, 이는 모든 요청을 거부하는 것입니다.
옵션은 다음과 같습니다.
- 모든 요청 거부 - 이 옵션은 Windows 권한 상승 규칙 정책에 정의되지 않은 파일에 대한 권한 상승 요청 작업을 차단합니다.
- 사용자 확인 필요 - 사용자 확인이 필요한 경우 Windows 권한 상승 규칙 정책에 대해 찾은 것과 동일한 유효성 검사 옵션 중에서 선택할 수 있습니다.
- 지원 승인 필요 - 지원 승인이 필요한 경우 관리자가 권한 상승이 필요하기 전에 일치하는 규칙 없이 권한 상승 요청을 승인해야 합니다.
참고
기본 응답은 관리자 권한으로 실행 오른쪽 클릭 메뉴를 통해 들어오는 요청에 대해서만 처리됩니다.
유효성 검사 옵션 - 기본 권한 상승 응답이 사용자 확인 필요로 정의되면 유효성 검사 옵션을 설정합니다.
옵션은 다음과 같습니다.
- 비즈니스 근거 - 이 옵션을 사용하려면 기본 권한 상승 응답에 의해 촉진되는 권한 상승을 완료하기 전에 최종 사용자가 근거를 제공해야 합니다.
- Windows 인증 - 이 옵션을 사용하려면 기본 권한 상승 응답에 의해 촉진되는 권한 상승을 완료하기 전에 최종 사용자가 인증해야 합니다.
참고
organization 요구 사항을 충족하기 위해 여러 유효성 검사 옵션을 선택할 수 있습니다. 옵션이 선택되지 않은 경우 사용자는 계속 을 클릭하여 권한 상승을 완료하기만 하면 됩니다.
보고를 위한 권한 상승 데이터 보내기 - 이 설정은 디바이스가 진단 및 사용량 현황 데이터를 Microsoft와 공유하는지 여부를 제어합니다. 데이터 공유를 사용하도록 설정하면 데이터 형식이 보고 scope 설정에 의해 구성됩니다.
진단 데이터는 Microsoft에서 EPM 클라이언트 구성 요소의 상태를 측정하는 데 사용됩니다. 사용량 현황 데이터는 테넌트 내에서 발생하는 권한 상승을 표시하는 데 사용됩니다. 데이터 형식 및 데이터 저장 방법에 대한 자세한 내용은 Endpoint Privilege Management에 대한 데이터 수집 및 개인 정보를 참조하세요.
옵션은 다음과 같습니다.
- 예 - 이 옵션은 보고 범위 설정에 따라 Microsoft로 데이터를 보냅니다.
- 아니요 - 이 옵션은 Microsoft에 데이터를 보내지 않습니다.
보고 범위 - 보고 용 권한 상승 데이터 보내기 가 예로 설정된 경우 이 설정은 Microsoft로 전송되는 데이터의 양을 제어합니다. 기본적으로 진단 데이터 및 모든 엔드포인트 권한 상승 이 선택됩니다.
옵션은 다음과 같습니다.
- 진단 데이터 및 관리 권한 상승만 - 이 옵션은 엔드포인트 권한 관리에 의해 촉진되는 권한 상승에 대한 클라이언트 구성 요소 및 데이터의 상태에 대한 진단 데이터를 Microsoft에 보냅니다.
- 진단 데이터 및 모든 엔드포인트 권한 상승 - 이 옵션은 클라이언트 구성 요소의 상태에 대한 진단 데이터를 Microsoft에 보내고 엔드포인트에서 발생하는 모든 권한 상승에 대한 데이터를 보냅니다.
- 진단 데이터만 - 이 옵션은 클라이언트 구성 요소의 상태에 대한 진단 데이터만 Microsoft에 보냅니다.
Windows 권한 상승 규칙 정책 정보
Windows 권한 상승 규칙 정책에 대한 프로필을 사용하여 특정 파일의 식별 및 해당 파일에 대한 권한 상승 요청이 처리되는 방식을 관리합니다. 각 Windows 권한 상승 규칙 정책에 는 하나 이상의 권한 상승 규칙이 포함됩니다. 관리 중인 파일에 대한 세부 정보와 상승 요구 사항을 구성하는 권한 상승 규칙이 있습니다.
지원되는 파일 형식은 다음과 같습니다.
- 또는
.msi
확장이 있는.exe
실행 파일입니다. - 확장이 있는
.ps1
PowerShell 스크립트.
각 권한 상승 규칙은 EPM에 다음 방법을 지시합니다.
다음을 사용하여 파일을 식별합니다.
- 파일 이름(확장명 포함) 이 규칙은 최소 빌드 버전, 제품 이름 또는 내부 이름과 같은 선택적 조건도 지원합니다. 선택적 조건은 권한 상승을 시도할 때 파일의 유효성을 추가로 검사하는 데 사용됩니다.
- 증명서. 인증서는 규칙에 직접 추가하거나 재사용 가능한 설정 그룹을 사용하여 추가할 수 있습니다. 규칙에서 인증서를 사용하는 경우 인증서도 유효해야 합니다. 재사용 가능한 설정 그룹을 더 효율적으로 사용하고 인증서에 대한 향후 변경을 간소화할 수 있으므로 사용하는 것이 좋습니다. 자세한 내용은 다음 섹션 재사용 가능 설정 그룹을 참조하세요.
파일의 유효성을 검사합니다.
- 파일 해시. 자동 규칙에는 파일 해시가 필요합니다. 사용자가 확인한 규칙의 경우 인증서 또는 파일 해시를 사용하도록 선택할 수 있습니다. 이 경우 파일 해시는 선택 사항이 됩니다.
- 증명서. 인증서가 제공된 경우 Windows API를 사용하여 인증서의 유효성을 검사하고 상태 해지합니다.
- 추가 속성입니다. 규칙에 지정된 추가 속성은 일치해야 합니다.
파일 권한 상승 유형을 구성합니다. 권한 상승 유형은 파일에 대한 권한 상승 요청이 수행되면 발생하는 일을 식별합니다. 기본적으로 이 옵션은 권한 상승에 대한 권장 사항인 사용자 확인됨으로 설정됩니다.
- 사용자 확인 (권장): 권한 상승을 확인한 사용자는 항상 사용자가 확인 프롬프트를 클릭하여 파일을 실행해야 합니다. 추가할 수 있는 더 많은 사용자 확인이 있습니다. 사용자가 organization 자격 증명을 사용하여 인증해야 합니다. 또 다른 옵션을 사용하려면 사용자가 비즈니스 근거를 입력해야 합니다. 근거를 위해 입력한 텍스트는 사용자에게 달려 있지만 EPM은 디바이스가 Windows 권한 상승 설정 정책의 일부로 권한 상승 데이터를 보고하도록 구성된 경우 이를 수집하고 보고할 수 있습니다.
- 자동: 자동 권한 상승은 사용자에게 보이지 않게 발생합니다. 프롬프트가 없으며 파일이 관리자 권한 컨텍스트에서 실행되고 있다는 표시가 없습니다.
- 지원 승인됨: 관리자가 일치하는 규칙이 없는 지원 필수 권한 상승 요청을 승인해야 애플리케이션을 관리자 권한으로 실행할 수 있습니다.
자식 프로세스의 동작을 관리합니다. 관리자 권한 프로세스가 만드는 모든 자식 프로세스에 적용되는 권한 상승 동작을 설정할 수 있습니다.
- 상승하는 규칙 필요 - 자식 프로세스가 관리자 권한 컨텍스트에서 실행되기 전에 자체 규칙을 요구하도록 자식 프로세스를 구성합니다.
- 모두 거부 - 모든 자식 프로세스가 관리자 권한 컨텍스트 없이 시작됩니다.
- 자식 프로세스가 관리자 권한으로 실행되도록 허용 - 항상 관리자 권한으로 실행되도록 자식 프로세스를 구성합니다.
참고
강력한 규칙을 만드는 방법에 대한 자세한 내용은 Endpoint Privilege Management를 사용하여 권한 상승 규칙을 만들기 위한 지침을 참조하세요.
EpmTools PowerShell 모듈에서 PowerShell cmdlet을 사용할 Get-FileAttributes
수도 있습니다. 이 cmdlet은 .exe 파일에 대한 파일 특성을 검색하고 게시자 및 CA 인증서를 특정 애플리케이션의 권한 상승 규칙 속성을 채우는 데 사용할 수 있는 설정된 위치로 추출할 수 있습니다.
주의
자동 권한 상승은 비즈니스에 중요한 신뢰할 수 있는 파일에만 드물게 사용하는 것이 좋습니다. 최종 사용자는 해당 애플리케이션을 시작할 때마다 이러한 애플리케이션을 자동으로 상승합니다.
재사용 가능한 설정 그룹
엔드포인트 권한 관리는 재사용 가능한 설정 그룹을 사용하여 해당 인증서를 권한 상승 규칙에 직접 추가하는 대신 인증서를 관리할 수 있도록 지원합니다. Intune 재사용 가능한 모든 설정 그룹과 마찬가지로 재사용 가능한 설정 그룹에 대한 구성 및 변경 내용은 그룹을 참조하는 정책에 자동으로 전달됩니다. 동일한 인증서를 사용하여 여러 권한 상승 규칙의 파일 유효성을 검사하려는 경우 재사용 가능한 설정 그룹을 사용하는 것이 좋습니다. 여러 권한 상승 규칙에서 동일한 인증서를 사용하는 경우 재사용 가능한 설정 그룹을 사용하는 것이 더 효율적입니다.
- 권한 상승 규칙에 직접 추가하는 인증서: 규칙에 직접 추가된 각 인증서는 Intune 의해 고유한 instance 업로드되고 해당 인증서 instance 해당 규칙과 연결됩니다. 동일한 인증서를 두 개의 별도 규칙에 직접 추가하면 두 번 업로드됩니다. 나중에 인증서를 변경해야 하는 경우 인증서를 포함하는 각 개별 규칙을 편집해야 합니다. 각 규칙이 변경되면 Intune 각 규칙에 대해 업데이트된 인증서를 한 번 업로드합니다.
- 재사용 가능한 설정 그룹을 통해 관리하는 인증서: 인증서를 재사용 가능한 설정 그룹에 추가할 때마다 Intune 해당 그룹에 포함된 권한 상승 규칙 수에 관계없이 인증서를 한 번에 업로드합니다. 그런 다음 인증서의 instance 해당 그룹을 사용하는 각 규칙의 파일과 연결됩니다. 나중에 다시 사용할 수 있는 설정 그룹에서 인증서를 한 번 변경할 수 있습니다. 이렇게 변경하면 Intune 업데이트된 파일을 한 번 업로드한 다음 해당 변경 사항을 그룹을 참조하는 각 권한 상승 규칙에 적용합니다.
Windows 권한 상승 설정 정책
디바이스에서 다음 옵션을 구성하려면 사용자 또는 디바이스에 Windows 권한 상승 설정 정책을 배포합니다.
- 디바이스에서 엔드포인트 권한 관리를 사용하도록 설정합니다.
- 해당 디바이스의 엔드포인트 권한 관리 권한 상승 규칙에 의해 관리되지 않는 모든 파일에 대한 권한 상승 요청에 대한 기본 규칙을 설정합니다.
- EPM이 Intune 보고하는 정보를 구성합니다.
디바이스가 권한 상승 규칙 정책을 처리하거나 권한 상승 요청을 관리하려면 먼저 EPM을 지원할 수 있는 권한 상승 설정 정책이 디바이스에 있어야 합니다. 지원을 사용하도록 설정 C:\Program Files\Microsoft EPM Agent
하면 EPM 정책 처리를 담당하는 EPM Microsoft 에이전트와 함께 폴더가 디바이스에 추가됩니다.
Windows 권한 상승 설정 정책 만들기
Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>엔드포인트 권한 관리>로 이동하여 정책 탭 > 을 선택한 다음 정책 만들기를 선택합니다. Platform to Windows, Profile to Windows 권한 상승 설정 정책을 설정하고 만들기를 선택합니다.
기본 사항에서 다음 속성을 입력합니다.
- 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다.
- 설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
구성 설정에서 디바이스의 권한 상승 요청에 대한 기본 동작을 정의하도록 다음을 구성합니다.
엔드포인트 권한 관리: 사용(기본값) 으로 설정합니다. 사용하도록 설정하면 디바이스에서 엔드포인트 권한 관리를 사용합니다. 사용 안 함으로 설정하면 디바이스는 엔드포인트 권한 관리를 사용하지 않으며 이전에 사용하도록 설정된 경우 EPM을 즉시 사용하지 않도록 설정합니다. 7일 후에 디바이스는 엔드포인트 권한 관리에 대한 구성 요소를 프로비전 해제합니다.
기본 권한 상승 응답: 이 디바이스가 규칙에 의해 직접 관리되지 않는 파일에 대한 권한 상승 요청을 관리하는 방법을 구성합니다.
- 구성되지 않음: 이 옵션은 모든 요청 거부와 동일하게 작동합니다.
- 모든 요청 거부: EPM은 파일의 상승을 용이하게 하지 않으며 사용자에게 거부에 대한 정보가 포함된 팝업 창이 표시됩니다. 이 구성은 관리 권한이 있는 사용자가 관리자 권한으로 실행을 사용하여 관리되지 않는 파일을 실행하는 것을 방지하지 않습니다.
- 지원 승인 필요: 이 동작은 EPM에 사용자에게 지원 승인 요청을 제출하라는 메시지를 표시하도록 지시합니다.
-
사용자 확인 필요: 사용자는 파일을 실행하려는 의도를 확인하는 간단한 프롬프트를 받습니다.
유효성 검사 드롭다운에서 사용할 수 있는 더 많은 프롬프트가 필요할 수도 있습니다.
- 비즈니스 근거: 사용자가 파일 실행에 대한 근거를 입력하도록 요구합니다. 이 근거에 필요한 형식은 없습니다. 사용자 입력은 저장되며 보고 scope 엔드포인트 권한 상승 컬렉션이 포함된 경우 로그를 통해 검토할 수 있습니다.
- Windows 인증: 이 옵션을 사용하려면 사용자가 organization 자격 증명을 사용하여 인증해야 합니다.
보고를 위한 권한 상승 데이터 보내기: 기본적으로 이 동작은 예로 설정됩니다. 예로 설정하면 보고 scope 구성할 수 있습니다. 아니요로 설정하면 디바이스는 진단 데이터 또는 파일 권한 상승에 대한 정보를 Intune 보고하지 않습니다.
보고 scope: 디바이스에서 Intune 보고하는 정보 유형을 선택합니다.
진단 데이터 및 모든 엔드포인트 권한 상승 (기본값): 디바이스는 EPM이 용이하게 하는 모든 파일 권한 상승에 대한 진단 데이터 및 세부 정보를 보고합니다.
이 수준의 정보는 사용자가 관리자 권한 컨텍스트에서 실행하려는 권한 상승 규칙에 의해 아직 관리되지 않는 다른 파일을 식별하는 데 도움이 될 수 있습니다.
진단 데이터 및 관리 권한 상승만: 디바이스는 권한 상승 규칙 정책으로 관리되는 파일에 대해서만 진단 데이터 및 파일 권한 상승에 대한 세부 정보를 보고합니다. 관리되지 않는 파일에 대한 파일 요청 및 관리자 권한으로 실행의 Windows 기본 작업을 통해 상승된 파일은 관리되는 권한 상승으로 보고되지 않습니다.
진단 데이터만: 엔드포인트 권한 관리 작업에 대한 진단 데이터만 수집됩니다. 파일 권한 상승에 대한 정보는 Intune 보고되지 않습니다.
준비가 되면 다음을 선택하여 계속합니다.
범위 태그 페이지에서 적용할 범위 태그를 선택하고 다음을 선택합니다.
할당에 대해 정책을 수신하는 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요. 다음을 선택합니다.
검토 + 만들기의 경우 설정을 검토한 다음 만들기를 선택합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책 목록에도 정책이 표시됩니다.
Windows 권한 상승 규칙 정책
사용자 또는 디바이스에 Windows 권한 상승 규칙 정책을 배포하여 Endpoint Privilege Management에서 권한 상승을 위해 관리되는 파일에 대해 하나 이상의 규칙을 배포합니다. 이 정책에 추가하는 각 규칙은 다음과 같습니다.
- 권한 상승 요청을 관리할 파일을 식별합니다.
- 실행하기 전에 해당 파일의 무결성을 확인하는 데 도움이 되는 인증서를 포함할 수 있습니다. 또한 하나 이상의 규칙 또는 정책과 함께 사용하는 인증서가 포함된 재사용 가능한 그룹을 추가할 수도 있습니다.
- 파일의 권한 상승 형식을 자동(자동으로) 또는 사용자 확인이 필요한지 여부를 지정합니다. 사용자 확인을 통해 파일을 실행하기 전에 완료해야 하는 추가 사용자 작업을 추가할 수 있습니다. 이 정책 외에도 엔드포인트 권한 관리를 사용하도록 설정하는 Windows 권한 상승 설정 정책도 디바이스에 할당되어야 합니다.
다음 방법 중 하나를 사용하여 권한 상승 규칙 정책에 추가되는 새 권한 상승 규칙을 만듭니다.
권한 상승 규칙 자동 구성 – 이 메서드를 사용하여 Intune 이미 수집한 파일 검색 세부 정보를 자동으로 채워 권한 상승 규칙을 만들 때 시간을 절약할 수 있습니다. 파일 세부 정보는 권한 상승 보고서 또는 지원 승인된 권한 상승 요청 레코드의 Intune 의해 식별됩니다.
이 메서드를 사용하면 다음을 수행할 수 있습니다.
- 권한 상승 보고서에서 권한 상승 규칙을 만들거나 승인된 권한 상승 요청을 지원할 파일을 선택합니다.
- 기존 권한 상승 규칙 정책에 새 권한 상승 규칙을 추가하거나 새 규칙을 포함하는 새 권한 상승 규칙 정책을 만들도록 선택합니다.
- 기존 정책에 추가되면 정책 할당 그룹에서 새 규칙을 즉시 사용할 수 있습니다.
- 새 정책을 만들 때 사용할 수 있게 되기 전에 해당 정책을 편집하여 그룹을 할당해야 합니다.
권한 상승 규칙 수동으로 구성 – 이 방법을 사용하려면 검색에 사용할 파일 세부 정보를 식별하고 규칙 만들기 워크플로의 일부로 수동으로 입력해야 합니다. 검색 조건에 대한 자세한 내용은 Endpoint Privilege Management에서 사용할 규칙 정의를 참조하세요.
이 메서드를 사용하면 다음을 수행할 수 있습니다.
- 사용할 파일 세부 정보를 수동으로 확인한 다음 파일 식별을 위해 권한 상승 규칙에 추가합니다.
- 사용할 그룹에 정책 할당을 포함하여 정책을 만드는 동안 정책의 모든 측면을 구성합니다.
Windows 권한 상승 규칙 정책에 대한 권한 상승 규칙 자동 구성
Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>엔드포인트 권한 관리로 이동합니다. 권한 상승 규칙에 사용할 파일을 선택하려면 다음 시작 경로 중 하나를 선택합니다.
보고서에서 시작:
- 보고서 탭을 선택한 다음 권한 상승 보고서 타일을 선택합니다. 파일 열에서 규칙을 만들려는 파일을 찾습니다.
- 파일의 연결된 이름을 선택하여 해당 파일 권한 상승 세부 정보 창을 엽니다.
지원 승인된 권한 상승 요청에서 시작합니다.
권한 상승 요청 탭을 선택합니다.
파일 열에서 권한 상승 규칙에 사용할 파일을 선택합니다. 그러면 해당 파일 권한 상승 세부 정보 창이 열립니다.
권한 상승 요청의 상태 중요하지 않습니다. 보류 중인 요청 또는 이전에 승인되거나 거부된 요청을 사용할 수 있습니다.
권한 상승 세부 정보 창에서 파일 세부 정보를 검토합니다. 이 정보는 권한 상승 규칙에서 올바른 파일을 식별하는 데 사용됩니다. 준비가 되면 이러한 파일 세부 정보를 사용하여 규칙 만들기를 선택합니다.
만드는 새 권한 상승 규칙에 대한 정책 옵션을 선택합니다.
새 정책 만들기:
이 옵션은 선택한 파일에 대한 권한 상승 규칙을 포함하는 새 정책을 만듭니다.- 규칙의 경우 형식 및 자식 프로세스 동작을 구성한 다음 확인을 선택하여 정책을 만듭니다.
- 메시지가 표시되면 새 정책에 대한 정책 이름을 제공하고 할당되지 않은 새 권한 상승 규칙 정책 만들기를 확인합니다.
- 정책을 만든 후 정책을 편집하여 할당하고 필요한 경우 추가 구성을 추가할 수 있습니다.
기존 정책에 를 추가합니다.
이 옵션을 사용하면 드롭다운 목록을 사용하고 새 권한 상승 규칙이 추가되는 기존 권한 상승 정책을 선택합니다.- 규칙의 경우 권한 상승 유형 및 자식 프로세스 동작을 구성한 다음 확인을 선택합니다. 정책은 새 규칙으로 업데이트됩니다.
- 규칙이 정책에 추가된 후 정책을 편집하여 규칙에 대한 액세스 권한을 얻은 다음, 필요한 경우 추가 구성을 만들도록 수정할 수 있습니다.
이 권한 상승과 동일한 파일 경로가 필요합니다.
이 확인란을 선택하면 규칙의 파일 경로 필드가 보고서에 표시된 것처럼 파일 경로로 설정됩니다. 확인란을 선택하지 않으면 경로가 비어 있습니다.
Windows 권한 상승 규칙 정책에 대한 권한 상승 규칙 수동 구성
Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>엔드포인트 권한 관리>로 이동하여 정책 탭 > 을 선택한 다음 정책 만들기를 선택합니다. 플랫폼을Windows로, 프로필을Windows로 권한 상승 규칙 정책으로 설정한 다음, 만들기를 선택합니다.
기본 사항에서 다음 속성을 입력합니다.
- 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다.
- 설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
구성 설정에서 이 정책이 관리하는 각 파일에 대한 규칙을 추가합니다. 새 정책을 만들 때 정책 시작에는 권한 상승 유형 이 확인된 사용자 와 규칙 이름이 없는 빈 규칙이 포함됩니다. 먼저 이 규칙을 구성하고 나중에 추가 를 선택하여 이 정책에 더 많은 규칙을 추가할 수 있습니다. 추가하는 각 새 규칙에는 사용자 확인의 상승 유형이 있으며, 규칙을 구성할 때 변경할 수 있습니다.
규칙을 구성하려면 instance 편집을 선택하여 규칙 속성 페이지를 연 다음 다음을 구성합니다.
- 규칙 이름: 규칙에 대한 설명이 포함된 이름을 지정합니다. 나중에 쉽게 식별할 수 있도록 규칙의 이름을 지정합니다.
- 설명 (선택 사항): 프로필에 대한 설명을 입력합니다.
권한 상승 조건은 파일 실행 방법을 정의하는 조건이며, 이 규칙이 적용되는 파일을 실행하기 전에 충족해야 하는 사용자 유효성 검사를 실행할 수 있습니다.
권한 상승 유형: 기본적으로 이 옵션은 대부분의 파일에 권장되는 권한 상승 유형인 사용자 확인됨으로 설정됩니다.
사용자 확인: 대부분의 규칙에 대해 이 옵션을 사용하는 것이 좋습니다. 파일이 실행되면 사용자는 파일을 실행하려는 의도를 확인하는 간단한 프롬프트를 받습니다. 이 규칙에는 유효성 검사 드롭다운에서 사용할 수 있는 다른 프롬프트도 포함될 수 있습니다.
- 비즈니스 근거: 사용자가 파일 실행에 대한 근거를 입력하도록 요구합니다. 항목에 필요한 형식은 없습니다. 사용자 입력은 저장되며 보고 scope 엔드포인트 권한 상승 컬렉션이 포함된 경우 로그를 통해 검토할 수 있습니다.
- Windows 인증: 이 옵션을 사용하려면 사용자가 organization 자격 증명을 사용하여 인증해야 합니다.
자동: 이 권한 상승 유형은 관리자 권한으로 해당 파일을 자동으로 실행합니다. 자동 권한 상승은 확인 메시지를 표시하거나 사용자의 근거 또는 인증을 요구하지 않고 사용자에게 투명합니다.
주의
신뢰할 수 있는 파일에 대해서만 자동 권한 상승을 사용합니다. 이러한 파일은 사용자 상호 작용 없이 자동으로 상승합니다. 잘 정의되지 않은 규칙은 승인되지 않은 애플리케이션이 상승하도록 허용할 수 있습니다. 강력한 규칙을 만드는 방법에 대한 자세한 내용은 규칙을 만들기 위한 지침을 참조하세요.
지원 승인됨: 이 권한 상승 유형을 사용하려면 관리자가 권한 상승을 완료하기 전에 요청을 승인해야 합니다. 자세한 내용은 승인된 권한 상승 요청 지원을 참조하세요.
중요
파일에 대해 승인된 권한 상승을 사용하려면 추가 권한이 있는 관리자가 관리자 권한이 있는 디바이스에서 해당 파일 전에 각 파일 권한 상승 요청을 검토하고 승인해야 합니다. 지원 승인된 권한 상승 유형을 사용하는 방법에 대한 자세한 내용은 Endpoint Privilege Management에 대한 승인된 파일 권한 상승 지원을 참조하세요.
자식 프로세스 동작: 기본적으로 이 옵션은 상승하려면 규칙 필요로 설정되며, 이를 만드는 프로세스와 동일한 규칙과 일치하도록 자식 프로세스가 필요합니다. 다른 옵션은 다음과 같습니다.
- 모든 자식 프로세스가 관리자 권한으로 실행되도록 허용: 애플리케이션에서 자식 프로세스를 무조건 만들 수 있으므로 이 옵션을 신중하게 사용해야 합니다.
- 모두 거부: 이 구성은 자식 프로세스가 만들어지는 것을 방지합니다.
파일 정보는 이 규칙이 적용되는 파일을 식별하는 세부 정보를 지정하는 위치입니다.
파일 이름: 파일 이름 및 해당 확장명을 지정합니다. 예:
myapplication.exe
파일 경로 (선택 사항): 파일의 위치를 지정합니다. 파일을 어떤 위치에서나 실행할 수 있거나 알 수 없는 경우 이 파일을 비워 둘 수 있습니다. 변수를 사용할 수도 있습니다.
서명 원본: 다음 옵션 중 하나를 선택합니다.
재사용 가능한 설정에서 인증서 파일 사용 (기본값): 이 옵션은 엔드포인트 권한 관리를 위해 재사용 가능한 설정 그룹에 추가된 인증서 파일을 사용합니다. 이 옵션을 사용하려면 먼저 재사용 가능한 설정 그룹을 만들어야 합니다.
인증서를 식별하려면 인증서 추가 또는 제거를 선택한 다음 올바른 인증서가 포함된 재사용 가능한 그룹을 선택합니다. 그런 다음 게시자 또는 인증 기관의 인증서유형을 지정합니다.
인증서 파일 업로드: 권한 상승 규칙에 직접 인증서 파일을 추가합니다. 파일 업로드의 경우 이 규칙이 적용되는 파일의 무결성을 확인할 수 있는 .cer 파일을 지정합니다. 그런 다음 게시자 또는 인증 기관의 인증서유형을 지정합니다.
구성되지 않음: 인증서를 사용하여 파일의 무결성을 검사하지 않으려면 이 옵션을 사용합니다. 인증서를 사용하지 않는 경우 파일 해시를 제공해야 합니다.
파일 해시: 서명 원본이 구성되지 않음으로 설정된 경우 파일 해시가 필요하며 인증서를 사용하도록 설정된 경우 선택 사항입니다.
최소 버전: (선택 사항) x.x.x.x 형식을 사용하여 이 규칙에서 지원하는 파일의 최소 버전을 지정합니다.
파일 설명: (선택 사항) 파일에 대한 설명을 제공합니다.
제품 이름: (선택 사항) 파일이 있는 제품의 이름을 지정합니다.
내부 이름: (선택 사항) 파일의 내부 이름을 지정합니다.
저장을 선택하여 규칙 구성을 저장합니다. 그런 다음, 더 많은 규칙을 추가할 수 있습니다. 이 정책에 필요한 모든 규칙을 추가한 후 다음 을 선택하여 계속합니다.
범위 태그 페이지에서 적용할 범위 태그를 선택하고 다음을 선택합니다.
할당에 대해 정책을 수신하는 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요. 다음을 선택합니다.
검토 + 만들기에서 설정을 검토한 다음 만들기를 선택합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책 목록에도 정책이 표시됩니다.
재사용 가능한 설정 그룹
엔드포인트 권한 관리는 재사용 가능한 설정 그룹을 사용하여 Endpoint Privilege Management 권한 상승 규칙을 사용하여 관리하는 파일의 유효성을 검사하는 인증서를 관리합니다. Intune 재사용 가능한 모든 설정 그룹과 마찬가지로 재사용 가능한 그룹에 대한 변경 내용이 그룹을 참조하는 정책에 자동으로 전달됩니다. 파일 유효성 검사에 사용하는 인증서를 업데이트해야 하는 경우 재사용 가능한 설정 그룹에서 한 번만 업데이트하면 됩니다. Intune 해당 그룹을 사용하는 모든 권한 상승 규칙에 업데이트된 인증서를 적용합니다.
엔드포인트 권한 관리에 재사용 가능한 설정 그룹을 만들려면 다음을 수행합니다.
Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>엔드포인트 권한 관리>로 이동하여 재사용 가능한 설정(미리 보기) 탭 > 을 선택한 다음 추가를 선택합니다.
기본 사항에서 다음 속성을 입력합니다.
- 이름: 재사용 가능한 그룹의 설명이 포함된 이름을 입력합니다. 나중에 각각을 쉽게 식별할 수 있도록 그룹 이름을 지정합니다.
- 설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
구성 설정에서 인증서 파일의 폴더 아이콘을 선택하고 를 찾습니다. CER 파일을 사용하여 이 재사용 가능한 그룹에 추가합니다. 기본 64 값 필드는 선택한 인증서에 따라 입력됩니다.
검토 + 만들기에서 설정을 검토한 다음 추가를 선택합니다. 추가를 선택하면 구성이 저장되고 그룹이 Endpoint Privilege Management의 재사용 가능한 설정 그룹 목록에 표시됩니다.
엔드포인트 권한 관리에 대한 정책 충돌 처리
다음 상황을 제외하고 EPM에 대한 충돌 정책은 다른 정책 충돌처럼 처리됩니다.
Windows 권한 상승 설정 정책:
디바이스에서 충돌 값이 있는 두 개의 별도 권한 상승 설정 정책을 받으면 충돌이 해결될 때까지 EPM 클라이언트가 기본 클라이언트 동작으로 되돌아갑니다.
참고
엔드포인트 권한 관리 사용이 충돌하는 경우 클라이언트의 기본 동작은 EPM 사용입니다. 즉, 명시적 값이 디바이스에 전달될 때까지 클라이언트 구성 요소가 계속 작동합니다.
Windows 권한 상승 규칙 정책:
디바이스가 동일한 애플리케이션을 대상으로 하는 두 개의 규칙을 수신하는 경우 두 규칙이 모두 디바이스에서 소비됩니다. EPM이 권한 상승에 적용되는 resolve 규칙으로 전환되면 다음 논리를 사용합니다.
- 사용자에게 배포된 규칙이 디바이스에 배포된 규칙보다 우선합니다.
- 해시가 정의된 규칙은 항상 가장 구체적인 규칙으로 간주됩니다.
- 둘 이상의 규칙이 적용되는 경우(해시가 정의되지 않음) 가장 정의된 특성이 있는 규칙이 우선합니다(가장 구체적인 경우).
- 진행 논리를 적용하면 둘 이상의 규칙이 생성되는 경우 다음 순서에 따라 권한 상승 동작(사용자 확인됨, 지원 승인됨, 자동)이 결정됩니다.
참고
권한 상승에 대한 규칙이 없는 경우 관리자 권한으로 실행 마우스 오른쪽 단추 클릭 상황에 맞는 메뉴를 통해 권한 상승이 요청된 경우 기본 권한 상승 동작 이 사용됩니다.