Microsoft Intune에서 LAPS를 사용하여 macOS ADE 로컬 계정 구성에 대한 지원 구성

2025-08-01

macOS ADE(자동 디바이스 등록) 프로필을 사용하여 MICROSOFT LAPS(로컬 관리자 암호 솔루션)와 함께 관리자 및 사용자 계정 구성 모두에 대해 새로 등록된 macOS 디바이스를 구성할 수 있습니다. LAPS를 사용한 macOS 계정 구성 은 사용자 디바이스 선호도의 유휴 상태와 관계없이 신규 및 기존 macOS ADE 프로필에서 사용할 수 있는 선택적 구성 집합입니다. 계정 관리를 위한 이러한 구성은 새 등록에만 적용됩니다.

LAPS를 사용하는 macOS 로컬 계정 구성을 사용하면 디바이스는 Intune에서 저장하고 암호화하는 강력한 암호화된 임의 관리자 암호를 가진 로컬 관리자 계정으로 프로비전됩니다. 마찬가지로, 등록 프로필 내에서 로컬 표준 사용자 계정을 프로비전할 수도 있습니다. 등록 후 Intune은 6개월마다 LAPS 관리 관리자 암호를 자동으로 회전합니다. 자동 회전을 보완하기 위해 충분한 권한이 있는 Intune 관리자는 Intune 관리 센터를 사용하여 디바이스 로컬 관리자 계정 암호를 볼 수 있으며 원격 디바이스 작업을 통해 필요한 경우 해당 암호를 수동으로 회전할 수 있습니다.

관리자 계정에 대한 Intune 생성 암호는 소문자와 대문자, 숫자 및 특수 기호가 혼합된 15자입니다.

LAPS를 사용하는 macOS 로컬 계정 구성은 ADE(자동 디바이스 등록) 중에만 사용하도록 설정되므로 이전에 등록된 디바이스는 LAPS 사용 ADE 프로필을 사용하여 Intune으로 다시 등록해야 관리자 계정에 대한 LAPS가 지원됩니다.

중요

macOS 디바이스가 구성된 로컬 관리자 계정 및 대상 암호 프로필을 사용하여 ADE를 통해 등록하는 경우 다음 인증 시 변경을 사용하도록 설정하지 않았거나 값이 최대 기간(일)으로 설정된 경우에도 관리자 암호 재설정을 묻는 메시지가 표시됩니다. 표준 계정에는 영향을 주지 않습니다. 우리는 문제를 알고 있습니다. 해결 방법으로 디바이스에서 재설정한 후 관리자 암호를 수동으로 회전하여 Intune 및 디바이스 암호 상태를 동기화 상태로 유지합니다.

중요

로컬 관리자 계정은 플랫폼 제한으로 인해 보안 토큰을 받지 못합니다. 등록 후 로그인하는 첫 번째 계정은 보안 토큰을 받으며, 이때 항상 로컬 사용자 계정이 됩니다.

팁

macOS LAPS의 Intune 구현은 Windows LAPS에 대한 Intune 지원과 유사하지만 다릅니다. Intune의 Windows LAPS에 대한 자세한 내용은 로컬 관리자 계정을 참조하세요.

필수 구성 요소

LAPS 솔루션을 사용하는 macOS 로컬 계정 구성에 대한 디바이스 요구 사항은 다음과 같습니다.

macOS 12 이상
Apple Business/School Manager에서 Intune으로 디바이스를 동기화해야 합니다.
디바이스는 macOS ADE 등록 프로필을 통해 Intune에 등록해야 합니다.

macOS LAPS에 대한 역할 기반 액세스 제어

macOS LAPS에 온보딩된 디바이스의 로컬 관리자 계정 암호를 보거나 회전하도록 신뢰할 수 있는 관리자 계정에는 다음 Intune RBAC(역할 기반 액세스 제어) 권한이 있어야 합니다.

범주: 등록 프로그램:

macOS 관리자 암호 회전을 예로 설정합니다.
macOS 관리자 암호 보기를예로 설정합니다.

중요

등록 프로그램에 대한 두 가지 권한은 Intune 기본 제공 역할 또는 Intune 관리자의 Microsoft Entra 기본 제공 역할에 포함되지 않습니다. 대신 사용자 지정 Intune 역할을 사용하여 이러한 기능이 있어야 하는 사용자에게 이 권한을 할당합니다.

자동화된 디바이스 등록에 대한 macOS 정책을 관리하는 데 필요한 권한 및 세부 정보는 macOS에 대한 ADE(자동화된 디바이스 등록) 설정을 참조하세요.

구성 계정 및 암호 옵션

이 섹션에서는 macOS ADE(자동 디바이스 등록) 프로필에 대한 Apple 등록 프로필 만들기 절차의 12단계 중에 수행되는 LAPS를 사용하여 macOS 로컬 계정 구성을 구성하는 방법에 대한 세부 정보를 제공합니다.

macOS 자동화된 디바이스 등록 프로필을 구성할 때 계정 설정 탭에는 로컬 관리자 계정과 로컬 사용자 계정을 모두 구성하는 옵션이 표시됩니다. 기본적으로 이러한 옵션은 모두 아니요로 설정됩니다.

자동화된 디바이스 등록 프로필 계정 설정 창의 기본 모양 스크린샷

로컬 또는 관리자 또는 사용자 계정 옵션에 대해 예를 선택하면 LAPS 구성이 있는 macOS 로컬 관리자 계정과 이 등록 프로필을 사용하여 등록하는 디바이스에 대한 표준 사용자 계정을 모두 구성하게 됩니다.

고유 계정 암호는 소문자와 대문자, 숫자 및 특수 기호가 혼합된 15자를 사용하여 만들어집니다.

로컬 계정 구성의 일부가 있을 때마다 대기 최종 구성 설정은 기본적으로 백 엔드에서 항상 예로 설정됩니다. 이 설정은 설정 도우미 중에 계정 구성이 발생하기 때문에 설정됩니다.

로컬 관리자 계정

관리자 계정에 사용할 수 있는 옵션을 보여 주는 화면 캡처

다음은 사용 가능한 구성 옵션의 예입니다. 일부 설정의 이름 뒤에 있는 정보 아이콘을 통해 추가 세부 정보에 액세스할 수 있습니다.

계정 사용자 이름 관리 - 계정 이름을 지정하거나 지원되는 다음 변수 중 하나를 사용하여 이름을 동적으로 만듭니다. 기본적으로 이 필드는 관리 사용합니다.
- {{serialNumber}} - 예를 들어 F4KN99ZUG5V2
- {{partialupn}} - 예: John.Dupont
- {{managedDeviceName}} - 예: F2AL10ZUG4W2_14_4/2025/15_12:45PM
- {{onPremisesSamAccountName}} - 예: JDoe
계정 전체 이름 관리 - 계정 이름을 지정하거나 지원되는 다음 변수 중 하나를 사용하여 동적으로 이름을 만듭니다. 기본적으로 이 필드는 관리 사용합니다.
- {{username}} - 예를 들면 다음과 같습니다. John@contoso.com
- {{serialNumber}} - 예를 들어 F4KN99ZUG5V2
- {{onPremisesSamAccountName}} - 예: JDoe
사용자 & 그룹에서 숨기기 - 로그인 창 및 사용자 & 그룹에 관리자 계정을 숨깁니다. 기본적으로 이 설정은 구성되지 않음으로 설정됩니다.

로컬 사용자 계정

관리자가 아닌 사용자 계정에 사용할 수 있는 옵션을 보여 주는 화면 캡처

다음은 사용 가능한 옵션에 대한 몇 가지 지침입니다. 일부 설정의 이름 뒤에 있는 정보 아이콘을 통해 추가 세부 정보에 액세스할 수 있습니다.

계정 유형 - 기본적으로 표준 사용자 계정을 만들기 위해 Standard 설정됩니다. 로컬 관리자 계정이 구성되지 않은 경우 로컬 사용자 계정 유형이 관리자로 설정됩니다. 이는 macOS 디바이스를 설정하는 데 항상 관리자 계정이 필요하기 때문에 플랫폼 제한 사항입니다.
계정 정보 미리 채우기 - 계정 이름을 관리하거나 편집을 제한하려면 이 옵션을 예로 설정합니다.
기본 계정 이름 - 계정 이름을 지정하거나 지원되는 다음 변수 중 하나를 사용하여 이름을 동적으로 만듭니다. 설정 도우미는 미리 채우기 계정 정보가구성되지 않음으로 설정된 경우 이 값을 사용하여 계정 이름 필드를 미리 입력합니다. 기본적으로 이 필드는 {{partialupn}} 변수를 사용합니다.
- {{serialNumber}} - 예를 들어 F4KN99ZUG5V2
- {{partialupn}} - 예: John.Dupont
- {{managedDeviceName}} - 예: F2AL10ZUG4W2_14_4/2025/15_12:45PM
- {{onPremisesSamAccountName}} - 예: JDoe
기본 계정 전체 이름 - 계정의 전체 이름을 지정하거나 다음 변수 중 하나를 사용하여 이름을 동적으로 만듭니다. 설정 도우미는 미리 채우기 계정 정보가구성되지 않음으로 설정된 경우 이 값을 사용하여 전체 이름 필드를 미리 채 니다. 기본적으로 이 필드는 {{username}} 변수를 사용합니다.
- {{username}} - 예를 들면 다음과 같습니다. John@contoso.com
- {{serialNumber}} - 예를 들어 F4KN99ZUG5V2
- {{onPremisesSamAccountName}} - 예: JDoe
편집 제한 - 최종 사용자가 전체 이름 및 계정 이름을 편집하지 못하도록 합니다. 기본적으로 구성 되지 않음으로 설정됩니다.

계정 및 암호 세부 정보 보기

디바이스의 로컬 관리자 암호를 보려면 사용자 계정에 다음 Intune RBAC 권한이 할당되어야 합니다.

범주: macOS 관리자 암호 보기가 예로 설정된 등록 프로그램

관리자 계정 암호를 보려면

Microsoft Intune 관리 센터에서디바이스>macOS 디바이스로 이동하여 macOS 디바이스>를 선택하여 개요 창 >암호 및 키를 엽니다.

암호 및 키 창의 로컬 관리자 계정 암호 섹션에서 macOS 디바이스에 대한 관리자 암호를 검색할 수 있습니다. 여기에서 암호를 수동으로 또는 자동으로 마지막으로 회전한 시간도 확인할 수 있습니다.

등록된 macOS 디바이스에 Intune 관리 관리자 암호가 있는지 확인하려면 콘솔에서 암호를 성공적으로 검색할 수 있는 경우 로컬 관리자 계정의 암호가 Intune에서 관리됨을 의미합니다.

암호 및 키 창과 로컬 관리자 암호 회전 옵션을 보여 주는 화면 캡처

수동으로 관리자 계정 암호 회전

LAPS 정책에는 계정 암호를 자동으로 회전하는 일정(6개월마다 한 번)이 포함됩니다. 예약된 회전 외에도 로컬 관리자 암호 회전의 Intune 디바이스 작업을 사용하여 언제든지 디바이스 암호를 수동으로 회전할 수 있습니다.

이 디바이스 작업을 사용하려면 계정에 다음의 [Intune RBAC 권한](#role-based-access- controls-for-macos-laps)이 할당되어야 합니다.

범주: macOS 관리자 암호 회전이 예로 설정된 등록 프로그램

관리자 암호를 회전하려면

Microsoft Intune 관리 센터에서디바이스>macOS 디바이스>로 이동하여 회전하려는 계정이 있는 macOS 디바이스를 선택합니다.
디바이스 개요 창의 창 맨 위에 있는 옵션 목록에서 로컬 관리자 암호 회전을 선택합니다.
디바이스에 대한 암호가 마지막으로 회전된 시기를 확인하려면 디바이스의 개요 창에서 다음을 수행합니다.
1. 모니터를 확장한 다음 암호 및 키를 선택합니다.
2. 암호 및 키 창에서 암호가 회전된 마지막 날짜와 시간을 찾을 수 있습니다.

암호 회전 모니터링

암호 보기 및 회전은 모두 Intune 관리 센터 내에서 볼 수 있는 Intune 감사 이벤트를 만듭니다.

Microsoft Intune 관리 센터에서테넌트 관리>감사 로그로 이동합니다.

다음 항목을 찾습니다.

AdminAccountDto 가져오기 - 누군가가 관리자 암호를 본 시기를 식별합니다.
rotateLocalAdminPassword ManagedDevice - 관리자 암호가 회전된 시기를 식별합니다.

macOS 등록 가이드를 시작합니다.
macOS 디바이스가 등록되면 macOS 디바이스용 사용자 지정 설정을 생성할 수 있습니다.

피드백

이 페이지가 도움이 되었나요?