엔드포인트 권한 관리 사용하여 권한 상승 규칙 만들기

Microsoft Intune 엔드포인트 권한 관리(EPM)을 사용하면 organization 사용자가 관리자 권한 없이 표준 사용자로 실행하고 상승된 권한이 필요한 작업을 완료할 수 있습니다. 자세한 내용은 EPM 개요를 참조하세요.

적용 대상:

• Windows

권한 상승 규칙 정책을 사용하면 엔드포인트 권한 관리(EPM)에서 특정 파일 및 스크립트를 식별하고 관련 권한 상승 작업을 수행할 수 있습니다. 권한 상승 규칙을 적용하려면 디바이스에 EPM을 사용하도록 설정하는 권한 상승 설정 정책이 있어야 합니다. 자세한 내용은 EPM 권한 상승 설정을 참조하세요.

이 문서의 정보 외에도 권한 상승 규칙을 관리할 때 중요한 보안 권장 사항을 계속 알고 있습니다.

권한 상승 규칙 정책 정보

권한 상승 규칙 정책은 특정 파일의 식별 및 해당 파일에 대한 권한 상승 요청이 처리되는 방식을 관리하는 데 사용됩니다. 각 권한 상승 규칙 정책에 는 하나 이상의 권한 상승 규칙이 포함됩니다. 관리 중인 파일에 대한 세부 정보와 상승 요구 사항을 구성하는 권한 상승 규칙이 있습니다.

지원되는 파일 형식은 다음과 같습니다.

• 또는 .msi 확장이 있는 .exe 실행 파일입니다.
• 확장이 있는 .ps1 PowerShell 스크립트.

각 권한 상승 규칙은 EPM에 다음 방법을 지시합니다.

• 다음을 사용하여 파일을 식별합니다.

  • 파일 이름(확장명 포함) 이 규칙은 최소 빌드 버전, 제품 이름 또는 내부 이름과 같은 선택적 조건도 지원합니다. 선택적 조건은 권한 상승을 시도할 때 파일의 유효성을 추가로 검사하는 데 사용됩니다. 파일 이름(확장명 제외)에는 별표 *를 사용하여 물음표 ? 또는 문자열을 사용하여 단일 문자에 변수를 사용하는 것이 포함될 수 있습니다.
  • 증명서. 인증서는 규칙에 직접 추가하거나 재사용 가능한 설정 그룹을 사용하여 추가할 수 있습니다. 인증서는 신뢰할 수 있고 유효해야 합니다. 재사용 가능한 설정 그룹을 더 효율적으로 사용하고 인증서에 대한 향후 변경을 간소화할 수 있으므로 사용하는 것이 좋습니다. 자세한 내용은 재사용 가능한 설정 그룹을 참조하세요.

• 파일의 유효성을 검사합니다.

  • 파일 해시. 자동 규칙에는 파일 해시가 필요합니다. 권한 상승 형식의 사용자 확인 또는 현재 사용자 권한 상승 규칙의 경우 인증서 또는 파일 해시를 사용하도록 선택할 수 있습니다. 이 경우 파일 해시는 선택 사항이 됩니다.
  • 증명서. 파일 속성은 파일에 서명하는 데 사용되는 게시자 인증서와 함께 유효성을 검사할 수 있습니다. 인증서는 신뢰, 인증서 만료 및 해지 상태 같은 특성을 검사 Windows API를 사용하여 유효성을 검사합니다.
  • 파일 속성입니다. 규칙에 지정된 다른 속성은 일치해야 합니다.

• 파일 권한 상승 유형을 구성합니다. 권한 상승 유형은 파일에 대한 권한 상승 요청이 수행되면 발생하는 일을 식별합니다. 기본적으로 이 옵션은 사용자 확인됨으로 설정됩니다. 현재 사용자로 Elevate를 제외하고 EPM은 가상 계정을 사용하여 프로세스를 승격합니다. 이렇게 하면 사용자 프로필에서 상승된 작업을 격리하여 사용자별 데이터에 대한 노출을 줄이고 권한 상승 위험을 낮춥니다.

  • 거부: 거부 규칙은 식별된 파일이 관리자 권한 컨텍스트에서 실행되지 않도록 방지합니다.

  • 지원 승인됨: 관리자가 지원 필요한 권한 상승 요청을 승인해야 애플리케이션을 관리자 권한으로 실행할 수 있습니다.

  • 사용자 확인: 권한 상승이 확인된 사용자는 항상 사용자가 확인 프롬프트에서 선택하여 파일을 실행해야 합니다. 확인은 사용자 인증, 비즈니스 근거(보고에 표시) 또는 둘 다를 요구하도록만 구성할 수 있습니다.

  • 현재 사용자 권한 상승: 이 유형의 권한 상승은 로그인한 사용자 고유의 계정에서 관리자 권한 프로세스를 실행하여 활성 사용자 프로필을 사용하는 도구 및 설치 관리자와의 호환성을 유지합니다. 이렇게 하려면 사용자가 Windows 인증에 대한 자격 증명을 입력해야 합니다. 이렇게 하면 사용자의 프로필 경로, 환경 변수 및 개인 설정된 설정이 유지됩니다. 관리자 권한 상승 프로세스는 상승 전후에 동일한 사용자 ID를 유지하므로 감사 내역은 일관되고 정확하게 유지됩니다.

    그러나 관리자 권한 프로세스는 사용자의 전체 컨텍스트를 상속하므로 이 모드는 더 광범위한 공격 표면을 도입하고 사용자 데이터로부터 격리를 줄입니다.

    주요 고려사항:

    • 호환성 필요: 가상 계정 상승으로 인해 애플리케이션 오류가 발생하는 경우에만 이 모드를 사용합니다.
    • 엄격하게 범위 지정: 권한 상승 규칙을 신뢰할 수 있는 이진 파일 및 경로로 제한하여 위험을 줄입니다.
    • 보안 절충: 이 모드는 사용자별 데이터에 대한 노출을 증가한다는 것을 이해합니다.

    팁

    호환성이 문제가 되지 않는 경우 더 강력한 보안을 위해 가상 계정 상승을 사용하는 방법을 선호합니다.

  • 자동: 자동 권한 상승은 사용자에게 보이지 않게 발생합니다. 프롬프트가 없으며 파일이 관리자 권한 컨텍스트에서 실행되고 있다는 표시가 없습니다.

• 자식 프로세스의 동작을 관리합니다. 관리자 권한 프로세스가 만드는 모든 자식 프로세스에 적용되는 권한 상승 동작을 설정할 수 있습니다.

  • 상승하는 규칙 필요 - 자식 프로세스가 관리자 권한 컨텍스트에서 실행되기 전에 자체 규칙을 요구하도록 자식 프로세스를 구성합니다.
  • 모두 거부 - 모든 자식 프로세스가 관리자 권한 컨텍스트 없이 시작됩니다.
  • 자식 프로세스가 관리자 권한으로 실행되도록 허용 - 항상 관리자 권한으로 실행되도록 자식 프로세스를 구성합니다.

엔드포인트 권한 관리 사용할 규칙 정의

엔드포인트 권한 관리 규칙은 검색 및 권한 상승 작업의 두 가지 기본 요소로 구성됩니다.

검색은 애플리케이션 또는 이진을 식별하는 데 사용되는 특성 집합으로 정의됩니다. 이러한 특성에는 파일 이름, 파일 버전 및 서명 속성이 포함됩니다.

권한 상승 작업은 애플리케이션 또는 이진 파일이 검색된 후 발생하는 결과 권한 상승입니다.

검색을 정의할 때는 검색이 가능한 한 설명적으로 정의되도록 정의하는 것이 중요합니다. 설명하려면 강력한 특성 또는 여러 특성을 사용하여 검색 강도를 높입니다. 검색을 정의할 때의 목표는 명시적으로 의도인 경우가 아니면 여러 파일이 동일한 규칙에 속하는 기능을 제거하는 것입니다.

파일 해시 규칙

파일 해시 규칙은 엔드포인트 권한 관리 사용하여 만들 수 있는 가장 강력한 규칙입니다. 이러한 규칙은 상승하려는 파일이 상승된 파일인지 확인하는 것이 좋습니다 .

Get-Filehash PowerShell 메서드를 사용하여 직접 이진 파일에서 또는 엔드포인트 권한 관리 대한 보고서에서 직접 파일 해시를 수집할 수 있습니다.

인증서 규칙

인증서 규칙은 강력한 유형의 특성이며 다른 특성과 페어링되어야 합니다. 인증서를 제품 이름, 내부 이름 및 설명과 같은 특성과 페어링하면 규칙의 보안이 크게 향상됩니다. 이러한 특성은 파일 서명으로 보호되며 서명된 파일에 대한 세부 정보를 나타내는 경우가 많습니다.

파일 이름을 포함하는 규칙

파일 이름은 상승해야 하는 애플리케이션을 검색하는 데 사용할 수 있는 특성입니다. 그러나 파일 이름은 쉽게 변경되며 게시자 인증서에서 서명한 해시 또는 특성의 일부를 구성하지 않습니다.

즉, 파일 이름은 변경에 매우 취약 합니다. 신뢰할 수 있는 인증서로 서명된 파일을 의도적으로 대상으로 지정하지 않은 파일은 검색 및 상승되도록 이름을 바꿀 수 있습니다.

PowerShell에서 수집한 특성 기반 규칙

보다 정확한 파일 검색 규칙을 빌드하는 데 도움이 되도록 Get-FileAttributes PowerShell cmdlet을 사용할 수 있습니다. EpmTools PowerShell 모듈에서 사용할 수 있는 Get-FileAttributes 는 파일에 대한 파일 특성 및 인증서 체인 자료를 검색할 수 있으며 출력을 사용하여 특정 애플리케이션에 대한 권한 상승 규칙 속성을 채울 수 있습니다.

Windows 11 버전 10.0.22621.2506의 msinfo32.exe 대해 실행되는 Get-FileAttributes 모듈 가져오기 단계 및 출력 예제:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\

FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

자세한 내용은 EpmTools PowerShell 모듈을 참조하세요.

자식 프로세스 동작 제어

자식 프로세스 동작을 사용하면 EPM으로 상승된 프로세스가 자식 프로세스를 만들 때 컨텍스트를 제어할 수 있습니다. 이 동작을 사용하면 부모 프로세스의 컨텍스트를 자동으로 위임하는 프로세스를 제어할 수 있습니다.

Windows는 부모의 컨텍스트를 자식에 자동으로 위임하므로 허용된 애플리케이션의 동작을 제어하는 데 특히 주의해야 합니다. 권한 상승 규칙을 만들 때 필요한 사항을 평가하고 최소 권한 원칙을 구현해야 합니다.

엔드포인트 권한 관리 사용하여 만든 규칙 배포

엔드포인트 권한 관리 규칙은 Microsoft Intune의 다른 정책과 마찬가지로 배포됩니다. 즉, 규칙을 사용자 또는 디바이스에 배포할 수 있으며 규칙은 클라이언트 쪽에서 병합되고 런타임에 선택됩니다. 모든 충돌은 정책 충돌 동작에 따라 해결됩니다.

디바이스에 배포된 규칙은 해당 디바이스를 사용하는 모든 사용자에게 적용됩니다. 사용자에게 배포되는 규칙은 사용하는 각 디바이스의 해당 사용자에게만 적용됩니다. 권한 상승 작업이 발생하면 사용자에게 배포된 규칙이 디바이스에 배포된 규칙보다 우선적으로 적용됩니다. 이 동작을 사용하면 디바이스의 모든 사용자에게 규칙 집합을 배포하고 특정 사용자(예: 지원 관리자)에게 더 관대한 규칙 집합을 배포할 수 있습니다. 이렇게 하면 지원 관리자가 디바이스에 로그인할 때 더 광범위한 애플리케이션 집합을 승격할 수 있습니다.

기본 권한 상승 동작 은 규칙 일치를 찾을 수 없는 경우에만 사용됩니다. 기본 권한 상승 동작은 상승된 액세스 권한으로 실행 마우스 오른쪽 단추 클릭 메뉴를 사용하여 권한 상승이 트리거되는 경우에만 적용됩니다.

권한 상승 규칙 정책 만들기

사용자 또는 디바이스에 권한 상승 규칙 정책을 배포하여 엔드포인트 권한 관리 권한 상승을 위해 관리되는 파일에 대해 하나 이상의 규칙을 배포합니다. 이 정책에 추가하는 각 규칙은 다음과 같습니다.

• 권한 상승 요청을 관리하려는 파일 이름 및 파일 확장명을 기준으로 파일을 식별합니다.
• 파일의 무결성을 확인하는 데 도움이 되는 인증서를 포함할 수 있습니다. 또한 하나 이상의 규칙 또는 정책과 함께 사용하는 인증서가 포함된 재사용 가능한 그룹을 추가할 수도 있습니다.
• 하나 이상의 수동으로 추가된 파일 인수 또는 명령줄 스위치를 포함할 수 있습니다. 파일 인수가 규칙에 추가되면 EPM은 정의된 명령줄 중 하나를 포함하는 요청의 파일 권한 상승만 허용합니다. 정의된 명령줄이 파일 권한 상승 요청의 일부가 아닌 경우 EPM은 해당 요청을 거부합니다.
• 파일의 권한 상승 형식이 자동으로(자동으로) 또는 사용자 확인이 필요한지 여부를 지정합니다. 사용자 확인을 사용하면 자격 증명 프롬프트 또는 비즈니스 근거 또는 둘 다로 유효성 검사를 요구할 수 있습니다.

다음 방법 중 하나를 사용하여 권한 상승 규칙 정책에 추가되는 새 권한 상승 규칙을 만듭니다.

• 권한 상승 규칙 자동 구성 – 보고에서 파일 세부 정보를 추가하여 권한 상승 규칙을 만들 때 시간을 절약하려면 이 방법을 사용합니다. 권한 상승 보고서를 사용하거나 지원 승인된 권한 상승 요청 레코드에서 규칙을 만들 수 있습니다.

  이 메서드를 사용하면 다음을 수행할 수 있습니다.

  • 권한 상승 보고서에서 권한 상승 규칙을 만들거나 승인된 권한 상승 요청을 지원할 파일을 선택합니다.
  • 기존 권한 상승 규칙 정책에 새 권한 상승 규칙을 추가하거나 새 규칙을 포함하는 새 권한 상승 규칙 정책을 만들도록 선택합니다.
    • 기존 정책에 추가되면 할당된 그룹의 정책 목록에서 새 규칙을 즉시 사용할 수 있습니다.
    • 새 정책을 만들 때 사용할 수 있게 되기 전에 해당 정책을 편집하여 그룹을 할당해야 합니다.

• 권한 상승 규칙 수동으로 구성 – 이 방법을 사용하려면 검색에 사용할 파일 세부 정보를 식별하고 규칙 만들기 워크플로의 일부로 수동으로 입력해야 합니다. 검색 조건에 대한 자세한 내용은 엔드포인트 권한 관리 사용할 규칙 정의를 참조하세요.

  이 메서드를 사용하면 다음을 수행할 수 있습니다.

  • 사용할 파일 세부 정보를 수동으로 확인한 다음 파일 식별을 위해 권한 상승 규칙에 추가합니다.
  • 사용할 그룹에 정책 할당을 포함하여 정책을 만드는 동안 정책의 모든 측면을 구성합니다.
  • EPM에서 파일 권한 상승을 허용하기 전에 권한 상승 요청의 일부여야 하는 하나 이상의 파일 인수를 추가할 수 있습니다.

Windows 권한 상승 규칙 정책에 대한 권한 상승 규칙 자동 구성

1. Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>엔드포인트 권한 관리 이동합니다. 권한 상승 규칙에 사용할 파일을 선택하려면 다음 시작 경로 중 하나를 선택합니다.

   보고서에서 시작:

   1. 보고서 탭을 선택한 다음 권한 상승 보고서 타일을 선택합니다. 파일 열에서 규칙을 만들려는 파일을 찾습니다.
   2. 파일의 연결된 이름을 선택하여 해당 파일 권한 상승 세부 정보 창을 엽니다.

   지원 승인된 권한 상승 요청에서 시작합니다.

   1. 권한 상승 요청 탭을 선택합니다.

   2. 파일 열에서 권한 상승 규칙에 사용할 파일을 선택합니다. 그러면 해당 파일 권한 상승 세부 정보 창이 열립니다.

      권한 상승 요청의 상태 중요하지 않습니다. 보류 중인 요청 또는 이전에 승인되거나 거부된 요청을 사용할 수 있습니다.

2. 권한 상승 세부 정보 창에서 파일 세부 정보를 검토합니다. 이 정보는 권한 상승 규칙에서 올바른 파일을 식별하는 데 사용됩니다. 준비가 되면 이러한 파일 세부 정보를 사용하여 규칙 만들기를 선택합니다.

   

3. 만드는 새 권한 상승 규칙에 대한 정책 옵션을 선택합니다.

   새 정책 만들기: 이 옵션은 선택한 파일에 대한 권한 상승 규칙을 포함하는 새 정책을 만듭니다.

   1. 규칙의 경우 형식 및 자식 프로세스 동작을 구성한 다음 확인을 선택하여 정책을 만듭니다.
   2. 메시지가 표시되면 새 정책의 정책 이름을 입력하고 만들도록 확인합니다.
   3. 정책을 만든 후에는 정책을 편집하여 할당하고 다른 변경 내용을 적용할 수 있습니다.

   기존 정책에 를 추가합니다. 이 옵션을 사용하면 드롭다운 목록을 사용하고 새 권한 상승 규칙이 추가되는 기존 권한 상승 정책을 선택합니다.

   1. 규칙의 경우 권한 상승 유형 및 자식 프로세스 동작을 구성한 다음 확인을 선택합니다. 정책은 새 규칙으로 업데이트됩니다.
   2. 규칙이 정책에 추가된 후 정책을 편집하여 규칙에 대한 액세스 권한을 얻은 다음, 필요한 경우 추가 구성을 만들도록 수정할 수 있습니다.

   이 권한 상승과 동일한 파일 경로가 필요합니다. 이 확인란을 선택하면 규칙의 파일 경로 필드가 보고서에 표시된 것처럼 파일 경로로 설정됩니다. 확인란을 선택하지 않으면 경로가 비어 있습니다.

   팁

   선택 사항이지만 표준 사용자가 수정할 수 없는 위치를 가리키는 파일 경로를 사용하는 것이 좋습니다.

   

Windows 권한 상승 규칙 정책에 대한 권한 상승 규칙 수동 구성

1. Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>으로 이동하고엔드포인트 권한 관리>정책 탭 > 을 선택한 다음 정책 만들기를 선택합니다. 플랫폼을Windows로, 프로필을Windows로 권한 상승 규칙 정책으로 설정한 다음, 만들기를 선택합니다.

2. 기본 사항에서 다음 속성을 입력합니다.

   • 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다.
   • 설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

3. 구성 설정에서 이 정책이 관리하는 각 파일에 대한 규칙을 추가합니다. 새 정책을 만들 때 정책 시작에는 권한 상승 유형 이 확인된 사용자 와 규칙 이름이 없는 빈 규칙이 포함됩니다. 먼저 이 규칙을 구성하고 나중에 추가 를 선택하여 이 정책에 더 많은 규칙을 추가할 수 있습니다. 추가하는 각 새 규칙에는 사용자 확인의 상승 유형이 있으며, 규칙을 구성할 때 변경할 수 있습니다.

   

   규칙을 구성하려면 instance 편집을 선택하여 규칙 속성 페이지를 연 다음 다음을 구성합니다.

   

   • 규칙 이름: 규칙에 대한 설명이 포함된 이름을 지정합니다. 나중에 쉽게 식별할 수 있도록 규칙의 이름을 지정합니다.
   • 설명 (선택 사항): 프로필에 대한 설명을 입력합니다.

   권한 상승 조건은 파일 실행 방법을 정의하는 조건이며, 이 규칙이 적용되는 파일을 실행하기 전에 충족해야 하는 사용자 유효성 검사를 실행할 수 있습니다.

   • 권한 상승 유형: 기본적으로 이 옵션은 권한 상승을 허용하지만 사용자 승인이 필요하므로 가장 일반적으로 사용되는 권한 상승 유형인 사용자 확인됨으로 설정됩니다.

     • 거부: 거부 규칙은 식별된 파일이 관리자 권한 컨텍스트에서 실행되지 않도록 방지합니다. 다음 동작이 적용됩니다.

       • 거부 규칙은 자식 프로세스 옵션을 제외한 다른 권한 상승 유형과 동일한 구성 옵션을 지원합니다. 자식 프로세스 옵션은 구성된 경우에도 이 규칙에서 사용되지 않습니다.
       • 사용자가 거부 규칙과 일치하는 파일을 승격하려고 하면 권한 상승이 실패합니다. EPM은 앱을 관리자 권한으로 실행할 수 없음을 나타내는 메시지를 표시합니다. 해당 사용자에게 동일한 파일의 권한 상승을 허용하는 규칙도 할당되면 거부 규칙이 우선합니다.
       • 거부된 권한 상승은 거부된 지원 승인 요청과 유사하게 권한 상승 보고서에 거부된 것으로 표시됩니다.
       • EPM은 현재 평가 보고서에서 거부 규칙의 자동 구성을 지원하지 않습니다.

     • 지원 승인됨: 이 권한 상승 유형을 사용하려면 관리자가 권한 상승 요청을 승인해야 합니다. 자세한 내용은 승인된 권한 상승 요청 지원을 참조하세요.

       중요

       파일에 대해 승인된 권한 상승을 사용하려면 추가 권한이 있는 관리자가 관리자 권한이 있는 디바이스에서 해당 파일 전에 각 파일 권한 상승 요청을 검토하고 승인해야 합니다. 지원 승인된 권한 상승 유형을 사용하는 방법에 대한 자세한 내용은 엔드포인트 권한 관리 대한 승인된 파일 권한 상승 지원을 참조하세요.

     • 사용자 확인: 권한 상승을 허용하지만 사용자 승인이 필요하기 때문에 권한 상승이 필요한 규칙이 있는 파일에 가장 일반적으로 사용됩니다. 파일이 실행되면 사용자는 파일을 실행하려는 의도를 확인하는 간단한 프롬프트를 받습니다. 이 규칙에는 유효성 검사 드롭다운에서 사용할 수 있는 다른 프롬프트도 포함될 수 있습니다.

       • 비즈니스 근거: 사용자가 파일 실행에 대한 근거를 입력하도록 요구합니다. 항목에 필요한 형식은 없습니다. 사용자 입력은 저장되며 보고 scope 엔드포인트 권한 상승 컬렉션이 포함된 경우 로그를 통해 검토할 수 있습니다.
       • Windows 인증: 이 옵션을 사용하려면 사용자가 organization 자격 증명을 사용하여 인증해야 합니다.

     • 자동: 이 권한 상승 형식은 관리자 권한으로 파일을 자동으로 실행합니다. 자동 권한 상승은 확인 메시지를 표시하거나 사용자의 근거 또는 인증을 요구하지 않고 사용자에게 투명합니다.

       주의

       예외에 의한 자동 권한 상승만 사용하고 신뢰할 수 있는 파일에만 사용합니다. 이러한 파일은 사용자 상호 작용 없이 자동으로 상승합니다. 잘 정의되지 않은 규칙은 승인되지 않은 애플리케이션이 상승하도록 허용할 수 있습니다. 강력한 규칙을 만드는 방법에 대한 자세한 내용은 규칙을 만들기 위한 지침을 참조하세요.

   • 자식 프로세스 동작: 기본적으로 이 옵션은 상승하려면 규칙 필요로 설정되며, 이를 만드는 프로세스와 동일한 규칙과 일치하도록 자식 프로세스가 필요합니다. 다른 옵션은 다음과 같습니다.

     • 모든 자식 프로세스가 관리자 권한으로 실행되도록 허용: 애플리케이션에서 자식 프로세스를 무조건 만들 수 있으므로 이 옵션을 신중하게 사용해야 합니다.
     • 모두 거부: 이 구성은 자식 프로세스가 만들어지는 것을 방지합니다.

   파일 정보는 이 규칙이 적용되는 파일을 식별하는 세부 정보를 지정하는 위치입니다.

   • 파일 이름: 파일 이름 및 해당 확장명을 지정합니다. 예: myapplication.exe 파일 이름에 변수 를 사용할 수도 있습니다.

   • 파일 경로 (선택 사항): 파일의 위치를 지정합니다. 파일을 어떤 위치에서나 실행할 수 있거나 알 수 없는 경우 이 파일을 비워 둘 수 있습니다. 변수를 사용할 수도 있습니다.

     팁

     선택 사항이지만 표준 사용자가 수정할 수 없는 위치를 가리키는 파일 경로를 사용하는 것이 좋습니다.

   • 서명 원본: 다음 옵션 중 하나를 선택합니다.

     • 재사용 가능한 설정에서 인증서 파일 사용(기본값): 이 옵션은 이전에 엔드포인트 권한 관리 재사용 가능한 설정 그룹에 추가된 인증서 파일을 사용합니다. 이 옵션을 사용하려면 먼저 재사용 가능한 설정 그룹을 만들어야 합니다.

       인증서를 식별하려면 인증서 추가 또는 제거를 선택한 다음 올바른 인증서가 포함된 재사용 가능한 그룹을 선택합니다. 그런 다음 게시자 또는 인증 기관의 인증서유형을 지정합니다.

     • 인증서 파일 업로드: 권한 상승 규칙에 직접 인증서 파일을 추가합니다. 파일 업로드의 경우 이 규칙이 적용되는 파일의 무결성을 확인할 수 있는 .cer 파일을 지정합니다. 그런 다음 게시자 또는 인증 기관의 인증서유형을 지정합니다.

     • 구성되지 않음: 인증서를 사용하여 파일의 무결성을 검사하지 않으려면 이 옵션을 사용합니다. 인증서를 사용하지 않는 경우 파일 해시를 제공해야 합니다.

   • 파일 해시: 서명 원본이 구성되지 않음으로 설정된 경우 파일 해시가 필요하며 인증서를 사용하도록 설정된 경우 선택 사항입니다.

   • 최소 버전: (선택 사항) x.x.x.x 형식을 사용하여 이 규칙에서 지원하는 파일의 최소 버전을 지정합니다.

   • 파일 설명: (선택 사항) 파일에 대한 설명을 제공합니다.

   • 제품 이름: (선택 사항) 파일이 있는 제품의 이름을 지정합니다.

   • 내부 이름: (선택 사항) 파일의 내부 이름을 지정합니다.

   저장을 선택하여 규칙 구성을 저장합니다. 그런 다음, 더 많은 규칙을 추가할 수 있습니다. 이 정책에 필요한 모든 규칙을 추가한 후 다음 을 선택하여 계속합니다.

4. 범위 태그 페이지에서 적용할 범위 태그를 선택하고 다음을 선택합니다.

5. 할당에 대해 정책을 수신하는 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요. 다음을 선택합니다.

6. 검토 + 만들기에서 설정을 검토한 다음 만들기를 선택합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책 목록에도 정책이 표시됩니다.

권한 상승 규칙에서 변수 사용

파일 권한 상승 규칙을 수동으로 구성할 때 권한 상승 규칙 정책의 규칙 속성 페이지에서 사용할 수 있는 다음 구성에 와일드카드 문자를 사용할 수 있습니다.

• 파일 이름: 와일드카드는 파일 이름 필드를 구성할 때 파일 이름의 일부로 지원됩니다.
• 폴더 경로: 와일드카드는 폴더 경로 필드를 구성할 때 폴더 경로 의 일부로 지원됩니다.

와일드카드를 사용하면 후속 수정 버전과 함께 자주 변경되거나 파일 경로가 변경될 수 있는 이름이 있는 신뢰할 수 있는 파일을 지원하도록 규칙에 유연성을 제공합니다.

지원되는 와일드카드 문자는 다음과 같습니다.

• 물음표 ? - 물음표는 파일 이름의 개별 문자를 대체합니다.
• 별표 * - 별표는 파일 이름에 있는 문자 문자열을 대체합니다.

다음은 지원되는 와일드카드 사용의 예입니다.

• 라는 Visual Studio 설치 파일의 파일 이름입니다VSCodeSetup-arm64-1.99.2.exe.

  • VSCodeSetup*.exe
  • VSCodeSetup-arm64-*.exe
  • VSCodeSetup-?????-1.??.?.exe

• 일반적으로 에 있는 동일한 파일의 파일 경로입니다C:\Users\<username>\Downloads\.

  • C:\Users\*\Downloads\

권한 상승 규칙에 파일 인수 사용

파일 권한 상승 규칙은 특정 인수를 사용하여 권한 상승을 허용하도록 제한할 수도 있습니다.

예를 들어 dsregcmd는 Microsoft Entra ID에서 디바이스의 상태를 조사하는 데 유용할 수 있지만 권한 상승이 필요합니다. 이 파일이 조사에 사용할 수 있도록 /상태, /listaccounts 등에 대한 스위치를 포함하는 dsregcmd에 대한 인수 목록을 사용하여 규칙을 구성할 수 있습니다. 그러나 디바이스 등록 취소와 같은 파괴적인 작업을 방지하려면 /leave와 같은 인수를 제외합니다. 이 구성을 사용하면 /상태 인수 또는 /listaccounts를 사용하는 경우에만 규칙이 권한 상승을 허용합니다. Microsoft Entra ID에서 디바이스를 제거하는 /leave 스위치가 있는 dsregcmd는 거부됩니다.

권한 상승 규칙에 하나 이상의 인수를 추가하려면 인수 제한을허용 목록으로 설정합니다. 추가를 선택하고 허용된 명령줄 옵션을 구성합니다. 여러 인수를 추가하여 권한 상승 요청에서 지원하는 여러 명령줄을 제공합니다.

재사용 가능한 설정 그룹

엔드포인트 권한 관리 재사용 가능한 설정 그룹을 사용하여 엔드포인트 권한 관리 권한 상승 규칙을 사용하여 관리하는 파일의 유효성을 검사하는 인증서를 관리합니다. Intune에 대해 재사용 가능한 모든 설정 그룹과 마찬가지로 재사용 가능한 그룹에 대한 변경 내용이 그룹을 참조하는 정책에 자동으로 전달됩니다. 파일 유효성 검사에 사용하는 인증서를 업데이트해야 하는 경우 재사용 가능한 설정 그룹에서 한 번만 업데이트하면 됩니다. Intune은 해당 그룹을 사용하는 모든 권한 상승 규칙에 업데이트된 인증서를 적용합니다.

엔드포인트 권한 관리 재사용 가능한 설정 그룹을 만들려면 다음을 수행합니다.

1. Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>으로 이동하고엔드포인트 권한 관리>재사용 가능한 설정(미리 보기) 탭 > 을 선택한 다음, 추가를 선택합니다.

   

2. 기본 사항에서 다음 속성을 입력합니다.

   • 이름: 재사용 가능한 그룹의 설명이 포함된 이름을 입력합니다. 나중에 각각을 쉽게 식별할 수 있도록 그룹 이름을 지정합니다.
   • 설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

3. 구성 설정에서 인증서 파일의 폴더 아이콘을 선택하고 를 찾습니다. CER 파일을 사용하여 이 재사용 가능한 그룹에 추가합니다. 기본 64 값 필드는 선택한 인증서에 따라 입력됩니다.

   

4. 검토 + 만들기에서 설정을 검토한 다음 추가를 선택합니다. 추가를 선택하면 구성이 저장되고 엔드포인트 권한 관리 재사용 가능한 설정 그룹 목록에 그룹이 표시됩니다.

다음 단계