참고
이 기능은 Intune 추가 기능으로 사용할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.
Microsoft Intune EPM(엔드포인트 권한 관리)을 사용하면 organization 사용자가 관리자 권한 없이 표준 사용자로 실행하고 상승된 권한이 필요한 작업을 완료할 수 있습니다. 일반적으로 관리 권한이 필요한 작업은 애플리케이션 설치(예: Microsoft 365 애플리케이션), 디바이스 드라이버 업데이트 및 특정 Windows 진단 실행입니다.
엔드포인트 권한 관리는 organization 최소한의 권한으로 실행되는 광범위한 사용자 기반을 달성하는 동시에 생산성을 유지하기 위해 필요한 경우 선택한 작업을 상승시켜 제로 트러스트 경험을 지원합니다. 자세한 내용은 Microsoft Intune을 사용하여 제로 트러스트 참조하세요.
이 개요에서는 EPM에 대한 이점, 작동 방식 및 시작 방법을 비롯한 정보를 제공합니다.
적용 대상:
- Windows
주요 기능 및 이점
✅ EPM의 주요 기능 및 이점 알아보기
- 기본적으로 사용자를 Standard. 사용자는 로컬 관리자 권한 없이 작업을 수행할 수 있습니다.
- Just-In-Time 권한 상승을 지원합니다. 사용자는 특정 IT 승인 이진 파일 또는 스크립트를 트리거하여 일시적으로 상승시킬 수 있습니다.
- 정책 기반 제어. 관리자는 조직의 요구에 맞게 세분화된 규칙 생성 기능을 사용하여 권한 상승 조건 및 동작을 제어하는 설정 및 규칙을 정의합니다.
- 감사 로깅 및 보고. Intune은 자세한 메타데이터를 사용하여 모든 권한 상승을 기록합니다.
- 최소 권한 액세스를 사용하도록 설정하고 횡적 이동 위험을 최소화하여 제로 트러스트 원칙에 부합합니다.
EPM 기본 사항
✅ EPM 작동 방식 알아보기
EPM 권한 상승은 다음 두 가지 방법을 사용하여 트리거할 수 있습니다.
- 자동으로 또는;
- 사용자가 시작했습니다.
EPM은 다음 두 가지 유형의 정책을 사용하여 구성할 수 있습니다.
- 권한 상승 설정 정책 - EPM 클라이언트, 보고 수준 및 기본 권한 상승 기능을 제어합니다.
- 권한 상승 규칙 정책 - 조건에 따라 이진 파일 또는 스크립트에 대한 권한 상승 동작을 정의합니다.
규칙과 정책은 모두 사용자 또는 디바이스 그룹을 대상으로 할 수 있습니다. 디바이스에서 권한 상승을 수행하기 위해 EPM 서비스는 로그온한 사용자 계정과 격리된 가상 계정을 사용합니다. 이러한 두 계정은 모두 로컬 관리자 그룹에 추가되지 않습니다.
EPM 클라이언트는 권한 상승 설정 정책이 디바이스 또는 사용자에게 할당될 때 자동으로 설치됩니다. EPM 클라이언트는 'Microsoft EPM 에이전트 서비스' 서비스를 사용하고 해당 이진 파일을 "C:\Program Files\Microsoft EPM Agent" 디렉터리에 저장합니다.
이 다이어그램은 EPM 클라이언트가 트리거되는 방법에 대한 개략적인 아키텍처를 보여 줍니다. 규칙을 확인한 다음 권한 상승을 용이하게 합니다.
권한 상승 유형
✅ EPM이 파일을 상승시키는 방법 제어
EPM을 사용하면 관리 권한이 없는 사용자가 관리 컨텍스트에서 프로세스를 실행할 수 있습니다. 권한 상승 규칙을 만들 때 해당 규칙을 사용하면 EPM에서 해당 규칙의 대상을 프록시하여 디바이스의 관리자 권한으로 실행할 수 있습니다. 그 결과 애플리케이션은 디바이스에서 전체 관리 기능을 갖습니다.
엔드포인트 권한 관리를 사용하는 경우 권한 상승 동작에 대한 몇 가지 옵션이 있습니다.
자동: 자동 권한 상승 규칙의 경우 EPM은 사용자의 입력 없이 이러한 애플리케이션을 자동으로 상승합니다. 이 범주의 광범위한 규칙은 organization 보안 태세에 광범위한 영향을 미칠 수 있습니다.
사용자 확인: 사용자가 확인한 규칙을 사용하면 최종 사용자가 새 마우스 오른쪽 클릭 상황에 맞는 메뉴를 사용하여 관리자 권한으로 실행합니다. 관리자는 사용자에게 인증 프롬프트, 비즈니스 근거 또는 둘 다를 사용하여 추가 유효성 검사를 수행하도록 요구할 수 있습니다.
지원 승인됨: 지원 승인된 규칙의 경우 최종 사용자는 관리자 권한으로 애플리케이션을 실행하기 위한 요청을 제출해야 합니다. 요청이 제출되면 관리자가 요청을 승인할 수 있습니다. 요청이 승인되면 최종 사용자는 디바이스에서 권한 상승을 다시 시도할 수 있다는 알림을 받습니다. 이 규칙 유형을 사용하는 방법에 대한 자세한 내용은 승인된 권한 상승 요청 지원을 참조하세요.
거부: 거부 규칙은 EPM이 관리자 권한 컨텍스트에서 실행되지 못하도록 차단하는 파일을 식별합니다. 특정 시나리오에서 거부 규칙은 알려진 파일 또는 잠재적으로 악성 소프트웨어를 관리자 권한 컨텍스트에서 실행할 수 없도록 할 수 있습니다.
EPM 클라이언트는 기본 권한 상승 응답 또는 지정된 권한 상승 응답을 허용하는 특정 규칙으로 구성할 수 있습니다.
규칙 기능
✅ 권한 상승을 위한 파일의 세분화된 대상 지정
EPM 권한 상승 규칙은 파일 이름, 경로 등을 비롯한 하나 이상의 특성을 기반으로 만들 수 있습니다. 규칙 기능의 몇 가지 예는 다음과 같습니다.
자식 프로세스 컨트롤 - EPM에서 프로세스를 승격하는 경우 자식 프로세스 생성이 EPM에 의해 제어되는 방식을 제어할 수 있습니다. 이를 통해 관리자 권한 애플리케이션에서 만들 수 있는 하위 프로세스를 세분화할 수 있습니다.
인수 지원 - 애플리케이션에 대한 특정 매개 변수만 상승하도록 허용합니다.
파일 해시 지원 - 파일의 해시에 따라 애플리케이션과 일치합니다.
게시자 인증서 지원 - 다른 특성과 함께 애플리케이션의 게시자 인증서를 신뢰하는 것을 기반으로 하는 규칙을 만듭니다.
지원되는 파일 형식
EPM은 다음과 같은 유형의 파일 상승을 지원합니다.
- 확장이 있는 실행 파일입니다
.exe. - 확장이 있는 Windows 설치 관리자 파일입니다
.msi. - 확장이 있는
.ps1PowerShell 스크립트.
보고
✅ 사용자 환경에서 권한 상승 추적
EPM에는 서비스를 준비, 모니터링 및 사용하는 데 도움이 되는 보고서가 포함되어 있습니다. 비관리 및 관리되는 권한 상승에 대한 보고서가 제공됩니다.
관리되지 않는 권한 상승: 엔드포인트 권한 관리를 사용하지 않고 발생하는 모든 파일 권한 상승입니다. 관리자 권한이 있는 사용자가 관리자 권한으로 실행의 Windows 기본 작업을 사용하는 경우 이러한 권한 상승이 발생할 수 있습니다.
관리되는 권한 상승: 엔드포인트 권한 관리가 용이하게 하는 모든 권한 상승입니다. 관리되는 권한 상승에는 EPM이 표준 사용자를 용이하게 하는 모든 권한 상승이 포함됩니다. 이러한 관리되는 권한 상승에는 권한 상승 규칙의 결과 또는 기본 권한 상승 작업의 일부로 발생하는 권한 상승이 포함될 수 있습니다.
엔드포인트 권한 관리 시작
✅ EPM 사용 시작
EPM(엔드포인트 권한 관리)은 Microsoft Intune 관리 센터에서 관리됩니다. 조직에서 EPM을 시작하면 다음과 같은 고급 프로세스를 사용합니다.
라이선스 EPM 및 계획
- 라이선스 EPM - 엔드포인트 권한 관리 정책을 사용하려면 먼저 테넌트에서 EPM을 Intune 추가 기능으로 라이선스를 부여해야 합니다. 라이선스 정보는 Intune Suite 추가 기능 사용을 참조하세요.
- EPM 계획 - EPM 사용을 시작하기 전에 고려해야 할 몇 가지 주요 요구 사항과 개념이 있습니다. 자세한 내용은 EPM 계획을 참조하세요.
EPM 배포 - EPM을 배포하려면 감사를 사용하도록 설정하고 규칙을 만들고 배포를 모니터링합니다. 자세한 내용은 EPM 배포를 참조하세요.
EPM 관리 - EPM을 배포한 후 지원 승인된 요청 및 권한 상승을 모니터링할 수 있습니다. 규칙을 유지 관리 및 업데이트하고사용자 권한을 검토할 수 있습니다.