Intune Endpoint Privilege Management란 무엇인가요?

튜토리얼

Microsoft Intune 엔드포인트 권한 관리(Microsoft Intune Endpoint Privilege Management)를 솔루션으로 고려할 때, 우리는 매우 실질적인 문제를 해결하고 있습니다. 관리자 권한입니다.

기술 솔루션은 문제를 해결하기 위해 존재하는 것이죠? 문제 없이는 솔루션은 그저 장식일 뿐입니다 – 상징적인 것 – 최선의 경우 제스처입니다. 빌 게이츠가 말했다고 전해지는 말처럼: “컴퓨터는 이전에 존재하지 않았던 문제를 해결하기 위해 태어났다.”

광고

‘일반 사용자’에게 ‘관리자 권한’, 즉 권한 상승을 부여하는 솔루션은 항상 꽤 간단했습니다 – 하지 않는 것입니다. 그러나 이는 종종 즉각적이고 타당한 질문을 유발합니다. 진정으로 권한 상승이 필요한 사람들에게는 어떻게 해야 할까요, 하지만 그들은 다른 경우에는 ‘일반 사용자’입니다? 지금까지 Microsoft의 이 문제에 대한 대답은… 주목할 만한 것이 아니었습니다.

일반적으로 사용자를 로컬 관리자 그룹에 추가하는 것은 받아들일 수 없다는 데 동의합니다. 우리가 아마 하지 말아야 할 것들 중 두 번째로 가까운 것은, 필요할 때 권한을 상승시킬 수 있도록 그들에게 두 번째(특권) 계정을 제공하는 것입니다.

마이크로소프트는 2015년에 로컬 관리자 비밀번호 솔루션을 처음으로 출시했지만, 이 솔루션은 우리가 직면한 정확한 문제를 해결하기 위해 설계된 것이 아니었습니다. 사실, 이 솔루션은 현재 클라우드를 위해 재활성화된 것으로, IT 관리자가 모든 엔드포인트에서 ‘로컬 관리자’ 계정에 대해 동일한 사용자 이름과 비밀번호를 사용하는 것을 피할 수 있도록 돕기 위해 설계되었습니다. 일반적으로 이는 최악의 복구 시나리오에 필요합니다.

엔드포인트 권한 관리에 대한 해결책

따라서 엔드포인트 권한 관리(EPM)가 탄생하게 되었습니다. EPM은 ‘일반 사용자’가 필요할 때 관리자 수준으로 자신의 권한을 상승시킬 수 있도록 합니다. 이는 컨텍스트 메뉴 작업을 통해 ‘온디맨드’로 수행하거나, 실행 중인 애플리케이션에 따라 자동으로 수행될 수 있습니다. 이러한 방식은 여러 가지 이점을 가지고 있습니다. 예를 들어:

광고

  1. 공격 표면 감소
    사용자가 역할을 수행하는 데 필요한 최소 권한으로 제한함으로써, EPM은 불필요한 관리자 접근을 제거하여 궁극적으로 악의적인 행위자와 맬웨어가 장치에서 상승된 권한을 이용하여 지속성을 얻거나 측면 이동 기술을 수행하는 것을 방지합니다.
  2. 내부자 위협에 대비
    그렇지만 모든 보안 위협이 외부에서 기인하는 것은 아닙니다. 의도적인지 실수로든 내부자 위협은 인적 오류나 악의적인 의도로 인한 데이터 유출이나 시스템 침해의 위험을 초래합니다. EPM은 사용자가 필요하지 않은 민감한 시스템이나 데이터에 접근하는 것을 제한하여 데이터 유출이나 시스템 침해의 위험을 줄입니다.
  3. 컴플라이언스 및 거버넌스 강화
    많은 규정(GDPR, HIPAA, PCI DSS 등)은 기업이 보안 관행의 일환으로 최소한의 특권 원칙을 시행하도록 요구합니다. EPM은 감사 트레일을 제공하고 사용자가 그들의 역할에 필요한 것에만 액세스할 수 있도록 보장하여 규정 준수를 보조합니다.
  4. 제로 트러스트 원칙 지원
    EPM은 엄격한 액세스 제어를 시행하고 사전 정의된 정책에 따라 사용자의 조치를 확인함으로써 제로 트러스트 보안 모델과 일치시킵니다. 이는 신뢰가 내재적인 것이 아니라는 것을 보장하며 내부 사용자나 엔드포인트에 대해서도 마찬가지입니다.

Intune Endpoint Privilege Management는 어떻게 작동합니까?

그러므로, Endpoint Privilege Management가 Intune 관리자들에게 실제 기술 문제를 해결한다는 데에 동의했으니, 좀 더 자세히 살펴보겠습니다.

EPM은 전체 관리자 권한을 부여하지 않고 Windows 기기에서 사용자 권한을 관리하기 위해 설계된 Intune의 기능입니다. 일반 사용자가 특정 관리 작업을 안전하게 수행하고 엔드포인트 전반에 최소 권한 정책을 강제하는 데 사용됩니다.

Intune EPM 요구 사항

Microsoft 주제를 다루는 기사라면 라이선스에 대한 섹션이 없는 것이 아니겠죠. 여기에 있습니다.

Intune EPM 라이선스

EPM은 Windows Enterprise E3 또는 E5, Microsoft 365 E3 또는 E5, 또는 Intune Plan 1 또는 Plan 2에 포함되어 있지 않습니다. 사실, Endpoint Privilege Management는 Microsoft Intune Suite 추가 기능의 한 부분으로 제공되는 다양한 고급 Intune 기능 중 하나입니다.

광고

요구 사항 및 단계별 구현 지침에 대한 완전한 안내는 Microsoft Learn에서 확인할 수 있습니다.

기술적으로, EPM에는 다음이 필요합니다:

  • Microsoft Entra ID 가입된 또는 Microsoft Entra ID 하이브리드 가입 기기
  • Microsoft Intune 등록 또는 Microsoft Configuration Manager 공동 관리 기기
  • 지원되는 운영 체제 (Windows 11 21H2 이상, 필요한 KB 레벨이 필요함)
  • SSL 검사 없는 명확한 시야필요한 종단점

Intune EPM 시작하기

기술적 및 비기술적 전제 조건이 갖춰지면 환경에서 Endpoint Privilege Management를 활성화하는 데 두 가지 핵심 단계가 있습니다.

단계 1. 높임 설정 정책을 배포 – 이 정책은 클라이언트 장치에서 EPM 에이전트를 활성화하고 일반적인 높임 관련 설정을 구성할 수 있게 합니다.

광고

  • Intune 관리 센터에서 Endpoint 보안 > Endpoint Privilege Management > 정책 생성 > 높임 설정 정책
Create an Elevation Settings profile (Image Credit: Dean Ellerby/Petri.com)

단계 2. 하나 이상의 높임 규칙 정책을 배포 – 높임 규칙 정책은 EPM에 의해 높임될 응용 프로그램, 작업 또는 실행 파일을 지정합니다. 이 정책을 사용하여 자동 높임, 사용자 요청 높임 또는 관리자 승인 높임 대상인 응용 프로그램을 구성할 수 있습니다.

  • Intune 관리 센터로 이동하여 엔드포인트 보안 > 엔드포인트 권한 관리 > 정책 만들기 > 승격 규칙 정책
Create an Elevation Rules profile (Image Credit: Dean Ellerby/Petri.com)

승격이 자동(사용자에게 알림 없이 조용히 승격됨)인지 사용자 확인(사용자가 마우스 오른쪽 버튼을 클릭하고 승격을 선택하여 프로세스를 시작해야 함)인지 결정한 후, 승격할 파일의 파일 이름과 파일 해시를 모두 지정해야 합니다.

파일 이름은 문제가 되지 않아야 합니다. 이는 전체 실행 파일 이름이며, 확장자를 포함합니다(예: vscode.exe).

Specify the File Hash (Image Credit: Dean Ellerby/Petri.com)

반면, 파일 해시는 얻기가 쉽지 않습니다. 실행 파일의 파일 해시는 PowerShell 명령 Get-FileHash를 실행하거나 엔드포인트 권한 관리에 내장된 애플리케이션 승격 보고서를 실행하여 확인할 수 있습니다.

광고

애플리케이션 승격 보고서는 EPM 관리 엔드포인트에서 관리 및 비관리 애플리케이션 승격을 모두 보여주므로, 사용자가 이전에 이 애플리케이션을 승격한 경우(아마도 덜 이상적인 방법 중 하나로 인해) 여기에 나타납니다.

‘지원 승인’ 승격 방법

사용 가능한 추가 승격 방법 중 하나는 ‘지원 승인’입니다. 이 방법을 사용하면 사용자가 정당성을 제공하도록 요청받고, 전송 버튼을 클릭하면 요청이 Intune 관리 센터로 전달되어 IT 관리자가 요청을 검토하고 처리할 수 있습니다.

사용자가 지원 승인 상승 규칙에 지정된 앱을 실행할 때, 마우스 오른쪽 버튼 클릭 옵션 승격된 액세스 권한으로 실행을 선택하면 Intune은 정당성을 요청합니다.

  • 이 프롬프트는 사용자가 상승의 비즈니스 사유를 입력할 수 있도록 합니다. 이 사유는 사용자 이름, 장치 및 파일 이름을 포함하는 상승 요청의 일부가 됩니다.
Intune EPM – request elevation (Image Credit: Microsoft)

Intune 엔드포인트 권한 관리의 대안

물론, 엔드포인트 권한 관리와 유사한 결과를 달성하는 것을 목표로 하는 대안들이 있습니다. AdminByRequest와 AutoElevate와 같은 솔루션은 데스크톱 상승 관리를 포함하는 포괄적인 특권 액세스 관리 플랫폼을 제공할 수 있는 예입니다.

광고

마이크로소프트가 macOS에 대한 지원을 연장할까요?

요약하자면, 마이크로소프트가 Windows용 엔드포인트 권한 관리와 같은 솔루션을 제공하는 것이 중요하다고 생각하며, 앞으로 macOS와 같은 다른 플랫폼을 지원하기 위해 계속 개발되기를 희망합니다.

현재로서는 Intune Suite의 체험판에 접근하여 사용해 볼 수 있습니다.

Source:
https://petri.com/what-is-intune-endpoint-privilege-management/