Intune의 엔드포인트 보안에 대한 계정 보호 정책

계정 보호에 Intune 엔드포인트 보안 정책을 사용하여 사용자의 ID 및 계정을 보호하고 디바이스에서 기본 제공 그룹 멤버 자격을 관리합니다.

Microsoft Intune 관리 센터의 엔드포인트 보안 노드에서 관리 아래에서 계정 보호에 대한 엔드포인트 보안 정책을 찾습니다.

계정 보호 프로필의 필수 구성 요소

• 계정 보호 프로필을 지원하려면 디바이스에서 Windows 10 또는 Windows 11을 실행해야 합니다.
• 로컬 사용자 그룹 멤버 자격 프로필을 지원하려면 디바이스에서 Windows 10 20H2 이상 또는 Windows 11을 실행해야 합니다.
• *Windows LAPS(로컬 관리자 암호 솔루션)를 지원하려면 Windows LAPS에 대한 Microsoft Intune 지원의 필수 구성 요소를 참조하세요.

역할 기반 액세스 제어(RBAC)

Intune 계정 보호 프로필을 관리할 수 있는 적절한 수준의 권한 및 권한을 할당하는 방법에 대한 지침은 Assign-role-based-access-controls-for-endpoint-security-policy를 참조하세요.

계정 보호 프로필

플랫폼: Windows:

프로필:

• 계정 보호 – 계정 보호 정책에 대한 설정은 사용자 자격 증명을 보호하는 데 도움이 됩니다. 계정 보호 정책은 디바이스 범위 및 사용자 범위 설정과 Windows ID 및 액세스 관리의 일부인 Credential Guard를 모두 포함하는 비즈니스용 Windows Hello 설정에 중점을 줍니다.

  • 비즈니스용 Windows Hello 는 암호를 PC 및 모바일 디바이스에서 강력한 2단계 인증으로 대체합니다.
  • Credential Guard는 디바이스에서 사용하는 자격 증명 및 비밀을 보호하는 데 도움이 됩니다.

  자세한 내용은 Windows ID 및 액세스 관리 설명서의 ID 및 액세스 관리를 참조하세요.

  이 프로필의 설정은 설정 카탈로그에서도 사용할 수 있습니다.

• 로컬 관리자 암호 솔루션(Windows LAPS) - 이 프로필을 사용하여 디바이스에서 Windows LAPS를 구성합니다. Windows LAPS를 사용하면 디바이스당 단일 로컬 관리자 계정을 관리할 수 있습니다. Intune 정책은 정책 설정 관리자 계정 이름을 사용하여 적용되는 로컬 관리자 계정을 지정할 수 있습니다.

  Intune을 사용하여 Windows LAPS를 관리하는 방법에 대한 자세한 내용은 다음을 참조하세요.

  • Windows LAPS에 대한 Intune 지원에 대해 알아봅니다.
  • LAPS 정책 관리

• 로컬 사용자 그룹 멤버 자격 – 이 프로필을 사용하여 Windows 디바이스에서 기본 제공 로컬 그룹의 멤버를 추가, 제거 또는 대체합니다. 예를 들어 관리자 로컬 그룹에는 광범위한 권한이 있습니다. 이 정책을 사용하여 관리 그룹의 멤버 자격을 편집하여 독점적으로 정의된 멤버 집합으로 잠글 수 있습니다.

  이 프로필의 사용은 Windows 디바이스에서 로컬 그룹 관리 섹션에 자세히 설명되어 있습니다.

Windows 디바이스에서 로컬 그룹 관리

로컬 사용자 그룹 멤버 자격 프로필을 사용하여 Windows 10 20H2 이상을 실행하는 디바이스 및 Windows 11 디바이스에서 기본 제공 로컬 그룹의 구성원인 사용자를 관리합니다.

프로필 구성

이 프로필은 정책 CSP - LocalUsersAndGroups를 통해 디바이스의 로컬 그룹 멤버 자격을 관리합니다. CSP 설명서에는 구성이 적용되는 방법에 대한 자세한 내용과 CSP 사용에 대한 FAQ가 포함되어 있습니다.

이 프로필을 구성할 때 구성 설정 페이지에서 변경할 기본 제공 로컬 그룹, 수행할 그룹 작업 및 사용자를 선택하는 방법을 관리하는 여러 규칙을 만들 수 있습니다.

만들 수 있는 구성은 다음과 같습니다.

• 로컬 그룹: 드롭다운에서 하나 이상의 그룹을 선택합니다. 이러한 그룹은 모두 할당한 사용자에게 동일한 그룹 및 사용자 작업을 적용합니다. 단일 프로필에서 둘 이상의 로컬 그룹 그룹을 만들고 로컬 그룹의 각 그룹에 서로 다른 작업 및 사용자 그룹을 할당할 수 있습니다.

• 그룹 및 사용자 작업: 선택한 그룹에 적용할 작업을 구성합니다. 이 작업은 로컬 계정의 동일한 작업 및 그룹화에 대해 선택한 사용자에게 적용됩니다. 선택할 수 있는 작업은 다음과 같습니다.

  • 추가(업데이트): 선택한 그룹에 멤버를 추가합니다. 정책에 의해 지정되지 않은 사용자의 그룹 멤버 자격은 변경되지 않습니다.
  • 제거(업데이트): 선택한 그룹에서 멤버를 제거합니다. 정책에 의해 지정되지 않은 사용자의 그룹 멤버 자격은 변경되지 않습니다.
  • 추가(바꾸기): 선택한 그룹의 멤버를 이 작업에 대해 지정한 새 멤버로 바꿉니다. 이 옵션은 제한된 그룹과 동일한 방식으로 작동하며 정책에 지정되지 않은 모든 그룹 구성원이 제거됩니다.

  주의

  바꾸기 및 업데이트 작업으로 동일한 그룹이 구성된 경우 바꾸기 작업이 우선합니다. 이는 충돌로 간주되지 않습니다. 이러한 구성은 동일한 디바이스에 여러 정책을 배포하거나 Microsoft Graph를 사용하여 이 CSP를 구성할 때 발생할 수 있습니다.

• 사용자 선택 유형: 사용자를 선택하는 방법을 선택합니다. 옵션은 다음과 같습니다.

  • 사용자: Microsoft Entra ID에서 사용자 및 사용자 그룹을 선택합니다. (Microsoft Entra 조인 디바이스에만 지원됨).
  • 수동: 사용자 이름, domain\username 또는 SID(그룹 보안 식별자)로 Microsoft Entra 사용자 및 그룹을 수동으로 지정합니다. (Microsoft Entra 조인 및 Microsoft Entra 하이브리드 조인 디바이스에 대해 지원됨).

• 선택한 사용자: 사용자 선택 유형에 대한 선택에 따라 다음 옵션 중 하나를 사용합니다.

  • 사용자 선택: Microsoft Entra에서 사용자 및 사용자 그룹을 선택합니다.

  • 사용자 추가: 이 옵션을 선택하면 사용자 추가 창이 열리고, 디바이스에 표시할 때 하나 이상의 사용자 식별자를 지정할 수 있습니다. SID(보안 식별자),Domain\username 또는 Username으로 사용자를 지정할 수 있습니다.

    

수동 옵션을 선택하면 온-프레미스 Active Directory 사용자를 Active Directory에서 Microsoft Entra 하이브리드 조인 디바이스의 로컬 그룹으로 관리하려는 시나리오에서 유용할 수 있습니다. 가장 선호도가 가장 낮은 순서로 사용자 선택을 식별하는 지원되는 형식은 SID, domain\username 또는 멤버의 사용자 이름을 통해서입니다. Active Directory의 값은 하이브리드 조인 디바이스에 사용해야 하지만 Microsoft Entra ID의 값은 Microsoft Entra 조인에 사용해야 합니다. Microsoft Entra 그룹 SID는 그룹용 Graph API를 사용하여 가져올 수 있습니다.

충돌

정책이 그룹 멤버 자격에 대한 충돌을 만드는 경우 각 정책의 충돌 설정이 디바이스로 전송되지 않습니다. 대신 Microsoft Intune 관리 센터에서 이러한 정책에 대해 충돌이 보고됩니다. 충돌을 해결하려면 하나 이상의 정책을 다시 구성합니다.

보고

디바이스가 정책을 체크 인하고 적용하면 관리 센터에서 디바이스 및 사용자의 상태를 성공 또는 오류로 표시합니다.

정책에 여러 규칙이 포함될 수 있으므로 다음 사항을 고려합니다.

• 디바이스에 대한 정책을 처리할 때 설정별 상태 보기는 단일 설정인 것처럼 규칙 그룹에 대한 상태를 표시합니다.
• 오류가 발생하는 정책의 각 규칙은 건너뛰고 디바이스로 전송되지 않습니다.
• 성공한 각 규칙은 적용할 디바이스로 전송됩니다.

다음 단계

엔드포인트 보안 정책 구성