Microsoft Intune으로 RBAC(역할 기반 액세스 제어)
RBAC(역할 기반 액세스 제어)를 사용하여 조직의 리소스에 액세스할 수 있는 사람과 그 사람이 해당 리소스로 할 수 있는 일을 관리할 수 있습니다. Intune 사용자에게 역할을 할당하여 해당 사용자가 보고 변경할 수 있는 범위를 제한할 수 있습니다. 각 역할에는 해당 역할이 할당된 사용자가 조직 내에서 액세스하여 변경할 수 있는 항목을 결정하는 권한 세트가 있습니다.
역할을 만들거나 편집하거나 할당하려면 계정에 Microsoft Entra ID 다음 권한 중 하나가 있어야 합니다.
- 전역 관리자
- Intune 서비스 관리자(Intune 관리자라고도 함)
- 역할 권한이 있는 Intune 역할
역할
역할은 해당 역할이 할당된 사용자에게 부여되는 권한 세트를 정의합니다. 기본 제공 역할과 사용자 지정 역할을 모두 사용할 수 있습니다. 기본 제공 역할은 몇 가지 일반적인 Intune 시나리오를 다룹니다. 꼭 필요한 권한 세트만 있는 사용자 고유의 사용자 지정 역할 만들기가 가능합니다. 여러 Microsoft Entra 역할에는 Intune 권한이 있습니다. Intune 관리 센터에서 역할을 보려면 테넌트 관리>역할>모든 역할> 선택 역할로 이동합니다. 다음 페이지에서 역할을 관리할 수 있습니다.
- 속성: 역할의 이름, 설명, 권한 및 범위 태그입니다.
- 할당: 어떤 사용자가 어떤 사용자/디바이스에 액세스할 수 있는지 정의하는 역할 할당 목록입니다. 한 역할에 여러 권한을 할당할 수 있으며, 한 사용자를 여러 할당에 포함할 수 있습니다.
참고
Intune을 관리하려면 Intune 라이선스가 할당되어 있어야 합니다. 또는 허가되지 않은 관리자에게 액세스 허용을 예로 설정하여 허가받지 않은 사용자가 Intune을 관리하도록 허용할 수 있습니다.
기본 제공 역할
추가 구성 없이 그룹에 기본 제공 역할을 할당할 수 있습니다. 기본 제공 역할의 이름, 설명, 형식 또는 권한을 삭제하거나 편집할 수 없습니다.
- 애플리케이션 관리자: 모바일 및 관리되는 애플리케이션을 관리하며, 디바이스 정보를 읽고, 디바이스 구성 프로필을 볼 수 있습니다.
- 엔드포인트 권한 관리자: Intune 콘솔에서 엔드포인트 권한 관리 정책을 관리합니다.
- 엔드포인트 권한 읽기 권한자: 엔드포인트 권한 읽기 권한자는 Intune 콘솔에서 엔드포인트 권한 관리 정책을 볼 수 있습니다.
- 엔드포인트 보안 관리자: 보안 기준, 디바이스 규정 준수, 조건부 액세스 및 엔드포인트용 Microsoft Defender 같은 보안 및 규정 준수 기능을 관리합니다.
- 기술 지원팀 운영자: 사용자와 디바이스에 대해 원격 작업을 수행하며, 사용자 또는 디바이스에 애플리케이션이나 정책을 할당할 수 있습니다.
- Intune 역할 관리자: 사용자 지정 Intune 역할을 관리하고 기본 제공 Intune 역할에 대한 할당을 추가합니다. 관리자에게 사용 권한을 할당할 수 있는 유일한 Intune 역할입니다.
- 정책 및 프로필 관리자: 규정 준수 정책, 구성 프로필, Apple 등록, 회사 디바이스 식별자 및 보안 기준을 관리합니다.
- 조직 메시지 관리자: Intune 콘솔에서 조직 메시지를 관리합니다.
- 읽기 전용 운영자: 사용자, 디바이스, 등록, 구성 및 애플리케이션 정보를 확인할 수 있습니다. Intune을 변경할 수 없습니다.
- 학교 관리자: Intune for Education으로 Windows 10 디바이스를 관리합니다.
- 클라우드 PC 관리자: 클라우드 PC 관리자는 클라우드 PC 영역에 있는 모든 클라우드 PC 기능에 대한 읽기 및 쓰기 액세스 권한을 갖습니다.
- 클라우드 PC 읽기 권한자: 클라우드 PC 판독기는 클라우드 PC 영역에 있는 모든 클라우드 PC 기능에 대한 읽기 권한이 있습니다.
사용자 지정 역할
사용자 지정 권한을 사용하여 사용자 고유의 역할을 만들 수 있습니다. 사용자 지정 역할에 대한 자세한 내용은 사용자 지정 역할 만들기를 참조하세요.
Intune 액세스 권한이 있는 역할 Microsoft Entra
Microsoft는 관리자가 업무를 수행하는 데 필요한 최소 권한만 할당하여 최소 사용 권한 원칙을 따르는 것이 좋습니다. 전역 관리자 및 Intune 서비스 관리자는 권한 있는 역할이며 할당을 제한해야 합니다.
| Microsoft Entra 역할 | 모든 Intune 데이터 | Intune 감사 데이터 |
|---|---|---|
| 전역 관리자 | 읽기/쓰기 | 읽기/쓰기 |
| Intune 서비스 관리자 | 읽기/쓰기 | 읽기/쓰기 |
| 조건부 액세스 관리자 | 없음 | 없음 |
| 보안 관리자 | 읽기 전용(엔드포인트 보안 노드에 대한 전체 관리 권한) | 읽기 전용 |
| 보안 운영자 | 읽기 전용 | 읽기 전용 |
| 보안 읽기 권한자 | 읽기 전용 | 읽기 전용 |
| 규정 준수 관리자 | 없음 | 읽기 전용 |
| 규정 준수 데이터 관리자 | 없음 | 읽기 전용 |
| 전역 읽기 권한자(이 역할은 Intune 기술 지원 센터 운영자 역할과 동일) | 읽기 전용 | 읽기 전용 |
| 기술 지원팀 관리자(이 역할은 Intune 지원 센터 운영자 역할과 동일) | 읽기 전용 | 읽기 전용 |
| 보고서 읽기 권한자 | 없음 | 읽기 전용 |
팁
또한 Intune 세 가지 Microsoft Entra 확장이 표시됩니다. 사용자, 그룹 및 조건부 액세스는 Microsoft Entra RBAC를 사용하여 제어됩니다. 또한 사용자 계정 관리자는 Microsoft Entra 사용자/그룹 활동만 수행하며 Intune 모든 활동을 수행할 수 있는 모든 권한이 없습니다. 자세한 내용은 Microsoft Entra ID RBAC를 참조하세요.
Intune 대한 Privileged Identity Management
Intune 두 가지 역할 상승 방법을 지원합니다. 두 메서드 간에 성능 및 최소 권한 차이가 있습니다.
방법 1: Microsoft Entra 기본 제공 Intune 관리자 역할에 대한 MICROSOFT ENTRA PRIVILEGED IDENTITY MANAGEMENT(PIM)를 사용하여 JIT(Just-In-Time) 정책을 만들고 관리자 계정에 할당합니다.
방법 2: Intune RBAC 역할 할당을 사용하여 그룹 PIM(Privileged Identity Management)을 활용합니다. INTUNE RBAC 역할과 함께 그룹 PIM을 사용하는 방법에 대한 자세한 내용은 다음을 참조하세요. 그룹 Microsoft Entra PIM을 사용하여 Microsoft Intune Just-In-Time 관리자 액세스 구성 | Microsoft 커뮤니티 허브
Microsoft Entra ID 기본 제공 Intune 관리자 역할에 PIM 권한 상승을 사용하는 경우 일반적으로 권한 상승은 10초 이내에 발생합니다. Intune 사용자 지정 역할에 대한 PIM 그룹 기반 권한 상승을 적용하는 데 최대 15분이 걸릴 수 있습니다.
역할 할당
역할 할당은 다음을 정의합니다.
- 역할에 할당되는 사용자
- 역할에 할당되는 사용자가 볼 수 있는 리소스
- 역할에 할당되는 사용자가 변경할 수 있는 리소스
Intune 관리자인 사용자에게 사용자 지정 역할과 기본 제공 역할을 모두 할당할 수 있습니다. Intune 역할을 할당받으려면 사용자에게 Intune 라이선스가 있어야 합니다. 역할 할당을 보려면 Intune>테넌트 관리>역할>모든 역할이>할당을 선택하는 역할을 >> 선택합니다. 속성 페이지에서 다음을 편집할 수 있습니다.
- 기본 사항: 할당 이름 및 설명입니다.
- 관리자: 나열된 Azure 보안 그룹의 모든 사용자는 범위(그룹)에 나와 있는 사용자/디바이스를 관리할 수 있는 권한이 있습니다.
- 범위(그룹): 범위 그룹 사용자 또는 디바이스의 보안 그룹 또는 해당 역할 할당의 관리자가 작업 수행으로 제한되는 보안 그룹에 Microsoft Entra. 예를 들어 사용자에게 정책 또는 애플리케이션을 배포하거나 디바이스를 원격으로 잠급 수 있습니다. 이러한 Microsoft Entra 보안 그룹의 모든 사용자 및 디바이스는 구성원의 사용자가 관리할 수 있습니다.
- 범위 태그: 멤버의 사용자는 동일한 scope 태그가 있는 리소스를 볼 수 있습니다.
참고
범위 태그는 관리자가 정의한 다음 역할 할당에 추가하는 자유 형식 텍스트 값입니다. 역할에 추가된 범위 태그는 역할 자체의 표시 여부를 제어하는 반면 역할 할당에 추가된 범위 태그는 역할 할당에 하나 이상의 일치하는 범위 태그가 포함되어 있기 때문에 Intune 개체(예: 정책 및 앱) 또는 장치의 가시성을 해당 역할 할당의 관리자에게만 제한합니다.
여러 역할 할당
사용자에게 여러 역할 할당, 권한 및 범위 태그가 있으면 해당 역할 할당이 다음과 같이 다른 개체로 확장됩니다.
- 두 개 이상의 역할이 동일한 개체에 권한을 부여하는 경우 사용 권한은 증분됩니다. 예를 들어 한 역할의 읽기 권한과 다른 역할의 읽기/쓰기 권한이 있는 사용자는 읽기/쓰기의 유효 권한이 있습니다(두 역할에 대한 할당이 동일한 scope 태그를 대상으로 가정).
- 할당 권한 및 범위 태그는 해당 역할의 할당 범위(그룹) 내에 있는 개체(예: 정책 또는 앱)에만 적용됩니다. 다른 할당에서 권한을 특별히 부여하지 않는 한 할당 권한 및 범위 태그는 다른 역할 할당의 개체에 적용되지 않습니다.
- 다른 권한(예: 만들기, 읽기, 업데이트, 삭제) 및 범위 태그는 사용자 할당에서 유형이 같은 모든 개체(예: 모든 정책 또는 모든 앱)에 적용됩니다.
- 유형이 다른 개체(예: 정책 또는 앱)에 대한 권한 및 범위 태그는 서로에게 적용되지 않습니다. 예를 들어 정책 읽기 권한은 사용자 할당의 앱을 읽을 수 있는 권한을 제공하지 않습니다.
- scope 태그가 없거나 다른 할당에서 일부 scope 태그가 할당된 경우 사용자는 일부 scope 태그의 일부이며 모든 디바이스를 볼 수 없는 디바이스만 볼 수 있습니다.