최근 읽은 MSEndpointMgr 글을 바탕으로, Intune Endpoint Privilege Management(EPM)의 핵심만 실무 관점에서 정리했다.
원문: https://msendpointmgr.com/2026/06/15/epm-part-1-the-end-of-local-admin-how-intune-endpoint-privilege-management-solves-a-problem-it-has-lived-with-for-decades/
## 왜 이 문제가 계속 반복되나
로컬 관리자 권한은 편하지만 위험하다.
- 사용자는 빠르게 일을 처리할 수 있다.
- 대신 악성코드가 관리자 권한을 그대로 물려받을 수 있다.
- 무엇을 언제 누가 올렸는지 추적도 어렵다.
- 반대로 전부 막아버리면 헬프데스크가 지친다.
이 딜레마를 줄이려는 게 EPM이다.
## EPM이 하는 일
EPM은 사용자를 표준 사용자로 유지하면서, 필요한 작업만 선택적으로 올려준다.
- 승인된 파일만 올라간다.
- 전부 로그로 남는다.
- 로컬 관리자 그룹에 영구적으로 넣지 않는다.
- elevation은 일시적이고 범위가 좁다.
## 세 가지 elevation 모델
- Automatic elevation: 검증된 도구는 조용히 올린다.
- User-initiated elevation: 사용자가 직접 올리고 사유를 남긴다.
- Support-approved elevation: IT 승인 후 올린다.
이 셋을 사용자 유형과 위험도에 맞게 섞어 쓰는 구조다.
## 실무 시나리오
개발자, 현장 운영, 롱테일 소프트웨어 요청처럼 자주 보이는 문제를 EPM이 풀어준다.
- 개발자는 패키지 관리자나 SDK 설치가 필요하다.
- 현장 엔지니어는 네트워크 설정 도구를 올려야 할 수 있다.
- 일부 부서만 쓰는 희귀 툴은 매번 헬프데스크가 설치해줄 수 없다.
EPM은 이런 요청을 개별 규칙으로 흡수한다.
## virtual account 함정
가장 중요한 실무 포인트다.
기본 EPM elevation은 virtual account로 실행된다. 이때 HKCU, AppData, Documents 같은 사용자 컨텍스트 경로가 실제 사용자 프로필이 아니라 virtual account 쪽으로 잡힌다. 그래서 설치는 성공했는데, 사용자가 열면 설정이 안 남거나 실행이 깨지는 일이 생긴다.
이 패턴은 특히 다음에서 자주 보인다.
- HKCU에 설정을 쓰는 설치 프로그램
- 사용자 프로필 폴더에 파일을 남기는 앱
- 네트워크 공유에서 실행되는 앱
- 설치 중 서버 인증이 필요한 클라이언트-서버 앱
## Elevate as current user
이 문제를 해결하려고 EPM에는 Elevate as current user가 추가됐다.
- 사용자 자신의 컨텍스트로 올라간다.
- HKCU, 프로필 경로, 환경 변수가 그대로 보인다.
- Kerberos 티켓이 필요한 네트워크 작업에도 유리하다.
다만 보안 격리는 virtual account보다 약해진다. 그래서 기본값이 아니라 예외적으로 써야 한다.
## 아키텍처와 배포 순서
EPM은 보통 이렇게 시작하는 게 낫다.
1. Audit 모드로 먼저 켠다.
2. 실제로 어떤 앱이 얼마나 올라가는지 본다.
3. 사용자 그룹과 직무별 패턴을 정리한다.
4. 자주 쓰는 앱부터 규칙을 만든다.
5. 그 다음에 로컬 관리자 권한을 줄인다.
즉, 먼저 관찰하고 나중에 제한해야 한다.
## 라이선스 변화
2026년 7월 1일부터 EPM은 Microsoft 365 E5에 포함된다. 예전처럼 별도 Intune Suite add-on으로만 보지 않아도 된다. 이미 E5를 쓰는 조직이라면 도입 장벽이 꽤 낮아진 셈이다.
## 결론
EPM은 로컬 관리자 권한을 완전히 없애는 도구가 아니라, 필요한 순간에만 필요한 만큼 올려주는 도구다. 보안과 생산성 사이의 오래된 충돌을 현실적으로 줄여준다.
다음으로 볼 것은 두 가지다.
- 우리 조직에서 가장 자주 올라가는 앱이 무엇인지
- virtual account로 충분한지, current user가 필요한지
이 두 가지만 정리해도 EPM 파일럿의 절반은 끝난다.