Microsoft Intune을 자동화 스크립트, Azure Automation runbook, 또는 타사 도구로 관리 중이라면, 2026년 6월 22일 주에 롤아웃되는 최신 업데이트에 주의를 기울여야 합니다.
Microsoft가 Multi Admin Approval(MAA)이 이제 Microsoft Graph API를 통한 애플리케이션 인증(app-auth) API 호출에 강제 워크플로를 적용한다고 발표했습니다.
이것이 엔터프라이즈 IT에 무엇을 의미하는지, 왜 중요한지, 즉시 취해야 할 단계에 대한 기술적 분석입니다.
변경 사항
이전에는 Intune의 Multi Admin Approval 기능이 대화형(delegated) 관리자 작업에만 강제되었습니다. 즉, 관리자가 포털에서 기기를 초기화하거나 스크립트를 변경하기 위해 들어가면 두 번째 관리자의 승인이 필요했습니다. 하지만 자동화 스크립트나 서비스 주체가 app-only 토큰을 사용해 Graph API를 통해 정확히 동일한 작업을 실행하면, 작업은 승인 없이 그냥 통과했습니다.
이제 그렇지 않습니다. app-only 토큰을 사용하는 자동화 및 스크립트 호출은 대상 리소스(앱, 스크립트, 기기 작업 등)가 액세스 정책으로 보호될 때 MAA에 의해 가로채깁니다.
자동화가 적절한 승인 헤더 없이 보호된 워크로드를 수정하려 하면, API는 HTTP 403 Forbidden 오류를 반환합니다.
실제 영향
이 변경은 UI와 API 모두에 걸쳐 “4-eyes 원칙"을 강제하여 중요한 보안 허점을 막습니다. 하지만 업데이트하지 않으면 기존 자동화가 중단됩니다.
- Broken Runbook: 서비스 주체를 사용해 보호된 Intune 리소스를 수정하는 커스텀 PowerShell 스크립트나 Power Automate 흐름은 MAA 정책이 활성일 때 즉시 실패합니다.
- 타사 중단: Intune을 관리하기 위해 엔터프라이즈 애플리케이션을 활용하는 도구(패치 관리나 프로비저닝 도구 등)는 명시적으로 제외되지 않는 한 이제 이 차단의 적용을 받습니다.
- 개선된 보안 태세: 광범위한 권한(예:
DeviceManagementManagedDevices.ReadWrite.All)을 가진 손상된 서비스 주체가 대화형 인간 승인 단계 없이 대규모 기기 초기화나 악성 스크립트 배포를 더 이상 시작할 수 없습니다.
Intune 관리자를 위한 즉시 조치
보안을 유지하면서 자동화가 계속 원활히 실행되도록 다음 단계를 취하세요.
1. 보호된 워크로드 식별
Intune 관리 센터의 Tenant administration > Multi Admin Approval > Access Policies로 이동하세요. 어떤 프로필 유형(Apps, Scripts, Device Actions)이 현재 MAA로 보호되는지 확인하고 이를 자동화 워크플로우와 비교하세요.
2. 자동화 스크립트 업데이트
커스텀 스크립트를 유지 관리 중이라면, 새 MAA 워크플로우를 처리하도록 API 요청을 업데이트해야 합니다.
- Base64로 인코딩된 비즈니스 정당성과 함께
x-msft-approval-justification헤더를 포함하세요. - 관리자가 Intune 포털에서 대화형으로 요청을 승인할 때까지 기다리세요(애플리케이션은 자체 요청을 승인할 수 없습니다).
x-msft-approval-code헤더를 사용하여 원래 요청을 다시 제출하세요.
3. 엔터프라이즈 애플리케이션 제외 구성
코드 업데이트가 즉시 불가능한 경우 — 예를 들어 타사 벤더 도구에 의존하는 경우 — MAA 액세스 정책 마법사 내의 새 Exclusions 탭을 사용할 수 있습니다. 이를 통해 특정 엔터프라이즈 애플리케이션이나 서비스 주체를 MAA 강제에서 면제하여 워크플로우가 중단되지 않도록 할 수 있습니다.
4. 서비스 주체 강화
MAA에서 제외하도록 선택한 애플리케이션에 대해서는 이들을 고도로 권한이 있는 엔터티로 취급하는 것이 중요합니다. 워크로드 ID에 대한 Conditional Access로 잠그고, 클라이언트 비밀 사용을 인증서 기반 인증으로 대체하고, 사용을 지속적으로 감사하세요.
이 변경에 미리 적응함으로써 필수 운영 자동화를 중단 없이 테넌트의 보안을 크게 강화할 수 있습니다.