이 설정은 이름 그대로 작동하지만, 사람들이 보통 확인하는 곳에서는 권한이 보이지 않기 때문에 혼란을 줄 수 있습니다.
Microsoft의 공식 문서(assign-local-admin)에 따르면, Microsoft Entra 조인(Join)이 수행되는 시점에 두 개의 주체(Principal)가 로컬 관리자 그룹에 추가됩니다. 바로 **'Microsoft Entra 가입 장치 로컬 관리자 역할'**과 **'조인을 수행하는 사용자'**입니다. 이 작업은 조인이 진행되는 그 순간에만 발생합니다. 이는 디렉터리 역할 할당이 아니므로 역할 할당 목록이나 감사 로그, "장치 관리자(Device Administrators)" 항목 아래에는 표시되지 않으며, 이는 의도된 설계입니다.
중요한 점은, 사용자가 로컬 관리자 그룹에 직접 나열되지 않는다는 것입니다. 대신 이 권한은 로그인 시 **기본 새로 고침 토큰(PRT, Primary Refresh Token)**을 통해 전달됩니다. 따라서:
- 장치에서 직접 확인하려면 사용자로 로그인한 후
whoami /groups명령어를 실행해 보세요. 로컬 관리자(Administrators) SID가 보여야 합니다. - 설정을 변경한 후 즉시 다시 평가되도록 강제하려면,
dsregcmd /refreshprt를 실행한 다음 로그아웃 후 다시 로그인하세요. (단순히 화면을 잠갔다 푸는 것으로는 안 됩니다. 새 PRT가 필요한데, 그렇지 않으면 전파되는 데 최대 4시간까지 걸릴 수 있습니다.) - 이 설정은 **조인(Joined)**된 장치에만 적용되며, 등록(Workplace-joined)된 장치에는 적용되지 않습니다. 작성자님이 구분하신 부분이 정확합니다.
"모든 Microsoft Entra 가입 장치에 대한 추가 로컬 관리자 관리" 링크는 별도의 테넌트 전체 메커니즘(동일한 장치 관리자 역할)입니다. 특정 장치로 범위를 좁힐 수 없다는 점도 위협 확산(Blast Radius)을 제한하려 할 때 알아두어야 할 사항입니다.
기존 관리자 권한을 강제로 제거하지 않으면서 앞으로의 새로운 조인에 대해 이 설정을 중단하고 싶다면, "등록 사용자가 로컬 관리자로 추가됨" 설정을 **없음(None)**으로 설정하세요. 그리고 향후 멤버십 관리는 Windows Autopilot 프로필이나 Intune의 로컬 사용자 및 그룹(Local Users and Groups) 정책을 사용하는 것이 좋습니다. 기존 장치는 소급하여 변경되지 않습니다.