BitLocker 관리 및 모니터링 웹 사이트

  • 아티클

적용 대상: Configuration Manager(현재 분기)

BitLocker 관리 및 모니터링 웹 사이트는 BitLocker 드라이브 암호화에 대한 관리 인터페이스입니다. 지원 센터 포털이라고도 합니다. 이 웹 사이트를 사용하여 보고서를 검토하고, 사용자의 드라이브를 복구하고, 디바이스 TPM을 관리합니다.

기본 BitLocker 관리 및 모니터링 웹 사이트입니다.

사용하기 전에 웹 서버에 이 구성 요소를 설치합니다. 자세한 내용은 BitLocker 보고서 및 포털 설정을 참조하세요.

다음 URL을 통해 관리 및 모니터링 웹 사이트에 액세스합니다. https://webserver.contoso.com/HelpDesk

참고

관리 및 모니터링 웹 사이트에서 복구 감사 보고서를 볼 수 있습니다. 다른 BitLocker 관리 보고서를 보고 서비스 지점에 추가합니다. 자세한 내용은 BitLocker 보고서 보기를 참조하세요.

그룹

관리 및 모니터링 웹 사이트의 특정 영역에 액세스하려면 사용자 계정이 다음 그룹 중 하나에 있어야 합니다. 원하는 이름을 사용하여 Active Directory에서 이러한 그룹을 만듭니다. 이 웹 사이트를 설치할 때 이러한 그룹 이름을 지정합니다. 자세한 내용은 BitLocker 보고서 및 포털 설정을 참조하세요.

그룹 설명
BitLocker 지원 센터 관리자 관리 및 모니터링 웹 사이트의 모든 영역에 대한 액세스를 제공합니다. 사용자가 드라이브를 복구하는 데 도움을 주면 도메인 및 사용자 이름이 아닌 복구 키만 입력합니다. 사용자가 이 그룹과 BitLocker 지원 센터 사용자 그룹의 구성원인 경우 관리 그룹 권한은 사용자 그룹 권한을 재정의합니다.
BitLocker 지원 센터 사용자 관리 및 모니터링 웹 사이트의 TPM 관리 및 드라이브 복구 영역에 대한 액세스를 제공합니다. 두 영역 중 하나를 사용하는 경우 사용자의 도메인 및 계정 이름을 포함한 모든 필드를 입력해야 합니다. 사용자가 이 그룹과 BitLocker 지원 센터 관리자 그룹의 구성원인 경우 관리자 그룹 권한은 사용자 그룹 권한을 재정의합니다.
BitLocker 보고서 사용자 관리 및 모니터링 웹 사이트의 보고서 영역에 대한 액세스를 제공합니다.

TPM 관리

사용자가 잘못된 PIN을 너무 많이 입력하면 TPM을 잠글 수 있습니다. TPM 잠금이 제조업체마다 다르기 전에 사용자가 잘못된 PIN을 입력할 수 있는 횟수입니다. 관리 및 모니터링 웹 사이트의 TPM 관리 영역에서 중앙 집중식 키 복구 데이터 시스템에 액세스합니다.

TPM 소유권에 대한 자세한 내용은 TPM을 에스크로하고 OwnerAuth 암호를 저장하도록 MBAM 구성을 참조하세요.

참고

Windows 10 버전 1607부터 Windows는 TPM을 프로비전할 때 TPM 소유자 암호를 유지하지 않습니다.

  1. 웹 브라우저에서 관리 및 모니터링 웹 사이트(예 https://webserver.contoso.com/HelpDesk: )로 이동합니다.

  2. 왼쪽 창에서 TPM 관리 영역을 선택합니다.

    BitLocker 관리 및 모니터링 웹 사이트 TPM 관리 페이지.

  3. 컴퓨터의 정규화된 도메인 이름과 컴퓨터 이름을 입력합니다.

  4. 필요한 경우 사용자의 도메인 및 사용자 이름을 입력하여 TPM 소유자 암호 파일을 검색합니다.

  5. TPM 소유자 암호 파일을 요청하는 이유에서 다음 옵션 중 하나를 선택합니다.

    • PIN 잠금 다시 설정
    • TPM 켜기
    • TPM 끄기
    • TPM 암호 변경
    • TPM 지우기
    • 기타

    양식을 제출 한 후 웹 사이트는 다음 응답 중 하나를 반환합니다.

    • 일치하는 TPM 소유자 암호 파일을 찾을 수 없는 경우 오류 메시지가 반환됩니다.

    • 제출된 컴퓨터의 TPM 소유자 암호 파일

    TPM 소유자 암호 파일을 검색하면 웹 사이트에 소유자 암호가 표시됩니다.

  6. 파일에 암호를 저장하려면 저장을 선택합니다.

  7. TPM 관리 영역에서 TPM 잠금 다시 설정 옵션을 선택하고 TPM 소유자 암호 파일을 제공합니다.

    TPM 잠금이 다시 설정됩니다. BitLocker는 디바이스에 대한 사용자의 액세스를 복원합니다.

    중요

    TPM 해시 값 또는 TPM 소유자 암호 파일을 공유하지 마세요.

드라이브 복구

버전 2107부터 Microsoft Intune 관리 센터에서 테넌트 연결 디바이스에 대한 BitLocker 복구 키를 가져올 수도 있습니다. 자세한 내용은 테넌트 연결: BitLocker 복구 키를 참조하세요.

복구 모드에서 드라이브 복구

드라이브는 다음 시나리오에서 복구 모드로 전환됩니다.

  • 사용자가 PIN 또는 암호를 분실하거나 잊어버린 경우
  • TPM(신뢰할 수 있는 모듈 플랫폼)이 컴퓨터의 BIOS 또는 시작 파일에 대한 변경 내용을 검색합니다.

복구 암호를 얻으려면 관리 및 모니터링 웹 사이트의 드라이브 복구 영역을 사용합니다.

중요

복구 암호는 단일 사용 후 만료됩니다. OS 드라이브 및 고정 데이터 드라이브에서 일회용 규칙이 자동으로 적용됩니다. 이동식 드라이브에서는 드라이브를 제거하고 다시 삽입할 때 적용됩니다.

  1. 웹 브라우저에서 관리 및 모니터링 웹 사이트(예 https://webserver.contoso.com/HelpDesk: )로 이동합니다.

  2. 왼쪽 창에서 드라이브 복구 영역을 선택합니다.

    BitLocker 관리 및 모니터링 웹 사이트 드라이버 복구 페이지.

  3. 필요한 경우 사용자의 도메인 및 사용자 이름을 입력하여 복구 정보를 확인합니다.

  4. 일치하는 복구 키 목록을 보려면 복구 키 ID의 처음 8자리를 입력합니다. 정확한 복구 키를 가져오려면 전체 복구 키 ID를 입력합니다.

  5. 드라이브 잠금 해제 이유로 다음 옵션 중 하나를 선택합니다.

    • 운영 체제 부팅 순서가 변경됨
    • BIOS 변경됨
    • 수정된 운영 체제 파일
    • 분실한 시작 키
    • PIN 손실
    • TPM 재설정
    • 분실한 암호
    • 분실된 스마트 카드
    • 기타

    양식을 제출 한 후 웹 사이트는 다음 응답 중 하나를 반환합니다.

    • 사용자에게 일치하는 복구 암호가 여러 대 있는 경우 가능한 여러 일치 항목을 반환합니다.

    • 제출된 사용자의 복구 암호 및 복구 패키지입니다.

      참고

      손상된 드라이브를 복구하는 경우 복구 패키지 옵션은 BitLocker에 드라이브를 복구하는 데 필요한 중요한 정보를 제공합니다.

    • 일치하는 복구 암호를 찾을 수 없는 경우 오류 메시지가 반환됩니다.

    복구 암호 및 복구 패키지를 검색하면 웹 사이트에 복구 암호가 표시됩니다.

  6. 암호를 복사하려면 키 복사를 선택합니다. 복구 암호를 파일에 저장하려면 저장을 선택합니다.

드라이브의 잠금을 해제하려면 복구 암호를 입력하거나 복구 패키지를 사용합니다.

이동된 드라이브 복구

TPM이 다르기 때문에 드라이브를 새 컴퓨터로 이동하는 경우 BitLocker는 이전 PIN을 허용하지 않습니다. 이동된 드라이브를 복구하려면 복구 키 ID를 가져와서 복구 암호를 검색합니다.

이동된 드라이브를 복구하려면 관리 및 모니터링 웹 사이트의 드라이브 복구 영역을 사용합니다.

  1. 이동된 드라이브가 있는 컴퓨터에서 WinRE(Windows 복구 환경) 모드에서 컴퓨터를 시작합니다.

  2. WinRE에서 BitLocker는 이동된 OS 드라이브를 고정 데이터 드라이브로 처리합니다. BitLocker는 드라이브의 복구 암호 ID를 표시하고 복구 암호를 묻는 메시지를 표시합니다.

    참고

    경우에 따라 시작 프로세스 중에 옵션을 사용할 수 있는 경우 PIN을 잊어버렸습니다 를 선택합니다. 그런 다음 복구 모드를 입력하여 복구 키 ID를 표시합니다.

  3. 복구 키 ID를 사용하여 관리 및 모니터링 웹 사이트에서 복구 암호를 가져옵니다. 자세한 내용은 복구 모드에서 드라이브 복구를 참조하세요.

원래 컴퓨터에서 TPM 칩을 사용하도록 이동된 드라이브를 구성한 경우 다음 단계를 완료합니다. 그렇지 않으면 복구 프로세스가 완료됩니다.

  1. 드라이브의 잠금을 해제한 후 WinRE 모드에서 컴퓨터를 시작합니다. WinRE에서 명령 프롬프트를 manage-bde 열고 명령을 사용하여 드라이브의 암호를 해독합니다. 이 도구는 원래 TPM 칩 없이 TPM + PIN 보호기를 제거하는 유일한 방법입니다. 이 명령에 대한 자세한 내용은 Manage-bde를 참조하세요.

  2. 완료되면 컴퓨터를 정상적으로 시작합니다. Configuration Manager BitLocker 정책을 적용하여 새 컴퓨터의 TPM 및 PIN으로 드라이브를 암호화합니다.

손상된 드라이브 복구

복구 키 ID를 사용하여 관리 및 모니터링 웹 사이트에서 복구 키 패키지를 가져옵니다. 자세한 내용은 복구 모드에서 드라이브 복구를 참조하세요.

  1. 복구 키 패키지를 컴퓨터에 저장한 다음 손상된 드라이브로 컴퓨터에 복사합니다.

  2. 관리자 권한으로 명령 프롬프트를 열고 다음 명령을 입력합니다.

    repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>

    다음 값을 바꿉 있습니다.

    • <corrupted drive>: 손상된 드라이브의 드라이브 문자입니다(예: ). D:
    • <fixed drive>: 손상된 드라이브보다 크거나 비슷하거나 큰 사용 가능한 하드 디스크 드라이브의 드라이브 문자입니다. BitLocker는 손상된 드라이브의 데이터를 복구하고 지정된 드라이브로 이동합니다. 이 드라이브의 모든 데이터를 덮어씁니다.
    • <key package>: 복구 키 패키지의 위치
    • <recovery password>: 연결된 복구 암호

    예를 들면

    repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888

이 명령에 대한 자세한 내용은 Repair-bde를 참조하세요.

보고서

관리 및 모니터링 웹 사이트에는 복구 감사 보고서가 포함됩니다. 다른 보고서는 Configuration Manager 보고 서비스 지점에서 사용할 수 있습니다. 자세한 내용은 BitLocker 보고서 보기를 참조하세요.

  1. 웹 브라우저에서 관리 및 모니터링 웹 사이트(예 https://webserver.contoso.com/HelpDesk: )로 이동합니다.

  2. 왼쪽 창에서 보고서 영역을 선택합니다.

  3. 위쪽 메뉴 모음에서 복구 감사 보고서를 선택합니다.

이 보고서에 대한 자세한 내용은 복구 감사 보고서를 참조하세요.

보고서 결과를 저장하려면 보고서 메뉴 모음에서 내보내기를 선택합니다.