Intune을 사용하여 Windows 장치에 대한 BitLocker 정책 관리

  • 아티클

Intune을 사용하여 Windows 10/11을 실행하는 디바이스에서 BitLocker 드라이브 암호화를 구성할 수 있습니다.

BitLocker는 Windows 10/11을 실행하는 디바이스에서 사용할 수 있습니다. BitLocker에 대한 일부 설정의 경우, 지원되는 TPM이 디바이스에 있어야 합니다.

다음 정책 유형 중 하나를 사용하여 관리 디바이스에서 BitLocker를 구성합니다.

Intune은 모든 관리형 디바이스에서 디바이스의 암호화 상태에 관한 세부 정보를 제시하는 기본 제공 암호화 보고서도 제공합니다. Intune이 BitLocker를 사용하여 Windows 디바이스를 암호화한 후에는 암호화 보고서를 볼 때 BitLocker 복구 키를 보고 관리할 수 있습니다.

Microsoft Entra ID 있는 것처럼 디바이스에서 BitLocker에 대한 중요한 정보에 액세스할 수도 있습니다.

중요

BitLocker를 사용하도록 설정하기 전에 조직의 요구 사항을 충족하는 복구 옵션을 이해하고 계획합니다. 자세한 내용은 Windows 보안 설명서의 BitLocker 복구 개요 부터 시작합니다.

BitLocker를 관리할 권한

Intune에서 BitLocker를 관리하려면 계정에 적용 가능한 Intune RBAC(역할 기반 액세스 제어) 권한이 있어야 합니다.

원격 작업 범주의 일부인 BitLocker 권한 그리고 이 권한을 부여하는 기본 제공 RBAC 역할은 다음과 같습니다.

  • BitLocker 키 순환
    • 지원 센터 운영자

정책 만들기 및 배포

다음 절차 중 하나에 따라 원하는 정책 유형을 만듭니다.

BitLocker에 대한 엔드포인트 보안 정책 만들기

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 엔드포인트 보안>디스크 암호화>정책 만들기를 선택합니다.

  3. 다음 옵션을 설정합니다.

    1. 플랫폼: Windows 10/11
    2. 프로필: BitLocker

    BitLocker 프로필 선택

  4. 구성 설정 페이지에서 비즈니스 요구에 맞게 BitLocker의 설정을 구성합니다.

    다음을 선택합니다.

  5. 범위(태그) 페이지에서 범위 태그 선택을 선택하여 태그 선택 창을 열고 프로필에 범위 태그를 할당합니다.

    다음을 선택하여 계속합니다.

  6. 할당 페이지에서 이 프로필을 받을 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 디바이스 프로필 할당을 참조하세요.

    다음을 선택합니다.

  7. 검토 + 만들기 페이지에서 완료되면 만들기를 선택합니다. 사용자가 만든 프로필에 대한 정책 유형을 선택하면 목록에 새 프로필이 표시됩니다.

BitLocker의 디바이스 구성 프로필 만들기

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 정책 탭에서 디바이스>구성>을 선택하고 만들기를 선택합니다.

  3. 다음 옵션을 설정합니다.

    1. 플랫폼: Windows 10 이상
    2. 프로필 유형: 템플릿>엔드포인트 보호를 선택한 다음 , 만들기를 선택합니다.

    BitLocker 프로필 선택

  4. 구성 설정 페이지에서 Windows 암호화를 확장합니다.

    Windows 암호화 설정 선택

  5. 비즈니스 요구에 맞게 BitLocker의 설정을 구성합니다.

    BitLocker를 자동으로 사용 하도록 설정하려는 경우, 추가적인 필수 요소 및 사용해야 하는 특정 설정 구성에 대해서는 디바이스에서 자동으로 BitLocker 사용을 참조하세요.

  6. 다음을 선택하여 계속합니다.

  7. 추가 설정 구성을 완료한 다음 프로필을 저장합니다.

BitLocker 관리

다음 주제는 BitLocker 정책을 통해 특정 작업을 관리하고 복구 키를 관리하는 데 도움이 될 수 있습니다.

BitLocker를 수신하는 디바이스에 대한 정보를 보려면 디스크 암호화 모니터링을 참조하세요.

디바이스에서 자동으로 BitLocker 사용

해당 사용자가 디바이스의 로컬 관리자가 아닌 경우에도 최종 사용자에게 UI를 제공하지 않고 디바이스를 자동으로 자동으로 암호화하도록 BitLocker에 대한 정책을 구성할 수 있습니다.

성공하려면 디바이스가 다음 디바이스 필수 구성 요소를 충족하고, BitLocker를 자동으로 사용하도록 설정하는 적용 가능한 설정을 수신해야 하며, TPM 시작 PIN 또는 키를 사용해야 하는 설정이 없어야 합니다. 시작 PIN 또는 키의 사용은 사용자 상호 작용이 필요하므로 자동 암호화와 호환되지 않습니다.

디바이스 필수 구성 요소

BitLocker를 자동으로 사용하도록 설정하려면 디바이스가 다음 조건을 충족해야 합니다.

  • 최종 사용자가 관리자로 디바이스에 로그인하는 경우 디바이스에서 Windows 10 버전 1803 이상이나 Windows 11을 실행해야 합니다.
  • 최종 사용자가 표준 사용자로 디바이스에 로그인하는 경우 디바이스에서 Windows 10 버전 1809 이상이나 Windows 11을 실행해야 합니다.
  • 디바이스를 Microsoft Entra 조인하거나 하이브리드 조인을 Microsoft Entra 합니다.
  • 디바이스에 TPM(신뢰할 수 있는 플랫폼 모듈) 1.2 이상이 포함되어 있어야 합니다.
  • BIOS 모드가 Native UEFI only(네이티브 UEFI 전용)로 설정되어 있어야 합니다.

BitLocker를 자동으로 사용하도록 설정하는 데 필요한 설정

BitLocker를 자동으로 사용하도록 설정하는 데 사용할 정책 유형에 따라 다음 설정을 구성합니다. 두 방법 모두 Windows 디바이스에서 Windows 암호화 CSP를 통해 BitLocker를 관리합니다.

  • 엔드포인트 보안 디스크 암호화 정책 - BitLocker 프로필에서 다음 설정을 구성합니다.

    • 디바이스 암호화 = 필요사용
    • 다른 디스크 암호화 = 에 대한 경고 허용비활성화

    자동 암호화를 사용하도록 설정하는 데 필요한 두 개의 BitLocker 설정입니다.

    두 가지 필수 설정 외에도 복구 암호 회전 구성을 사용하는 것이 좋습니다.

  • 디바이스 구성 엔드포인트 보호 정책 - Endpoint Protection 템플릿 또는 사용자 지정 설정 프로필에서 다음 설정을 구성합니다.

    • 다른 디스크 암호화에 대한 경고 = ’차단’.
    • 표준 사용자가 Microsoft Entra 조인 = 허용 중에 암호화를 사용하도록허용
    • 복구 키 = 의 사용자 만들기256비트 복구 키 허용 또는 허용 안 함
    • 복구 암호 = 의 사용자 만들기48자리 복구 암호 허용 또는 필요

TPM 시작 PIN 또는 키

시작 PIN 또는 시작 키가 필요하도록 디바이스를 설정해서는 안 됩니다 .

디바이스에서 TPM 시작 PIN 또는 시작 키가 필요한 경우 BitLocker는 디바이스에서 자동으로 사용하도록 설정할 수 없으며 대신 최종 사용자의 상호 작용이 필요합니다. TPM 시작 PIN 또는 키를 구성하는 설정은 엔드포인트 보호 템플릿과 BitLocker 정책 모두에서 사용할 수 있습니다. 기본적으로 이러한 정책은 이러한 설정을 구성하지 않습니다.

다음은 각 프로필 유형의 관련 설정입니다.

엔드포인트 보안 디스크 암호화 정책 - TPM 설정은 관리 템플릿 범주를 확장한 다음 Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브 섹션 집합 시작 시 추가 인증 필요사용으로 설정한 후에만 표시됩니다. 구성된 경우 다음 TPM 설정을 사용할 수 있습니다.

  • TPM 시작 키 및 PIN 구성 - TPM사용하여 시작 키 및 PIN을 허용하지 않음으로 구성

  • TPM 시작 PIN 구성 - TPM에서 시작 PIN을 허용하지 않음으로 구성

  • TPM 시작 구성 - TPM 허용 또는 TPM필요로 구성

  • TPM 시작 키 구성 - TPM을 사용하여 시작 키를 허용하지 않음으로 구성

디바이스 구성 정책 - 엔드포인트 보호 템플릿의 Windows 암호화 범주에서 다음 설정을 찾을 수 있습니다.

  • 호환되는 TPM 시작 - TPM 허용 또는 TPM 필수로 구성
  • 호환되는 TPM 시작 PIN - TPM을 사용한 시작 PIN 허용하지 않음으로 구성
  • 호환되는 TPM 시작 키 - TPM을 사용한 시작 키 허용하지 않음으로 구성
  • 호환되는 TPM 시작 키 및 PIN - TPM을 사용한 시작 키 및 PIN 허용하지 않음으로 구성

경고

엔드포인트 보안 또는 디바이스 구성 정책 둘 다 기본적으로 TPM 설정을 구성하지는 않지만, 엔드포인트용 Microsoft Defender의 보안 기준 일부 버전은 기본적으로 호환되는 TPM 시작 PIN호환되는 TPM 시작 키를 모두 구성합니다. 이러한 구성은 BitLocker의 자동 사용을 차단할 수 있습니다.

BitLocker를 자동으로 사용하도록 설정하려는 디바이스에 이 기준을 배포하는 경우 가능한 충돌에 대한 기준 구성을 검토합니다. 충돌을 제거하려면 기준을 다시 구성하여 충돌을 제거하거나, BitLocker의 자동 사용을 차단하는 TPM 설정을 구성하는 기준 인스턴스를 받지 못하도록 해당 디바이스를 제거합니다.

전체 디스크 암호화와 사용한 공간 전용 암호화의 대비

세 가지 설정은 사용된 공간만 암호화하거나 전체 디스크 암호화를 통해 OS 드라이브를 암호화할지 여부를 결정합니다.

  • 디바이스의 하드웨어에 최신 대기 모드가 가능한지 여부
  • BitLocker에 대해 자동 지원이 구성되어 있는지 여부
    • ('다른 디스크 암호화에 대한 경고' = 차단 또는 '타사 암호화에 대한 메시지 숨기기' = 예)
  • SystemDrivesEncryptionType 구성
    • 운영 체제 드라이브에 드라이브 암호화 유형 적용

SystemDrivesEncryptionType이 구성되지 않았다고 가정하면 예상되는 동작은 다음과 같습니다. 최신 대기 디바이스에서 자동 사용이 구성된 경우 OS 드라이브는 사용된 공간 전용 암호화를 사용하여 암호화됩니다. 최신 대기를 수행할 수 없는 디바이스에서 자동 사용이 구성된 경우 OS 드라이브는 전체 디스크 암호화를 사용하여 암호화됩니다. 결과는 BitLocker에 엔드포인트 보안 디스크 암호화 정책을 사용하든, BitLocker에 대한 엔드포인트 보호를 위한 디바이스 구성 프로필을 사용하든 동일합니다. 다른 끝 상태가 필요한 경우 설정 카탈로그를 사용하여 SystemDrivesEncryptionType을 구성하여 암호화 유형을 제어할 수 있습니다.

하드웨어가 최신 대기 모드 가능인지 확인하려면 명령 프롬프트에서 다음 명령을 실행합니다.

powercfg /a

디바이스가 최신 대기를 지원하는 경우 대기(S0 저전력 유휴) 네트워크 연결을 사용할 수 있음을 보여 줍니다.

대기 모드 상태 S0이 사용 가능한 powercfg 명령의 출력을 표시하는 명령 프롬프트 스크린샷.

디바이스가 가상 머신과 같은 최신 대기를 지원하지 않는 경우 대기(S0 저전력 유휴) 네트워크 연결이 지원되지 않음을 표시합니다.

대기 상태 S0을 사용할 수 없는 powercfg 명령의 출력을 표시하는 명령 프롬프트의 스크린샷

암호화 유형을 확인하려면 관리자 권한(관리자) 명령 프롬프트에서 다음 명령을 실행합니다.

manage-bde -status c:

'변환 상태' 필드는 암호화 유형을 사용된 공간만 암호화 또는 완전히 암호화됨으로 반영합니다.

전체 암호화된 변환 상태를 반영하는 manage-bde의 출력을 나타내는 관리 명령 프롬프트 스크린샷.

사용한 공간만 암호화를 반영하는 변환 상태의 manage-bde 출력을 나타내는 관리 명령 프롬프트의 스크린샷.

전체 디스크 암호화와 사용된 공간 전용 암호화 간에 디스크 암호화 유형을 변경하려면 설정 카탈로그 내에서 '운영 체제 드라이브에 드라이브 암호화 유형 적용' 설정을 사용합니다.

전체 또는 사용한 공간 전용 암호화 유형에서 선택할 수 있도록 운영 체제 드라이브에 드라이브 암호화 유형 적용 설정 및 드롭다운 목록을 표시하는 Intune 설정 카탈로그의 스크린샷.

복구 키에 대한 세부 정보 보기

Intune은 Microsoft Intune 관리 센터 내에서 Windows 10/11 디바이스에 대한 BitLocker 키 ID 및 복구 키를 볼 수 있도록 BitLocker에 대한 Microsoft Entra 블레이드에 대한 액세스를 제공합니다. 복구 키 보기 지원은 테넌트 연결 디바이스로 확장할 수도 있습니다.

액세스하려면 디바이스에 Microsoft Entra 위해 에스크로된 키가 있어야 합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스>모든 디바이스를 선택합니다.

  3. 목록에서 디바이스를 선택한 다음, 모니터 아래에서 복구 키를 선택합니다.

  4. 복구 키 표시를 누릅니다. 이를 선택하면 'KeyManagement' 작업에서 감사 로그 항목이 생성됩니다.

    Microsoft Entra 키를 사용할 수 있는 경우 다음 정보를 사용할 수 있습니다.

    • BitLocker 키 ID
    • BitLocker 복구 키
    • 드라이브 유형

    키가 Microsoft Entra 없는 경우 Intune은 이 디바이스에 대해 BitLocker 키를 찾을 수 없음을 표시합니다.

참고

현재 Microsoft Entra ID 디바이스당 최대 200개의 BitLocker 복구 키를 지원합니다. 이 한도에 도달하면 디바이스에서 암호화를 시작하기 전에 복구 키의 백업 실패로 인해 자동 암호화가 실패합니다.

BitLocker에 대한 정보는 BitLocker CSP(구성 서비스 공급자)를 사용하여 획득합니다. BitLocker CSP는 Windows 10 버전 1703 이상, Windows 10 Pro 버전 1809 이상, Windows 11에서 지원됩니다.

IT 관리자는 디바이스 BitLocker 복구 키를 microsoft.directory/bitlockerKeys/key/read보려면 Microsoft Entra ID 내에 특정 권한이 있어야 합니다. Microsoft Entra ID 내에 클라우드 디바이스 관리자, 기술 지원팀 관리자 등을 포함하여 이 권한과 함께 제공되는 몇 가지 역할이 있습니다. 어떤 Microsoft Entra 역할에 어떤 권한이 있는지 에 대한 자세한 내용은 기본 제공 역할 Microsoft Entra 참조하세요.

모든 BitLocker 복구 키 액세스를 감사합니다. 감사 로그 항목에 관한 자세한 내용은 Azure Portal 감사 로그를 참조하세요.

참고

BitLocker로 보호되는 Microsoft Entra 조인된 디바이스에 대한 Intune 개체를 삭제하면 삭제는 Intune 디바이스 동기화를 트리거하고 운영 체제 볼륨에 대한 키 보호기를 제거합니다. 키 보호기를 제거하면 BitLocker가 해당 볼륨에서 일시 중단된 상태가 됩니다. Microsoft Entra 조인된 디바이스에 대한 BitLocker 복구 정보가 Microsoft Entra 컴퓨터 개체에 연결되고 삭제하면 BitLocker 복구 이벤트에서 복구할 수 없게 될 수 있기 때문입니다.

테넌트 연결 디바이스에 대한 복구 키 보기

테넌트 연결 시나리오를 구성한 경우 Microsoft Intune 테넌트 연결 디바이스에 대한 복구 키 데이터를 표시할 수 있습니다.

  • 테넌트 연결 디바이스에 대한 복구 키 표시를 지원하려면 구성 관리자 사이트에서 버전 2107 이상을 실행해야 합니다. 2107을 실행하는 사이트의 경우 Microsoft Entra 조인된 디바이스를 지원하기 위해 업데이트 롤업을 설치해야 합니다. KB11121541 참조하세요.

  • 복구 키를 보려면 Intune 계정에 BitLocker 키를 볼 수 있는 Intune RBAC 권한이 있어야 하며 읽기 권한 읽기 BitLocker 복구 키 권한을 사용하여 컬렉션 역할 Configuration Manager 관련 권한이 있는 온-프레미스 사용자와 > 연결되어야 합니다. 자세한 내용은 Configuration Manager용 역할 기반 관리 구성을 참조하세요.

BitLocker 복구 키 순환

Intune 디바이스 작업을 사용하여 Windows 10 버전 1909, Windows 11을 실행하는 디바이스의 BitLocker 복구 키를 원격으로 순환할 수 있습니다.

필수 구성 요소

BitLocker 복구 키의 순환을 지원하려면 디바이스가 다음 필수 구성 요소를 충족해야 합니다.

  • 디바이스에서 Windows 10 버전 1909 이상이나 Windows 11을 실행해야 합니다.

  • Microsoft Entra 조인 및 Microsoft Entra 하이브리드 조인 디바이스는 BitLocker 정책 구성을 통해 키 회전을 사용하도록 설정해야 합니다.

    • 클라이언트 기반 복구 암호 회전을 사용하여 Microsoft Entra 조인된 디바이스에서 회전 사용 또는 Microsoft Entra ID 및 Microsoft Entra 조인된 하이브리드 조인 디바이스에서 회전 사용
    • BitLocker 복구 정보를 사용으로 Microsoft Entra ID 저장
    • BitLocker를 필수로 설정하기 전에 복구 정보를 Microsoft Entra ID 저장

BitLocker 배포 및 요구 사항에 대한 자세한 내용은 BitLocker 배포 비교 차트를 참조하세요.

BitLocker 복구 키를 순환하려면

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스>모든 디바이스를 선택합니다.

  3. 관리하는 디바이스 목록에서 디바이스를 선택한 다음 BitLocker 키 회전 디바이스 원격 작업을 선택합니다. 이 옵션을 사용할 수 있지만 표시되지 않으면 줄임표(...) 및 BitLocker 키 회전을 선택합니다.

  4. 디바이스의 개요 페이지에서 BitLocker 키 순환을 선택합니다. 이 옵션이 보이지 않으면 줄임표()를 선택하여 추가 옵션을 표시한 다음, BitLocker 키 순환 디바이스 원격 작업을 선택하세요.

    더 많은 옵션을 보려면 줄임표를 선택

다음 단계