Intune을 사용하여 Windows 장치에 대한 BitLocker 정책 관리

Intune을 사용하여 Windows 10/11을 실행하는 디바이스에서 BitLocker 드라이브 암호화를 구성할 수 있습니다.

BitLocker는 Windows 10/11을 실행하는 디바이스에서 사용할 수 있습니다. BitLocker에 대한 일부 설정의 경우, 지원되는 TPM이 디바이스에 있어야 합니다.

다음 정책 유형 중 하나를 사용하여 관리 디바이스에서 BitLocker를 구성합니다.

Intune은 모든 관리형 디바이스에서 디바이스의 암호화 상태에 관한 세부 정보를 제시하는 기본 제공 암호화 보고서도 제공합니다. Intune이 BitLocker를 사용하여 Windows 디바이스를 암호화한 후에는 암호화 보고서를 볼 때 BitLocker 복구 키를 보고 관리할 수 있습니다.

또한 Azure AD(Azure Active Directory)에 있는 디바이스의 BitLocker에 대한 중요한 정보에 액세스할 수 있습니다.

BitLocker를 관리할 권한

Intune에서 BitLocker를 관리하려면 계정에 적용 가능한 Intune RBAC(역할 기반 액세스 제어) 권한이 있어야 합니다.

원격 작업 범주의 일부인 BitLocker 권한 그리고 이 권한을 부여하는 기본 제공 RBAC 역할은 다음과 같습니다.

  • BitLocker 키 순환
    • 지원 센터 운영자

정책 만들기 및 배포

다음 절차 중 하나에 따라 원하는 정책 유형을 만듭니다.

BitLocker에 대한 엔드포인트 보안 정책 만들기

  1. Microsoft Endpoint Manager 관리 센터에 로그인합니다.

  2. 엔드포인트 보안>디스크 암호화>정책 만들기를 선택합니다.

  3. 다음 옵션을 설정합니다.

    1. 플랫폼: Windows 10/11
    2. 프로필: BitLocker

    BitLocker 프로필 선택

  4. 구성 설정 페이지에서 비즈니스 요구에 맞게 BitLocker의 설정을 구성합니다.

    다음을 선택합니다.

  5. 범위(태그) 페이지에서 범위 태그 선택을 선택하여 태그 선택 창을 열고 프로필에 범위 태그를 할당합니다.

    다음을 선택하여 계속합니다.

  6. 할당 페이지에서 이 프로필을 받을 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 디바이스 프로필 할당을 참조하세요.

    다음을 선택합니다.

  7. 검토 + 만들기 페이지에서 완료되면 만들기를 선택합니다. 사용자가 만든 프로필에 대한 정책 유형을 선택하면 목록에 새 프로필이 표시됩니다.

BitLocker의 디바이스 구성 프로필 만들기

  1. Microsoft Endpoint Manager 관리 센터에 로그인합니다.

  2. 디바이스 구성>구성 프로필>프로필 만들기를 선택합니다.

  3. 다음 옵션을 설정합니다.

    1. 플랫폼: Windows 10/11
    2. 프로필 유형: 엔드포인트 보호

    BitLocker 프로필 선택

  4. 구성 설정 페이지에서 Windows 암호화를 확장합니다.

    Windows 암호화 설정 선택

  5. 비즈니스 요구에 맞게 BitLocker의 설정을 구성합니다.

    BitLocker를 자동으로 사용 하도록 설정하려는 경우, 추가적인 필수 요소 및 사용해야 하는 특정 설정 구성에 대해서는 디바이스에서 자동으로 BitLocker 사용을 참조하세요.

  6. 다음을 선택하여 계속합니다.

  7. 추가 설정 구성을 완료한 다음 프로필을 저장합니다.

BitLocker 관리

BitLocker를 수신하는 디바이스에 대한 정보를 보려면 디스크 암호화 모니터링을 참조하세요.

디바이스에서 자동으로 BitLocker 사용

디바이스에서 BitLocker를 자동으로 사용하도록 BitLocker 정책을 구성할 수 있습니다. 즉, 사용자가 디바이스에서 로컬 관리자가 아닌 경우에도 최종 사용자에게 UI를 제공하지 않고 BitLocker를 사용할 수 있습니다. 엔드포인트 보안 디스크 암호화 정책의 BitLocker 프로필 또는 디바이스 구성 정책의 엔드포인트 보호 템플릿을 사용할 수 있습니다.

디바이스는 다음 필수 구성 요소를 충족하고, BitLocker를 자동으로 사용하도록 설정하기 위해 관련 설정을 수신해야 하며, TPM 시작 PIN 또는 키에 호환되지 않는 설정이 없어야 합니다.

디바이스 필수 구성 요소

BitLocker를 자동으로 사용하도록 설정하려면 디바이스가 다음 조건을 충족해야 합니다.

  • 최종 사용자가 관리자로 디바이스에 로그인하는 경우 디바이스에서 Windows 10 버전 1803 이상이나 Windows 11을 실행해야 합니다.
  • 최종 사용자가 표준 사용자로 디바이스에 로그인하는 경우 디바이스에서 Windows 10 버전 1809 이상이나 Windows 11을 실행해야 합니다.
  • 디바이스가 Azure AD에 조인되거나 하이브리드 Azure AD에 조인되어 있어야 합니다.
  • 디바이스에 TPM(신뢰할 수 있는 플랫폼 모듈) 1.2 이상이 포함되어 있어야 합니다.
  • BIOS 모드가 Native UEFI only(네이티브 UEFI 전용)로 설정되어 있어야 합니다.

BitLocker를 자동으로 사용하도록 설정하는 데 필요한 설정

BitLocker를 자동으로 사용하도록 설정하는 데 사용할 정책 유형에 따라 다음 설정을 구성합니다.

엔드포인트 보안 디스크 암호화 정책 - BitLocker 프로필에서 다음 설정을 구성합니다.

  • 타사 암호화 관련 프롬프트 숨기기 =
  • Autopilot 중에 표준 사용자가 암호화를 사용하도록 허용 =
  • 키 파일 만들기 = 필요 차단됨 또는 허용됨

디바이스 구성 정책 - Endpoint Protection 템플릿 또는 사용자 지정 설정 프로필에서 다음 설정을 구성합니다.

  • 다른 디스크 암호화에 대한 경고 = ’차단’.
  • Azure AD 조인 중에 표준 사용자가 암호화를 활성화하도록 허용 = ’허용’

다음 두 정책 유형의 설정 레이블과 옵션은 서로 다르지만, 둘 다 Windows 디바이스에서 BitLocker를 관리하는 Windows 암호화 CSP에 동일한 구성을 적용합니다.

전체 디스크 암호화와 사용한 공간 전용 암호화의 대비

세 가지 설정은 사용 공간 전용 또는 전체 디스크 암호화를 사용하여 OS 드라이브의 암호화 여부를 결정할 수 있습니다.

  • 디바이스의 하드웨어에 최신 대기 모드가 가능한지 여부
  • BitLocker에 대해 자동 지원이 구성되어 있는지 여부
    • ('다른 디스크 암호화에 대한 경고' = 차단 또는 '타사 암호화에 대한 메시지 숨기기' = 예)
  • SystemDrivesEncryptionType 구성
    • 운영 체제 드라이브에 드라이브 암호화 유형 적용

SystemDrivesEncryptionType이 구성되지 않은 경우 예상되는 방식은 다음과 같습니다. 최신 대기 모드 디바이스에서 자동 사용이 구성된 경우 OS 드라이브는 사용된 공간만 암호화를 사용하여 암호화됩니다. 최신 대기 모드가 지원되지 않는 디바이스에서 자동 사용이 구성된 경우 OS 드라이브는 전체 디스크 암호화를 사용하여 암호화됩니다. 결과는 BitLocker에 대해 엔드포인트 보안 디스크 암호화 정책을 사용하든지 또는 BitLocker에 대한 엔드포인트 보호를 위해 디바이스 구성 프로필을 사용하든지 동일합니다. 다른 최종 상태가 필요한 경우 아래에 표시된 설정 카탈로그를 사용하여 SystemDrivesEncryptionType을 구성해서 암호화 유형을 제어할 수 있습니다.

하드웨어가 최신 대기 모드 가능인지 확인하려면 명령 프롬프트에서 다음 명령을 실행합니다.

powercfg /a

디바이스가 최신 대기 모드를 지원하는 경우 대기(S0 저전력 유휴) 네트워크 연결 사용 가능으로 표시됩니다.

대기 모드 상태 S0이 사용 가능한 powercfg 명령의 출력을 표시하는 명령 프롬프트 스크린샷.

디바이스가 가상 컴퓨터와 같은 최신 대기 모드를 지원하지 않는 경우 대기(S0 저전력 유휴) 네트워크 연결은 지원되지 않는 것으로 표시됩니다.

대기 모드 상태 S0이 사용 불가능한 powercfg 명령 출력을 표시하는 명령 프롬프트 스크린샷.

암호화 유형을 확인하려면 관리자 권한(관리자) 명령 프롬프트에서 다음 명령을 실행합니다.

manage-bde -status c:

'변환 상태' 필드에는 암호화 유형이 사용한 공간만 암호화되거나 전체 암호화된 것으로 반영됩니다.

전체 암호화된 변환 상태를 반영하는 manage-bde의 출력을 나타내는 관리 명령 프롬프트 스크린샷.

사용한 공간만 암호화를 반영하는 변환 상태의 manage-bde 출력을 나타내는 관리 명령 프롬프트의 스크린샷.

전체 디스크 암호화와 사용한 공간 전용 암호화 간에 디스크 암호화 유형을 변경하려면 설정 카탈로그 내에서 '운영 체제 드라이브에 드라이브 암호화 유형 적용' 설정을 활용합니다.

전체 또는 사용한 공간 전용 암호화 유형에서 선택할 수 있도록 운영 체제 드라이브에 드라이브 암호화 유형 적용 설정 및 드롭다운 목록을 표시하는 Intune 설정 카탈로그의 스크린샷.

TPM 시작 PIN 또는 키

시작 PIN 또는 시작 키가 필요하도록 디바이스를 설정해서는 안 됩니다 .

디바이스에 TPM 시작 PIN 또는 시작 키가 필요한 경우 BitLocker가 자동으로 사용하도록 설정되지 않으며 최종 사용자가 BitLocker를 조작해야 합니다. TPM 시작 PIN 또는 키를 구성하는 설정은 엔드포인트 보호 템플릿과 BitLocker 정책 모두에서 사용할 수 있습니다. 기본적으로 이 정책은 이 설정을 구성하지 않습니다.

다음은 각 프로필 유형의 관련 설정입니다.

엔드포인트 보안 디스크 암호화 정책 - BitLocker 프로필의 BitLocker - OS 드라이브 설정 범주에서 BitLocker 시스템 드라이브 정책구성으로 설정되고 시작 인증 필수로 설정된 경우 다음 설정을 찾을 수 있습니다.

  • 호환되는 TPM 시작 - 허용됨 또는 필수로 구성
  • 호환되는 TPM 시작 PIN - 차단됨으로 구성
  • 호환되는 TPM 시작 키 - 차단됨으로 구성
  • 호환되는 TPM 시작 키 및 PIN - 차단됨으로 구성

디바이스 구성 정책 - 엔드포인트 보호 템플릿의 Windows 암호화 범주에서 다음 설정을 찾을 수 있습니다.

  • 호환되는 TPM 시작 - TPM 허용 또는 TPM 필수로 구성
  • 호환되는 TPM 시작 PIN - TPM을 사용한 시작 PIN 허용하지 않음으로 구성
  • 호환되는 TPM 시작 키 - TPM을 사용한 시작 키 허용하지 않음으로 구성
  • 호환되는 TPM 시작 키 및 PIN - TPM을 사용한 시작 키 및 PIN 허용하지 않음으로 구성

경고

엔드포인트 보안 또는 디바이스 구성 정책 둘 다 기본적으로 TPM 설정을 구성하지는 않지만, 엔드포인트용 Microsoft Defender의 보안 기준 일부 버전은 기본적으로 호환되는 TPM 시작 PIN호환되는 TPM 시작 키를 모두 구성합니다. 이러한 구성은 BitLocker의 자동 사용을 차단할 수 있습니다.

BitLocker를 자동으로 사용하도록 설정하려는 디바이스에 이 기준을 배포하는 경우 가능한 충돌에 대한 기준 구성을 검토합니다. 충돌을 제거하려면 기준을 다시 구성하여 충돌을 제거하거나, BitLocker의 자동 사용을 차단하는 TPM 설정을 구성하는 기준 인스턴스를 받지 못하도록 해당 디바이스를 제거합니다.

복구 키에 대한 세부 정보 보기

Intune은 Microsoft Endpoint Manager 관리 센터 내에서 Windows 10/11 디바이스의 BitLocker 키 ID와 복구 키를 볼 수 있도록 BitLocker의 Azure AD 블레이드에 대한 액세스를 제공합니다. 복구 키 보기 지원은 테넌트 연결 디바이스로 확장할 수도 있습니다.

디바이스에 액세스하려면 디바이스의 키를 Azure AD에 위탁해야 합니다.

  1. Microsoft Endpoint Manager 관리 센터에 로그인합니다.

  2. 디바이스>모든 디바이스를 선택합니다.

  3. 목록에서 디바이스를 선택한 다음, 모니터 아래에서 복구 키를 선택합니다.

  4. 복구 키 표시를 누릅니다. 이 확인란을 선택하면 ‘KeyManagement’ 활동 아래에 감사 로그 항목이 생성됩니다.

    키를 Azure AD에서 사용할 수 있는 경우 다음 정보를 사용할 수 있습니다.

    • BitLocker 키 ID
    • BitLocker 복구 키
    • 드라이브 유형

    키가 Azure AD에 없는 경우 Intune은 이 디바이스에 대한 BitLocker 키를 찾을 수 없음 메시지를 표시합니다.

참고

현재 Azure AD는 디바이스당 최대 200개 BitLocker 복구 키를 지원합니다. 이 한도에 도달하면 디바이스에서 암호화를 시작하기 전에 복구 키의 백업 실패로 인해 자동 암호화가 실패합니다.

BitLocker에 대한 정보는 BitLocker CSP(구성 서비스 공급자)를 사용하여 획득합니다. BitLocker CSP는 Windows 10 버전 1703 이상, Windows 10 Pro 버전 1809 이상, Windows 11에서 지원됩니다.

IT 관리자는 디바이스 BitLocker 복구 키 microsoft.directory/bitlockerKeys/key/read를 볼 수 있도록 Azure Active Directory 내에서 특정 권한을 보유해야 합니다. Azure AD 내에는 클라우드 디바이스 관리자, 기술 지원팀 관리자 등을 포함하여 이 권한과 함께 제공되는 몇 가지 역할이 있습니다. 어떤 Azure AD 역할에 어떤 권한이 있는지에 대한 자세한 내용은 Azure AD 역할 설명을 참조하세요.

모든 BitLocker 복구 키 액세스를 감사합니다. 감사 로그 항목에 관한 자세한 내용은 Azure Portal 감사 로그를 참조하세요.

참고

BitLocker로 보호되는 Azure AD 조인 디바이스에 대한 Intune 개체를 삭제하면 삭제는 Intune 디바이스 동기화를 트리거하고 운영 체제 볼륨에 대한 키 보호기를 제거합니다. 키 보호기를 제거하면 BitLocker가 해당 볼륨에서 일시 중단된 상태가 됩니다. 이는 Azure AD 가입 장치에 대한 BitLocker 복구 정보가 Azure AD 컴퓨터 개체에 연결되어 있고 이를 삭제하면 BitLocker 복구 이벤트에서 복구하지 못할 수 있기 때문에 필요합니다.

테넌트 연결 디바이스에 대한 복구 키 보기

테넌트 연결 시나리오를 구성한 경우 Microsoft Endpoint Manager는 테넌트 연결 장치에 대한 복구 키 데이터를 표시할 수 있습니다.

  • 테넌트 연결 디바이스에 대한 복구 키 표시를 지원하려면 구성 관리자 사이트에서 버전 2107 이상을 실행해야 합니다. 2107을 실행하는 사이트의 경우 Azure Active Directory 조인 디바이스를 지원하도록 업데이트 롤업을 설치해야 합니다. KB11121541을 참조하세요.

  • 복구 키를 보려면 Intune 계정에 BitLocker 키를 볼 수 있는 Intune RBAC 권한이 있어야 하며 읽기 권한 읽기 BitLocker 복구 키 권한과 함께 컬렉션 역할 Configuration Manager 관련 권한이 있는 온-프레미스 사용자와 > 연결되어야 합니다. 자세한 내용은 Configuration Manager용 역할 기반 관리 구성을 참조하세요.

BitLocker 복구 키 순환

Intune 디바이스 작업을 사용하여 Windows 10 버전 1909, Windows 11을 실행하는 디바이스의 BitLocker 복구 키를 원격으로 순환할 수 있습니다.

필수 구성 요소

BitLocker 복구 키의 순환을 지원하려면 디바이스가 다음 필수 구성 요소를 충족해야 합니다.

  • 디바이스에서 Windows 10 버전 1909 이상이나 Windows 11을 실행해야 합니다.

  • Azure AD 조인 및 하이브리드 조인 디바이스는 다음 BitLocker 정책 구성을 통해 사용하도록 설정된 키 순환을 지원해야 합니다.

    • 클라이언트 기반 복구 암호 순환: Azure AD 조인 디바이스에서 순환을 사용하도록 설정 또는 Azure AD 및 하이브리드 조인 디바이스에서 순환을 사용하도록 설정
    • Azure Active Directory에 BitLocker 복구 정보 저장: 사용
    • BitLocker를 사용하도록 설정하기 전에 Azure Active Directory에 복구 정보 저장: 필수

BitLocker 배포 및 요구 사항에 대한 자세한 내용은 BitLocker 배포 비교 차트를 참조하세요.

BitLocker 복구 키를 순환하려면

  1. Microsoft Endpoint Manager 관리 센터에 로그인합니다.

  2. 디바이스>모든 디바이스를 선택합니다.

  3. 관리하는 디바이스 목록에서 디바이스를 선택하고 자세히를 선택한 다음, BitLocker 키 순환 디바이스 원격 작업을 선택합니다.

  4. 디바이스의 개요 페이지에서 BitLocker 키 순환을 선택합니다. 이 옵션이 보이지 않으면 줄임표()를 선택하여 추가 옵션을 표시한 다음, BitLocker 키 순환 디바이스 원격 작업을 선택하세요.

    더 많은 옵션을 보려면 줄임표를 선택

다음 단계