Intune 엔드포인트 보안에 대한 디스크 암호화 정책 설정

엔드포인트 보안 정책의 일부로 Intune 엔드포인트 보안 노드에서 디스크 암호화 정책에 대한 프로필에서 구성할 수 있는 설정을 확인합니다.

적용 대상:

  • macOS
  • Windows 10/11

지원되는 플랫폼 및 프로필:

  • macOS:
    • 프로필: FileVault
  • Windows 10 이상:
    • 프로필: BitLocker

FileVault

암호화

FileVault 사용

  • 구성되지 않음 (기본값)

  • - macOS 10.13 이상을 실행하는 디바이스에서 FileVault와 함께 XTS-AES 128을 사용하여 전체 디스크 암호화를 사용하도록 설정합니다. FileVault는 사용자가 디바이스에서 로그오프할 때 사용하도록 설정됩니다.

    예로 설정하면 FileVault에 대한 추가 설정을 구성할 수 있습니다.

    • 복구 키 유형개인 키 복구 키는 디바이스에 대해 만들어집니다. 개인 키에 대해 다음 설정을 구성합니다.

      • 개인 복구 키 회전
        디바이스의 개인 복구 키가 회전하는 빈도를 지정합니다. 기본값인 구성되지 않음 또는 1~12 개월 값을 선택할 수 있습니다 .
      • 개인 복구 키에 대한 에스크로 위치 설명
        개인 복구 키를 검색하는 방법을 설명하는 짧은 메시지를 사용자에게 지정합니다. 암호가 잊혀지면 개인 복구 키를 입력하라는 메시지가 표시되면 로그인 화면에 이 메시지가 표시됩니다.
    • 바이패스할 수 있는 횟수
      사용자가 로그인하기 위해 FileVault가 필요하기 전에 사용자가 FileVault를 사용하도록 설정하라는 메시지를 무시할 수 있는 횟수를 설정합니다.

      • 구성되지 않음 (기본값) - 다음 로그인이 허용되기 전에 디바이스의 암호화가 필요합니다.
      • 1 ~ 10 - 사용자가 디바이스에서 암호화를 요구하기 전에 프롬프트를 1~10번 무시하도록 허용합니다.
      • 제한 없음, 항상 프롬프트 - 사용자에게 FileVault를 사용하도록 설정하라는 메시지가 표시되지만 암호화는 필요하지 않습니다.
    • 로그아웃할 때까지 지연 허용

      • 구성되지 않음 (기본값)
      • - 사용자가 로그아웃할 때까지 FileVault를 사용하도록 설정하는 프롬프트를 연기합니다.
    • 로그아웃 시 프롬프트 사용 안 함
      로그아웃할 때 FileVault를 사용하도록 요청하는 사용자에게 메시지를 표시하지 않도록 합니다. 사용 안 함으로 설정하면 로그아웃 시 프롬프트가 비활성화되고 대신 로그인할 때 사용자에게 메시지가 표시됩니다.

      • 구성되지 않음 (기본값)
      • - 로그아웃 시 나타나는 FileVault를 사용하도록 설정하려면 프롬프트를 사용하지 않도록 설정합니다.
    • 복구 키 숨기기
      암호화하는 동안 macOS 디바이스의 사용자로부터 개인 복구 키를 숨깁니다. 디스크를 암호화한 후 사용자는 모든 디바이스를 사용하여 지원되는 플랫폼에서 Intune 회사 포털 웹 사이트 또는 회사 포털 앱을 통해 개인 복구 키를 볼 수 있습니다.

      • 구성되지 않음 (기본값)
      • - 디바이스 암호화 중에 개인 복구 키를 숨깁니다.

BitLocker

BitLocker – 기본 설정

  • OS 및 고정 데이터 드라이브에 대한 전체 디스크 암호화 사용
    CSP: BitLocker - RequireDeviceEncryption

    이 정책이 적용되기 전에 드라이브를 암호화한 경우 추가 작업이 수행되지 않습니다. 암호화 방법 및 옵션이 이 정책의 암호화 방법과 일치하는 경우 구성은 성공을 반환해야 합니다. 현재 위치 BitLocker 구성 옵션이 이 정책과 일치하지 않으면 구성에서 오류가 반환될 수 있습니다.

    이미 암호화된 디스크에 이 정책을 적용하려면 드라이브의 암호를 해독하고 MDM 정책을 다시 적용합니다. Windows 기본값은 BitLocker 드라이브 암호화를 요구하지 않는 것입니다. 그러나 Azure AD MSA(조인 및 Microsoft 계정) 등록/로그인 자동 암호화에서 XTS-AES 128비트 암호화에서 BitLocker를 사용하도록 설정할 수 있습니다.

    • 구성되지 않음 (기본값) - BitLocker 적용이 발생하지 않습니다.
    • - BitLocker 사용을 적용합니다.
  • 스토리지 카드를 암호화해야 합니다(모바일 전용).
    CSP: BitLocker - RequireStorageCardEncryption

    이 설정은 Windows Mobile 및 Mobile Enterprise SKU 디바이스에만 적용됩니다.

    • 구성되지 않음 (기본값) - 설정은 스토리지 카드 암호화가 필요하지 않은 OS 기본값으로 반환됩니다.
    • - 모바일 디바이스에는 스토리지 카드에 대한 암호화가 필요합니다.

    참고

    Windows 10 MobileWindows Phone 8.1에 대한 지원은 2020년 8월에 종료되었습니다.

  • 타사 암호화에 대한 프롬프트 숨기기
    CSP: BitLocker - AllowWarningForOtherDiskEncryption

    타사 암호화 제품으로 이미 암호화된 시스템에서 BitLocker를 사용하도록 설정하면 디바이스를 사용할 수 없게 될 수 있습니다. 데이터 손실이 발생할 수 있으며 Windows를 다시 설치해야 할 수 있습니다. 타사 암호화가 설치되거나 사용하도록 설정된 디바이스에서 BitLocker를 사용하도록 설정하지 않는 것이 좋습니다.

    기본적으로 BitLocker 설치 마법사는 사용자에게 타사 암호화가 없는지 확인하라는 메시지를 표시합니다.

    • 구성되지 않음 (기본값) – BitLocker 설치 마법사에 경고가 표시되고 사용자에게 타사 암호화가 없는지 확인하라는 메시지가 표시됩니다.
    • - 사용자로부터 BitLocker 설정 마법사 프롬프트를 숨깁니다.

    BitLocker 자동 사용 기능이 필요한 경우 필요한 프롬프트가 자동 사용 워크플로를 중단하므로 타사 암호화 경고를 숨겨야 합니다.

    예로 설정하면 다음 설정을 구성할 수 있습니다.

    • Autopilot 중에 표준 사용자가 암호화를 사용하도록 허용
      CSP: BitLocker - AllowStandardUserEncryption

      • 구성되지 않음 (기본값) – 설정은 BitLocker를 사용하도록 설정하기 위해 로컬 관리자 액세스 권한이 필요한 클라이언트 기본값으로 남아 있습니다.
      • - AADJ(Azure Active Directory Join) 자동 사용 시나리오 동안 사용자는 BitLocker를 사용하도록 설정하기 위해 로컬 관리자가 될 필요가 없습니다.

      자동이 아닌 사용 및 Autopilot 시나리오의 경우 BitLocker 설치 마법사를 완료하려면 사용자가 로컬 관리자여야 합니다.

  • 클라이언트 기반 복구 암호 회전 구성
    CSP: BitLocker - ConfigureRecoveryPasswordRotation

    작업 계정 추가(AWA, 공식적으로 작업 공간 조인됨) 디바이스는 키 회전에 대해 지원되지 않습니다.

    • 구성되지 않음 (기본값) – 클라이언트는 BitLocker 복구 키를 회전하지 않습니다.
    • Disabled
    • Azure AD 조인된 디바이스
    • Azure AD 및 하이브리드 조인 디바이스

BitLocker - 고정 드라이브 설정

  • BitLocker 고정 드라이브 정책
    CSP: BitLocker - EncryptionMethodByDriveType

    • 고정 드라이브 복구
      CSP: BitLocker - FixedDrivesRecoveryOptions

      필요한 시작 키 정보가 없는 경우 BitLocker로 보호되는 고정 데이터 드라이브를 복구하는 방법을 제어합니다.

      • 구성되지 않음 (기본값) - DRA(데이터 복구 에이전트)를 포함하여 기본 복구 옵션이 지원됩니다. 최종 사용자는 복구 옵션을 지정할 수 있으며 복구 정보는 Azure Active Directory에 백업되지 않습니다.
      • 구성 – 액세스를 사용하도록 설정하여 다양한 드라이브 복구 기술을 구성합니다.

      구성으로 설정하면 다음 설정을 사용할 수 있습니다.

      • 복구 키의 사용자 만들기

        • 차단됨 (기본값)
        • 필수
        • 허용됨
      • BitLocker 복구 패키지 구성

        • 암호 및 키 (기본값) - 관리자와 사용자가 보호된 드라이브의 잠금을 해제하는 데 사용하는 BitLocker 복구 암호와 데이터 복구를 위해 관리자가 사용하는 복구 키 패키지를 모두 Active Directory에 포함합니다.
        • 암호만 - 필요한 경우 복구 키 패키지에 액세스할 수 없을 수 있습니다.
      • Azure AD에 복구 정보를 백업하려면 디바이스 필요

        • 구성되지 않음(기본값) - Azure AD 대한 복구 키 백업이 실패하더라도 BitLocker 사용이 완료됩니다. 이로 인해 복구 정보가 외부에 저장되지 않을 수 있습니다.
        • - 복구 키가 Azure Active Directory에 성공적으로 저장될 때까지 BitLocker는 사용을 완료하지 않습니다.
      • 복구 암호의 사용자 만들기

        • 차단됨 (기본값)
        • 필수
        • 허용됨
      • BitLocker 설정 중 복구 옵션 숨기기

        • 구성되지 않음 (기본값) - 사용자가 추가 복구 옵션에 액세스할 수 있도록 허용합니다.
        • - 최종 사용자가 BitLocker 설치 마법사 중에 복구 키 인쇄와 같은 추가 복구 옵션을 선택하지 못하도록 차단합니다.
      • 복구 후 BitLocker를 사용하도록 설정하여 저장

        • 구성되지 않음 (기본값)
      • DRA(인증서 기반 데이터 복구 에이전트) 사용 차단

        • 구성되지 않음 (기본값) - DRA 사용을 설정하도록 허용합니다. DRA를 설정하려면 엔터프라이즈 PKI 및 그룹 정책 개체가 DRA 에이전트 및 인증서를 배포해야 합니다.
        • - DRA(Data Recovery Agent)를 사용하여 BitLocker 사용 드라이브를 복구하는 기능을 차단합니다.
    • BitLocker로 보호되지 않는 고정 데이터 드라이브에 대한 쓰기 액세스 차단
      CSP: BitLocker - FixedDrivesRequireEncryption
      이 설정은 BitLocker 고정 드라이브 정책이 구성으로 설정된 경우에 사용할 수 있습니다.

      • 구성되지 않음 (기본값) - 암호화되지 않은 고정 드라이브에 데이터를 쓸 수 있습니다.
      • - Windows는 BitLocker로 보호되지 않는 고정 드라이브에 데이터를 쓸 수 없습니다. 고정 드라이브가 암호화되지 않은 경우 쓰기 액세스 권한이 부여되기 전에 사용자가 드라이브에 대한 BitLocker 설정 마법사를 완료해야 합니다.
    • 고정 데이터 드라이브에 대한 암호화 방법 구성
      CSP: BitLocker - EncryptionMethodByDriveType

      고정 데이터 드라이브 디스크에 대한 암호화 방법 및 암호 강도를 구성합니다. XTS- AES 128비 트는 Windows 기본 암호화 방법 및 권장 값입니다.

      • 구성되지 않음 (기본값)
      • AES 128비트 CBC
      • AES 256비트 CBC
      • AES 128비트 XTS
      • AES 256비트 XTS

BitLocker - OS 드라이브 설정

  • BitLocker 시스템 드라이브 정책
    CSP: BitLocker - EncryptionMethodByDriveType

    • 구성 (기본값)
    • 구성되지 않음

    구성으로 설정하면 다음 설정을 구성할 수 있습니다.

    • 시작 인증 필요
      CSP: BitLocker - SystemDrivesRequireStartupAuthentication

      • 구성되지 않음 (기본값)
      • - TPM(신뢰할 수 있는 플랫폼 모듈) 또는 시작 PIN 요구 사항을 포함하여 시스템 시작 시 추가 인증 요구 사항을 구성합니다.

      예로 설정하면 다음 설정을 구성할 수 있습니다.

      • 호환되는 TPM 시작
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        BitLocker에 대한 TPM을 요구하는 것이 좋습니다. 이 설정은 BitLocker를 처음 사용하도록 설정할 때만 적용되며 BitLocker를 이미 사용하도록 설정한 경우에는 아무런 효과가 없습니다.

        • 차단됨 (기본값) - BitLocker는 TPM을 사용하지 않습니다.
        • 필수 - BitLocker는 TPM이 있고 사용할 수 있는 경우에만 사용하도록 설정합니다.
        • 허용 됨 - BitLocker가 있는 경우 TPM을 사용합니다.
      • 호환되는 TPM 시작 PIN
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • 차단됨 (기본값) - PIN 사용을 차단합니다.
        • 필수 - BitLocker를 사용하도록 설정하려면 PIN 및 TPM이 있어야 합니다.
        • 허용 됨 - BitLocker는 TPM이 있는 경우 를 사용하고 사용자가 시작 PIN을 구성할 수 있도록 허용합니다.

        자동 사용 시나리오의 경우 차단 으로 설정해야 합니다. 자동 사용 시나리오(Autopilot 포함)는 사용자 상호 작용이 필요한 경우 성공하지 못합니다.

      • 호환되는 TPM 시작 키
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • 차단됨 (기본값) - 시작 키 사용을 차단합니다.
        • 필수 - BitLocker를 사용하도록 설정하려면 시작 키와 TPM이 있어야 합니다.
        • 허용 됨 - BitLocker는 TPM이 있는 경우 를 사용하고 시작 키(예: USB 드라이브)를 사용하여 드라이브의 잠금을 해제할 수 있습니다.

        자동 사용 시나리오의 경우 차단 으로 설정해야 합니다. 자동 사용 시나리오(Autopilot 포함)는 사용자 상호 작용이 필요한 경우 성공하지 못합니다.

      • 호환되는 TPM 시작 키 및 PIN
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • 차단됨 (기본값) - 시작 키 및 PIN 조합 사용을 차단합니다.
        • 필수 - BitLocker를 사용하도록 설정하려면 시작 키와 PIN이 있어야 합니다.
        • 허용 됨 - BitLocker는 TPM이 있는 경우 를 사용하고 시작 키와 PIN 조합을 허용합니다.

        자동 사용 시나리오의 경우 차단 으로 설정해야 합니다. 자동 사용 시나리오(Autopilot 포함)는 사용자 상호 작용이 필요한 경우 성공하지 못합니다.

      • TPM이 호환되지 않는 디바이스에서 BitLocker 사용 안 함
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        TPM이 없는 경우 BitLocker를 시작하려면 암호 또는 USB 드라이브가 필요합니다.

        이 설정은 BitLocker를 처음 사용하도록 설정할 때만 적용되며 BitLocker를 이미 사용하도록 설정한 경우에는 아무런 효과가 없습니다.

        • 구성되지 않음 (기본값)
        • - 호환되는 TPM 칩 없이 BitLocker가 구성되지 않도록 차단합니다.
      • 미리 부팅 복구 메시지 및 URL 사용
        CSP: BitLocker - SystemDrivesRecoveryMessage구성

        • 구성되지 않음 (기본값) – 기본 BitLocker 사전 부팅 복구 정보를 사용합니다.
        • – 사용자가 복구 암호를 찾는 방법을 이해하는 데 도움이 되도록 사용자 지정 사전 부팅 복구 메시지 및 URL의 구성을 사용하도록 설정합니다. 사용자가 복구 모드에서 PC를 잠근 경우 부팅 전 메시지 및 URL이 표시됩니다.

        예로 설정하면 다음 설정을 구성할 수 있습니다.

        • Preboot 복구 메시지
          사용자 지정 부팅 전 복구 메시지를 지정합니다.

        • Preboot 복구 URL
          사용자 지정 부팅 전 복구 URL을 지정합니다.

      • 시스템 드라이브 복구
        CSP: BitLocker - SystemDrivesRecoveryOptions

        • 구성되지 않음 (기본값)
        • 구성 - 추가 설정의 구성을 사용하도록 설정합니다.

        구성으로 설정하면 다음 설정을 사용할 수 있습니다.

        • 복구 키의 사용자 만들기

          • 차단됨 (기본값)
          • 필수
          • 허용됨
        • BitLocker 복구 패키지 구성

          • 암호 및 키 (기본값) - 관리자와 사용자가 보호된 드라이브의 잠금을 해제하는 데 사용하는 BitLocker 복구 암호와 데이터 복구를 위해 관리자가 사용하는 복구 키 패키지를 모두 Active Directory에 포함합니다.
          • 암호만 - 필요한 경우 복구 키 패키지에 액세스할 수 없을 수 있습니다.
        • Azure AD에 복구 정보를 백업하려면 디바이스 필요

          • 구성되지 않음(기본값) - Azure AD 대한 복구 키 백업이 실패하더라도 BitLocker 사용이 완료됩니다. 이로 인해 복구 정보가 외부에 저장되지 않을 수 있습니다.
          • - 복구 키가 Azure Active Directory에 성공적으로 저장될 때까지 BitLocker는 사용을 완료하지 않습니다.
        • 복구 암호의 사용자 만들기

          • 차단됨 (기본값)
          • 필수
          • 허용됨
        • BitLocker 설정 중 복구 옵션 숨기기

          • 구성되지 않음 (기본값) - 사용자가 추가 복구 옵션에 액세스할 수 있도록 허용합니다.
          • - 최종 사용자가 BitLocker 설치 마법사 중에 복구 키 인쇄와 같은 추가 복구 옵션을 선택하지 못하도록 차단합니다.
        • 복구 후 BitLocker를 사용하도록 설정하여 저장

          • 구성되지 않음 (기본값)
        • DRA(인증서 기반 데이터 복구 에이전트) 사용 차단

          • 구성되지 않음 (기본값) - DRA 사용을 설정하도록 허용합니다. DRA를 설정하려면 엔터프라이즈 PKI 및 그룹 정책 개체가 DRA 에이전트 및 인증서를 배포해야 합니다.
          • - DRA(Data Recovery Agent)를 사용하여 BitLocker 사용 드라이브를 복구하는 기능을 차단합니다.
      • 최소 PIN 길이
        CSP: BitLocker - SystemDrivesMinimumPINLength

        BitLocker를 사용하도록 설정하는 동안 TPM + PIN이 필요한 경우 최소 시작 PIN 길이를 지정합니다. PIN 길이는 4~20자리여야 합니다.

        이 설정을 구성하지 않으면 사용자는 길이(4~20자리)의 시작 PIN을 구성할 수 있습니다.

        이 설정은 BitLocker를 처음 사용하도록 설정할 때만 적용되며 BitLocker를 이미 사용하도록 설정한 경우에는 아무런 효과가 없습니다.

    • 운영 체제 드라이브에 대한 암호화 방법 구성
      CSP: BitLocker - EncryptionMethodByDriveType

      OS 드라이브에 대한 암호화 방법 및 암호 강도를 구성합니다. XTS- AES 128비 트는 Windows 기본 암호화 방법 및 권장 값입니다.

      • 구성되지 않음 (기본값)
      • AES 128비트 CBC
      • AES 256비트 CBC
      • AES 128비트 XTS
      • AES 256비트 XTS

BitLocker - 이동식 드라이브 설정

  • BitLocker 이동식 드라이브 정책
    CSP: BitLocker - EncryptionMethodByDriveType

    • 구성되지 않음 (기본값)
    • 구성

    구성으로 설정하면 다음 설정을 구성할 수 있습니다.

    • 이동식 데이터 드라이브에 대한 암호화 방법 구성
      CSP: BitLocker - EncryptionMethodByDriveType

      이동식 데이터 드라이브 디스크에 대해 원하는 암호화 방법을 선택합니다.

      • 구성되지 않음 (기본값)
      • AES 128비트 CBC
      • AES 256비트 CBC
      • AES 128비트 XTS
      • AES 256비트 XTS
    • BitLocker로 보호되지 않는 이동식 데이터 드라이브에 대한 쓰기 액세스 차단
      CSP: BitLocker - 이동식 드라이브RequireEncryption

      • 구성되지 않음 (기본값) - 암호화되지 않은 이동식 드라이브에 데이터를 쓸 수 있습니다.

      • - Windows는 BitLocker로 보호되지 않는 이동식 드라이브에 데이터를 쓸 수 없습니다. 삽입된 이동식 드라이브가 암호화되지 않은 경우 사용자는 드라이브에 쓰기 액세스 권한이 부여되기 전에 BitLocker 설정 마법사를 완료해야 합니다.

      • BitLocker로 보호되지 않는 이동식 데이터 드라이브에 대한 쓰기 액세스 차단
        CSP: BitLocker - 이동식 드라이브RequireEncryption

        • 구성되지 않음 (기본값) - 모든 BitLocker 암호화 드라이브를 사용할 수 있습니다.
        • - 조직 소유의 컴퓨터에서 암호화되지 않은 한 이동식 드라이브에 대한 액세스를 차단합니다.

다음 단계

디스크 암호화에 대한 엔드포인트 보안 정책