사용자 BitLocker 암호화 예외 관리
Microsoft BitLocker 관리 및 모니터링(MBAM)은 드라이브를 암호화할 필요가 없거나 원하지 않는 사용자를 제외하여 BitLocker 보호를 관리하는 데 사용할 수 있습니다.
BitLocker 보호에서 사용자를 제외하려면 먼저 조직에서 이러한 예외를 지원하는 인프라를 만들어야 합니다. 지원 인프라에는 예외를 요청하는 연락처 전화 번호, 웹 페이지 또는 메일 주소가 포함될 수 있습니다. 또한 제외된 사용자를 위해 특별히 만든 그룹 정책 보안 그룹에 추가해야 합니다. 이 보안 그룹의 구성원이 컴퓨터에 로그온하면 사용자 그룹 정책 사용자가 BitLocker 보호에서 제외되었음을 표시합니다. 사용자 정책은 컴퓨터 정책을 덮어쓰고 컴퓨터는 BitLocker 암호화에서 제외된 상태로 유지됩니다.
참고 컴퓨터가 이미 BitLocker로 보호된 경우 사용자 예외 정책은 적용되지 않습니다.
다음 표에서는 예외를 설정하는 방법에 따라 BitLocker 보호가 적용되는 방법을 보여 줍니다.
| 사용자 상태 | 제외되지 않는 컴퓨터 | 컴퓨터 제외 |
|---|---|---|
사용자가 제외되지 않음 |
BitLocker 보호는 컴퓨터에 적용됩니다. |
BitLocker 보호는 컴퓨터에 적용되지 않습니다. |
사용자 제외 |
BitLocker 보호는 컴퓨터에 적용되지 않습니다. |
BitLocker 보호는 컴퓨터에 적용되지 않습니다. |
BitLocker 암호화에서 사용자를 제외하려면
BitLocker 암호화에서 사용자 예외를 관리하는 데 사용할 Active Directory Domain Services 보안 그룹을 만듭니다.
MBAM 그룹 정책 템플릿을 사용하여 그룹 정책 개체 설정을 만듭니다. 그룹 정책 개체를 이전 단계에서 만든 Active Directory 그룹과 연결합니다. 사용자가 BitLocker 암호화에서 예외를 요청할 수 있도록 하는 데 필요한 정책 설정에 대한 자세한 내용은 MBAM 1.0 그룹 정책 요구 사항 계획에서 사용자 예외 정책 구성 섹션을 참조하세요.
BitLocker 제외 사용자에 대한 보안 그룹을 만든 후 예외를 요청하는 사용자의 이름을 이 그룹에 추가합니다. 사용자가 BitLocker에서 제어하는 컴퓨터에 로그온하면 MBAM 클라이언트는 사용자 예외 정책 설정을 확인하고 사용자가 BitLocker 예외 보안 그룹의 일부인지 여부에 따라 보호를 일시 중단합니다.
참고 공유 컴퓨터 시나리오에서는 사용자 예외와 관련하여 특별한 고려 사항이 필요합니다. 제외되지 않은 사용자가 제외된 사용자와 공유된 컴퓨터에 로그온하는 경우 컴퓨터가 암호화될 수 있습니다.
사용자가 BitLocker 암호화에서 예외를 요청할 수 있도록 하려면
MBAM 정책 템플릿을 사용하여 사용자 예외 정책을 구성한 후에는 사용자가 MBAM 클라이언트를 통해 BitLocker 보호에서 예외를 요청할 수 있습니다.
사용자가 MBAM 하드웨어 호환성 목록에서 호환 됨으로 표시된 컴퓨터에 로그온하면 컴퓨터가 암호화될 것이라는 알림이 사용자에게 표시됩니다. 사용자는 예외 요청을 선택하고 나중에를 선택하여 암호화를 연기하거나 시작을 선택하여 BitLocker 암호화를 수락할 수 있습니다.
참고요청 예외 를 선택하면 사용자 예외 정책에서 설정된 최대 시간까지 BitLocker 보호가 연기됩니다.
사용자가 요청 예외를 선택하면 조직의 BitLocker 관리 그룹에 문의하라는 알림이 사용자에게 표시됩니다. 사용자 예외 정책 구성 방법에 따라 사용자에게 다음 연락처 방법 중 하나 이상이 제공됩니다.
전화 번호
웹 페이지 URL
우편 주소
요청을 제출한 후 MBAM 관리자는 BitLocker 예외 Active Directory 그룹에 사용자를 추가하는 것이 적절한지 결정할 수 있습니다.
참고 사용자 예외 정책의 연기 시간 제한이 만료되면 사용자에게 암호화 정책에 대한 예외를 요청하는 옵션이 표시되지 않습니다. 이 시점에서 사용자는 BitLocker Protection에서 예외를 받으려면 MBAM 관리자에게 직접 문의해야 합니다.