MBAM 2.0 그룹 정책 요구 사항 계획

아티클
03/13/2023

Microsoft BitLocker MBAM(관리 및 모니터링) 클라이언트 컴퓨터를 관리하려면 조직에서 지원하려는 BitLocker 보호기의 유형을 고려한 다음 적용하려는 해당 그룹 정책 설정을 구성해야 합니다. 이 항목에서는 Microsoft BitLocker 관리 및 모니터링을 사용하여 엔터프라이즈에서 BitLocker 드라이브 암호화를 관리할 때 사용할 수 있는 그룹 정책 설정에 대해 설명합니다.

MBAM은 운영 체제 드라이브에 대해 다음과 같은 유형의 BitLocker 보호기를 지원합니다. TPM(신뢰할 수 있는 플랫폼 모듈), TPM + PIN, TPM + USB 키 및 TPM + PIN + USB 키, 암호, 숫자 암호 및 데이터 복구 에이전트. 암호 보호기는 Windows To Go 디바이스 및 TPM이 없는 Windows 8 디바이스에 대해서만 지원됩니다. MBAM은 MBAM이 설치되기 전에 운영 체제 볼륨이 암호화된 경우에만 TPM + USB 키 및 TPM + PIN + USB 키 보호기를 지원합니다.

MBAM은 고정 데이터 드라이브에 대해 암호, 자동 잠금 해제, 숫자 암호 및 데이터 복구 에이전트와 같은 유형의 BitLocker 보호기를 지원합니다.

숫자 암호 보호기는 볼륨 암호화의 일부로 자동으로 적용되며 구성할 필요가 없습니다.

중요
기본 Windows BitLocker 드라이브 암호화 그룹 정책 개체(GPO) 설정은 MBAM에서 사용되지 않으며 사용하도록 설정하면 충돌 동작이 발생할 수 있습니다. MBAM이 BitLocker를 관리할 수 있도록 하려면 MBAM 그룹 정책 템플릿을 설치한 후에만 MBAM 그룹 정책 설정을 정의해야 합니다.

향상된 시작 PIN에는 대문자, 소문자, 숫자 등의 문자가 포함될 수 있습니다. BitLocker와 달리 MBAM은 향상된 PIN에 기호 및 공백을 사용할 수 없습니다.

GPMC(그룹 정책 Management Console) 또는 AGPM(Advanced 그룹 정책 Management) MDOP 기술을 실행할 수 있는 컴퓨터에 MBAM 그룹 정책 템플릿을 설치합니다. MBAM 기능을 사용하도록 설정하는 GPO 설정을 편집하려면 먼저 MBAM 그룹 정책 템플릿을 설치하고, GPMC 또는 AGPM을 열어 해당 GPO를 편집한 다음, 다음 GPO 노드로 이동해야 합니다. 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\MDOP MBAM(BitLocker 관리).

MDOP MBAM(BitLocker Management) GPO 노드에는 클라이언트 관리, 고정 드라이브, 운영 체제 드라이브 및 이동식 드라이브의 4가지 전역 정책 설정과 4개의 자식 GPO 설정 노드가 포함됩니다. 다음 섹션에서는 MBAM GPO 정책 설정 요구 사항을 계획하는 데 도움이 되도록 정책 정의 및 제안된 정책 설정을 제공합니다.

참고
MBAM에서 BitLocker 암호화를 관리할 수 있도록 권장되는 최소 GPO 설정을 구성하는 방법에 대한 자세한 내용은 MBAM 2.0 GPO 설정을 편집하는 방법을 참조하세요.

전역 정책 정의

이 섹션에서는 다음 GPO 노드에 있는 MBAM 전역 정책 정의에 대해 설명합니다. 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\MDOP MBAM(BitLocker 관리).

정책 이름	개요 및 제안된 정책 설정
드라이브 암호화 방법 및 암호 강도 선택	제안된 구성: 구성되지 않음 특정 암호화 방법 및 암호화 강도를 사용하도록 이 정책을 구성합니다. 이 정책이 구성되지 않은 경우 BitLocker는 Diffuser와 함께 AES 128비트 기본 암호화 방법 또는 설치 스크립트에서 지정한 암호화 방법을 사용합니다.
다시 시작할 때 메모리 덮어쓰기 방지	제안된 구성: 구성되지 않음 다시 시작할 때 메모리에서 BitLocker 비밀을 덮어쓰지 않고 다시 시작 성능을 향상시키려면 이 정책을 구성합니다. 이 정책을 구성하지 않으면 컴퓨터가 다시 시작될 때 BitLocker 비밀이 메모리에서 제거됩니다.
스마트 카드 인증서 사용 규칙 유효성 검사	제안된 구성: 구성되지 않음 스마트 카드 인증서 기반 BitLocker 보호를 사용하도록 이 정책을 구성합니다. 이 정책을 구성하지 않으면 기본 개체 식별자 1.3.6.1.4.1.311.67.1.1이 인증서를 지정하는 데 사용됩니다.
조직의 고유 식별자 제공	제안된 구성: 구성되지 않음 인증서 기반 데이터 복구 에이전트 또는 BitLocker To Go 판독기를 사용하도록 이 정책을 구성합니다. 이 정책을 구성하지 않으면 식별 필드가 사용되지 않습니다. 회사에 더 높은 보안 측정값이 필요한 경우 모든 USB 디바이스에 이 필드가 설정되어 있고 이 그룹 정책 설정에 맞춰지도록 식별 필드를 구성할 수 있습니다.

클라이언트 관리 정책 정의

이 섹션에서는 다음 GPO 노드에 있는 Microsoft BitLocker 관리 및 모니터링에 대한 클라이언트 관리 정책 정의에 대해 설명합니다. 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\MDOP MBAM(BitLocker Management)\클라이언트 관리.

정책 이름	개요 및 제안된 정책 설정
MBAM 서비스 구성	권장 구성: 사용 MBAM 복구 및 하드웨어 서비스 엔드포인트. 이 설정을 사용하여 MBAM 클라이언트 BitLocker 암호화 관리를 사용하도록 설정합니다. 다음 예제와 유사한 엔드포인트 위치를 입력합니다. http://<MBAM 관리 및 모니터링 서버 이름>:<웹 서비스가 바인딩>된 포트/MBAMRecoveryAndHardwareService/CoreService.svc. 저장할 BitLocker 복구 정보를 선택합니다. 이 정책 설정을 사용하면 BitLocker 복구 정보를 백업하도록 키 복구 서비스를 구성할 수 있습니다. 또한 규정 준수 및 감사 보고서를 수집하기 위한 상태 보고 서비스를 구성할 수 있습니다. 이 정책은 주요 정보가 부족하여 데이터 손실을 방지하기 위해 BitLocker로 암호화된 데이터를 복구하는 관리 방법을 제공합니다. 상태 보고서 및 키 복구 작업은 구성된 보고서 서버 위치로 자동으로 자동 전송됩니다. 구성하지 않거나 이 정책 설정을 사용하지 않도록 설정하면 키 복구 정보가 저장되지 않으며 상태 보고서 및 키 복구 작업이 서버에 보고되지 않습니다. 이 설정을 복구 암호 및 키 패키지로 설정하면 복구 암호와 키 패키지가 자동으로 구성되고 구성된 키 복구 서버 위치에 자동으로 백업됩니다. 클라이언트 확인 상태 빈도(분)를 입력합니다. 이 정책 설정은 클라이언트가 클라이언트 컴퓨터에서 BitLocker 보호 정책 및 상태를 확인하는 빈도를 관리합니다. 또한 이 정책은 클라이언트 준수 상태가 서버에 저장되는 빈도를 관리합니다. 클라이언트는 클라이언트 컴퓨터에서 BitLocker 보호 정책 및 상태를 확인하고 구성된 빈도로 클라이언트 복구 키를 백업합니다. 컴퓨터의 준수 상태를 확인하는 빈도 및 클라이언트 복구 키를 백업하는 빈도에 대해 회사에서 설정한 요구 사항에 따라 이 빈도를 설정합니다. MBAM 상태 보고 서비스 엔드포인트. MBAM 클라이언트 BitLocker 암호화 관리를 사용하도록 설정하려면 이 설정을 구성해야 합니다. 다음 예제와 유사한 엔드포인트 위치를 입력합니다. http://<MBAM 관리 및 모니터링 서버 이름>:<웹 서비스가 바인딩>된 포트/MBAMComplianceStatusService/StatusReportingService.svc.
사용자 예외 정책 구성	제안된 구성: 구성되지 않음 이 정책 설정을 사용하면 사용자에게 BitLocker 암호화 예외를 요청하도록 지시하는 웹 사이트 주소, 이메일 주소 또는 전화 번호를 구성할 수 있습니다. 이 정책 설정을 사용하도록 설정하고 웹 사이트 주소, 이메일 주소 또는 전화 번호를 제공하는 경우 BitLocker 보호에서 예외를 적용하는 방법에 대한 지침을 제공하는 대화 상자가 사용자에게 표시됩니다. 사용자에 대해 BitLocker 암호화 예외를 사용하도록 설정하는 방법에 대한 자세한 내용은 사용자 BitLocker 암호화 예외를 관리하는 방법을 참조하세요. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 예외 요청 지침이 사용자에게 표시되지 않습니다. 참고 사용자 예외는 컴퓨터가 아닌 사용자별로 관리됩니다. 여러 사용자가 동일한 컴퓨터에 로그온하고 한 사용자가 제외되지 않으면 컴퓨터가 암호화됩니다.
고객 환경 개선 프로그램 구성	이 정책 설정을 사용하면 MBAM 사용자가 고객 환경 개선 프로그램에 참여하는 방법을 구성할 수 있습니다. 이 프로그램은 컴퓨터 하드웨어 및 사용자가 작업을 중단하지 않고 MBAM을 사용하는 방법에 대한 정보를 수집합니다. 이 정보는 Microsoft가 개선할 MBAM 기능을 식별하는 데 도움이 됩니다. Microsoft는 이 정보를 사용하여 MBAM 사용자를 식별하거나 연락하지 않습니다. 이 정책 설정을 사용하면 사용자가 고객 환경 개선 프로그램에 참여할 수 있습니다. 이 정책 설정을 사용하지 않도록 설정하면 사용자는 고객 환경 개선 프로그램에 참여할 수 없습니다. 이 정책 설정을 구성하지 않으면 사용자에게 고객 환경 개선 프로그램에 참여할 수 있는 옵션이 제공됩니다.

MBAM 서비스 구성

권장 구성: 사용

MBAM 복구 및 하드웨어 서비스 엔드포인트. 이 설정을 사용하여 MBAM 클라이언트 BitLocker 암호화 관리를 사용하도록 설정합니다. 다음 예제와 유사한 엔드포인트 위치를 입력합니다. http://<MBAM 관리 및 모니터링 서버 이름>:<웹 서비스가 바인딩>된 포트/MBAMRecoveryAndHardwareService/CoreService.svc.
저장할 BitLocker 복구 정보를 선택합니다. 이 정책 설정을 사용하면 BitLocker 복구 정보를 백업하도록 키 복구 서비스를 구성할 수 있습니다. 또한 규정 준수 및 감사 보고서를 수집하기 위한 상태 보고 서비스를 구성할 수 있습니다. 이 정책은 주요 정보가 부족하여 데이터 손실을 방지하기 위해 BitLocker로 암호화된 데이터를 복구하는 관리 방법을 제공합니다. 상태 보고서 및 키 복구 작업은 구성된 보고서 서버 위치로 자동으로 자동 전송됩니다.

구성하지 않거나 이 정책 설정을 사용하지 않도록 설정하면 키 복구 정보가 저장되지 않으며 상태 보고서 및 키 복구 작업이 서버에 보고되지 않습니다. 이 설정을 복구 암호 및 키 패키지로 설정하면 복구 암호와 키 패키지가 자동으로 구성되고 구성된 키 복구 서버 위치에 자동으로 백업됩니다.
클라이언트 확인 상태 빈도(분)를 입력합니다. 이 정책 설정은 클라이언트가 클라이언트 컴퓨터에서 BitLocker 보호 정책 및 상태를 확인하는 빈도를 관리합니다. 또한 이 정책은 클라이언트 준수 상태가 서버에 저장되는 빈도를 관리합니다. 클라이언트는 클라이언트 컴퓨터에서 BitLocker 보호 정책 및 상태를 확인하고 구성된 빈도로 클라이언트 복구 키를 백업합니다.

컴퓨터의 준수 상태를 확인하는 빈도 및 클라이언트 복구 키를 백업하는 빈도에 대해 회사에서 설정한 요구 사항에 따라 이 빈도를 설정합니다.
MBAM 상태 보고 서비스 엔드포인트. MBAM 클라이언트 BitLocker 암호화 관리를 사용하도록 설정하려면 이 설정을 구성해야 합니다. 다음 예제와 유사한 엔드포인트 위치를 입력합니다. http://<MBAM 관리 및 모니터링 서버 이름>:<웹 서비스가 바인딩>된 포트/MBAMComplianceStatusService/StatusReportingService.svc.

사용자 예외 정책 구성

제안된 구성: 구성되지 않음

이 정책 설정을 사용하면 사용자에게 BitLocker 암호화 예외를 요청하도록 지시하는 웹 사이트 주소, 이메일 주소 또는 전화 번호를 구성할 수 있습니다.

이 정책 설정을 사용하도록 설정하고 웹 사이트 주소, 이메일 주소 또는 전화 번호를 제공하는 경우 BitLocker 보호에서 예외를 적용하는 방법에 대한 지침을 제공하는 대화 상자가 사용자에게 표시됩니다. 사용자에 대해 BitLocker 암호화 예외를 사용하도록 설정하는 방법에 대한 자세한 내용은 사용자 BitLocker 암호화 예외를 관리하는 방법을 참조하세요.

이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 예외 요청 지침이 사용자에게 표시되지 않습니다.

참고

사용자 예외는 컴퓨터가 아닌 사용자별로 관리됩니다. 여러 사용자가 동일한 컴퓨터에 로그온하고 한 사용자가 제외되지 않으면 컴퓨터가 암호화됩니다.

고객 환경 개선 프로그램 구성

이 정책 설정을 사용하면 MBAM 사용자가 고객 환경 개선 프로그램에 참여하는 방법을 구성할 수 있습니다. 이 프로그램은 컴퓨터 하드웨어 및 사용자가 작업을 중단하지 않고 MBAM을 사용하는 방법에 대한 정보를 수집합니다. 이 정보는 Microsoft가 개선할 MBAM 기능을 식별하는 데 도움이 됩니다. Microsoft는 이 정보를 사용하여 MBAM 사용자를 식별하거나 연락하지 않습니다.

이 정책 설정을 사용하면 사용자가 고객 환경 개선 프로그램에 참여할 수 있습니다.

이 정책 설정을 사용하지 않도록 설정하면 사용자는 고객 환경 개선 프로그램에 참여할 수 없습니다.

이 정책 설정을 구성하지 않으면 사용자에게 고객 환경 개선 프로그램에 참여할 수 있는 옵션이 제공됩니다.

고정 드라이브 정책 정의

이 섹션에서는 다음 GPO 노드에 있는 Microsoft BitLocker 관리 및 모니터링에 대한 고정 드라이브 정책 정의에 대해 설명합니다. 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\MDOP MBAM(BitLocker Management)\고정 드라이브.

정책 이름	개요 및 제안된 정책 설정
데이터 드라이브 암호화 설정 수정	권장 구성: 사용 이 정책 설정을 사용하면 고정 드라이브를 암호화해야 하는지 여부를 관리할 수 있습니다. 운영 체제 볼륨을 암호화해야 하는 경우 고정 데이터 드라이브 자동 잠금 해제 사용 옵션을 선택합니다. 이 정책을 사용하도록 설정하는 경우 고정 데이터 드라이브에 대해 자동 잠금 해제를 사용하도록 허용하거나 요구하지 않는 한 고정 데이터 드라이브 정책에 대한 암호 사용 구성을 사용하지 않도록 설정해서는 안 됩니다. 고정 데이터 드라이브에 자동 잠금 해제를 사용해야 하는 경우 암호화할 운영 체제 볼륨을 구성해야 합니다. 이 정책 설정을 사용하면 모든 고정 드라이브를 BitLocker 보호에 배치해야 하며 드라이브가 암호화됩니다. 이 정책 설정을 구성하지 않으면 사용자가 BitLocker 보호에 고정 드라이브를 배치할 필요가 없습니다. 고정 데이터 드라이브가 암호화된 후 이 정책을 적용하면 MBAM 에이전트가 암호화된 고정 드라이브의 암호를 해독합니다. 이 정책 설정을 사용하지 않도록 설정하면 사용자는 고정 데이터 드라이브를 BitLocker 보호 아래에 배치할 수 없습니다.
BitLocker에 의해 보호되지 않는 고정 드라이브에 대한 쓰기 액세스 거부	제안된 구성: 구성되지 않음 이 정책 설정은 고정 드라이브가 컴퓨터에서 쓰기 가능하도록 BitLocker 보호가 필요한지 여부를 결정합니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다. 정책이 구성되지 않으면 컴퓨터의 모든 고정 데이터 드라이브가 읽기 및 쓰기 액세스 권한으로 탑재됩니다.
이전 버전의 Windows에서 BitLocker로 보호된 고정 드라이브에 대한 액세스 허용	제안된 구성: 구성되지 않음 이 정책을 사용하면 WINDOWS Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 FAT 파일 시스템의 고정 드라이브를 잠금 해제하고 볼 수 있습니다. 정책을 사용하거나 구성하지 않으면 FAT 파일 시스템으로 포맷된 고정 드라이브의 잠금을 해제할 수 있으며 Windows Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 해당 콘텐츠를 볼 수 있습니다. 이러한 운영 체제에는 BitLocker로 보호되는 드라이브에 대한 읽기 전용 액세스 권한이 있습니다. 정책을 사용하지 않도록 설정하면 FAT 파일 시스템으로 포맷된 고정 드라이브를 잠금 해제할 수 없으며 Windows Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서는 해당 콘텐츠를 볼 수 없습니다.
고정 드라이브에 대한 암호 사용 구성	제안된 구성: 구성되지 않음 이 정책을 사용하여 BitLocker로 보호되는 고정 데이터 드라이브의 잠금을 해제하는 데 암호가 필요한지 여부를 지정합니다. 이 정책 설정을 사용하면 사용자가 정의한 요구 사항을 충족하는 암호를 구성할 수 있습니다. BitLocker를 사용하면 사용자가 드라이브에서 사용할 수 있는 보호기를 사용하여 드라이브의 잠금을 해제할 수 있습니다. 이러한 설정은 볼륨의 잠금을 해제할 때가 아니라 BitLocker를 켠 경우에 적용됩니다. 이 정책 설정을 사용하지 않도록 설정하면 사용자는 암호를 사용할 수 없습니다. 정책이 구성되지 않은 경우 암호는 암호 복잡성 요구 사항을 포함하지 않고 8자만 필요한 기본 설정에서 지원됩니다. 보안을 강화하려면 이 정책을 사용하도록 설정하고 고정 데이터 드라이브에 암호 필요를 선택하고 암호 복잡성 필요를 선택하고 원하는 최소 암호 길이를 설정합니다. 이 정책 설정을 사용하지 않도록 설정하면 사용자는 암호를 사용할 수 없습니다. 이 정책 설정을 구성하지 않으면 암호 복잡성 요구 사항이 포함되지 않고 8자만 필요한 기본 설정에서 암호가 지원됩니다.
BitLocker로 보호되는 고정 드라이브를 복구하는 방법 선택	제안된 구성: 구성되지 않음 BitLocker 데이터 복구 에이전트를 사용하도록 설정하거나 BitLocker 복구 정보를 AD DS(Active Directory Domain Services)에 저장하도록 이 정책을 구성합니다. 정책이 구성되지 않은 경우 BitLocker 데이터 복구 에이전트가 허용되고 복구 정보가 AD DS에 백업되지 않습니다. MBAM은 복구 정보를 AD DS에 백업할 필요가 없습니다.

운영 체제 드라이브 정책 정의

이 섹션에서는 다음 GPO 노드에 있는 Microsoft BitLocker 관리 및 모니터링에 대한 운영 체제 드라이브 정책 정의에 대해 설명합니다. 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\MDOP MBAM(BitLocker Management)\운영 체제 드라이브.

정책 이름	개요 및 제안된 정책 설정
운영 체제 드라이브 암호화 설정	권장 구성: 사용 이 정책 설정을 사용하면 운영 체제 드라이브를 암호화해야 하는지 여부를 관리할 수 있습니다. 보안을 강화하려면 TPM + PIN 보호기를 사용하여 사용하도록 설정할 때 시스템/전원 관리/절전 모드 설정 에서 다음 정책 설정을 사용하지 않도록 설정하는 것이 좋습니다. 절전 모드일 때 대기 상태 허용(S1-S3) (플러그 인) 대기 상태 허용(S1-S3) 절전 모드(배터리 사용) Microsoft Windows 8 이상을 실행 중이고 TPM이 없는 컴퓨터에서 BitLocker를 사용하려는 경우 호환되는 TPM 없이 BitLocker 허용 확인란을 선택합니다. 이 모드에서는 시작에 암호가 필요합니다. 암호를 잊어버린 경우 BitLocker 복구 옵션 중 하나를 사용하여 드라이브에 액세스해야 합니다. 호환되는 TPM이 있는 컴퓨터에서 시작 시 두 가지 유형의 인증 방법을 사용하여 암호화된 데이터에 대한 추가 보호를 제공할 수 있습니다. 컴퓨터가 시작되면 인증에 TPM만 사용하거나 PIN(개인 식별 번호)을 입력해야 할 수도 있습니다. 이 정책 설정을 사용하도록 설정하면 사용자가 운영 체제 드라이브를 BitLocker 보호 아래에 배치해야 하며 드라이브가 암호화됩니다. 이 정책을 사용하지 않도록 설정하면 사용자는 운영 체제 드라이브를 BitLocker 보호 아래에 배치할 수 없습니다. 운영 체제 드라이브가 암호화된 후 이 정책을 적용하면 드라이브의 암호가 해독됩니다. 이 정책을 구성하지 않으면 운영 체제 드라이브를 BitLocker 보호 아래에 배치할 필요가 없습니다.
TPM 플랫폼 유효성 검사 프로필 구성	제안된 구성: 구성되지 않음 이 정책 설정을 사용하면 컴퓨터의 TPM 보안 하드웨어가 BitLocker 암호화 키를 보호하는 방법을 구성할 수 있습니다. 이 정책 설정은 컴퓨터에 호환되는 TPM이 없거나 BitLocker가 TPM 보호를 사용하여 이미 켜져 있는 경우 적용되지 않습니다. 이 정책 설정이 구성되지 않은 경우 TPM은 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에서 지정한 플랫폼 유효성 검사 프로필을 사용합니다.
BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법 선택	제안된 구성: 구성되지 않음 BitLocker 데이터 복구 에이전트를 사용하도록 설정하거나 BitLocker 복구 정보를 AD DS(Active Directory Domain Services)에 저장하도록 이 정책을 구성합니다. 이 정책을 구성하지 않으면 데이터 복구 에이전트가 허용되고 복구 정보가 AD DS에 백업되지 않습니다. MBAM 작업은 복구 정보를 AD DS에 백업할 필요가 없습니다.

운영 체제 드라이브 암호화 설정

권장 구성: 사용

이 정책 설정을 사용하면 운영 체제 드라이브를 암호화해야 하는지 여부를 관리할 수 있습니다.

보안을 강화하려면 TPM + PIN 보호기를 사용하여 사용하도록 설정할 때 시스템/전원 관리/절전 모드 설정 에서 다음 정책 설정을 사용하지 않도록 설정하는 것이 좋습니다.

절전 모드일 때 대기 상태 허용(S1-S3) (플러그 인)
대기 상태 허용(S1-S3) 절전 모드(배터리 사용)

Microsoft Windows 8 이상을 실행 중이고 TPM이 없는 컴퓨터에서 BitLocker를 사용하려는 경우 호환되는 TPM 없이 BitLocker 허용 확인란을 선택합니다. 이 모드에서는 시작에 암호가 필요합니다. 암호를 잊어버린 경우 BitLocker 복구 옵션 중 하나를 사용하여 드라이브에 액세스해야 합니다.

호환되는 TPM이 있는 컴퓨터에서 시작 시 두 가지 유형의 인증 방법을 사용하여 암호화된 데이터에 대한 추가 보호를 제공할 수 있습니다. 컴퓨터가 시작되면 인증에 TPM만 사용하거나 PIN(개인 식별 번호)을 입력해야 할 수도 있습니다.

이 정책 설정을 사용하도록 설정하면 사용자가 운영 체제 드라이브를 BitLocker 보호 아래에 배치해야 하며 드라이브가 암호화됩니다.

이 정책을 사용하지 않도록 설정하면 사용자는 운영 체제 드라이브를 BitLocker 보호 아래에 배치할 수 없습니다. 운영 체제 드라이브가 암호화된 후 이 정책을 적용하면 드라이브의 암호가 해독됩니다.

이 정책을 구성하지 않으면 운영 체제 드라이브를 BitLocker 보호 아래에 배치할 필요가 없습니다.

TPM 플랫폼 유효성 검사 프로필 구성

제안된 구성: 구성되지 않음

이 정책 설정을 사용하면 컴퓨터의 TPM 보안 하드웨어가 BitLocker 암호화 키를 보호하는 방법을 구성할 수 있습니다. 이 정책 설정은 컴퓨터에 호환되는 TPM이 없거나 BitLocker가 TPM 보호를 사용하여 이미 켜져 있는 경우 적용되지 않습니다.

이 정책 설정이 구성되지 않은 경우 TPM은 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에서 지정한 플랫폼 유효성 검사 프로필을 사용합니다.

BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법 선택

제안된 구성: 구성되지 않음

BitLocker 데이터 복구 에이전트를 사용하도록 설정하거나 BitLocker 복구 정보를 AD DS(Active Directory Domain Services)에 저장하도록 이 정책을 구성합니다.

이 정책을 구성하지 않으면 데이터 복구 에이전트가 허용되고 복구 정보가 AD DS에 백업되지 않습니다.

MBAM 작업은 복구 정보를 AD DS에 백업할 필요가 없습니다.

이동식 드라이브 정책 정의

이 섹션에서는 다음 GPO 노드에 있는 Microsoft BitLocker 관리 및 모니터링에 대한 이동식 드라이브 정책 정의에 대해 설명합니다. 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\MDOP MBAM(BitLocker Management) \ 이동식 드라이브.

정책 이름	개요 및 제안된 정책 설정
이동식 드라이브에서 BitLocker 사용 제어	권장 구성: 사용 이 정책은 이동식 데이터 드라이브에서 BitLocker 사용을 제어합니다. 사용자가 이동식 데이터 드라이브에서 BitLocker 설정 마법사를 실행할 수 있도록 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용하도록 허용 옵션을 사용하도록 설정합니다. 사용자가 이동식 데이터 드라이브에서 BitLocker 드라이브 암호화를 제거하거나 유지 관리가 수행되는 동안 암호화를 일시 중단할 수 있도록 하려면 사용자가 이동식 데이터 드라이브에서 BitLocker를 일시 중단 및 암호 해독하도록 허용 옵션을 사용하도록 설정합니다. 이 정책을 사용하도록 설정하고 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용할 수 있도록 허용 옵션을 선택하면 MBAM 클라이언트는 이동식 드라이브에 대한 복구 정보를 MBAM 키 복구 서버에 저장하고 암호가 손실된 경우 사용자가 드라이브를 복구할 수 있도록 합니다.
BitLocker에 의해 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부	제안된 구성: 구성되지 않음 BitLocker로 보호된 드라이브에 대한 쓰기 액세스만 허용하려면 이 정책을 사용하도록 설정합니다. 이 정책을 사용하도록 설정하면 쓰기 액세스가 허용되기 전에 컴퓨터의 모든 이동식 데이터 드라이브에 암호화가 필요합니다.
이전 버전의 Windows에서 BitLocker로 보호된 이동식 드라이브에 대한 액세스 허용	제안된 구성: 구성되지 않음 이 정책을 사용하면 WINDOWS Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 FAT 파일 시스템의 고정 드라이브를 잠금 해제하고 볼 수 있습니다. 이 정책을 구성하지 않으면 WINDOWS Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 FAT 파일 시스템으로 포맷된 이동식 데이터 드라이브의 잠금을 해제할 수 있으며 해당 콘텐츠를 볼 수 있습니다. 이러한 운영 체제에는 BitLocker로 보호되는 드라이브에 대한 읽기 전용 액세스 권한이 있습니다. 정책을 사용하지 않도록 설정하면 FAT 파일 시스템으로 포맷된 이동식 드라이브의 잠금을 해제할 수 없으며 Windows Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서는 해당 콘텐츠를 볼 수 없습니다.
이동식 데이터 드라이브에 암호 사용 구성	제안된 구성: 구성되지 않음 이동식 데이터 드라이브에서 암호 보호를 구성하려면 이 정책을 사용하도록 설정합니다. 이 정책을 구성하지 않으면 암호 복잡성 요구 사항이 포함되지 않고 8자만 필요한 기본 설정에서 암호가 지원됩니다. 보안 강화를 위해 이 정책을 사용하도록 설정하고 이동식 데이터 드라이브에 암호 필요를 선택하고 암호 복잡성 필요를 선택하고 기본 설정 최소 암호 길이를 설정할 수 있습니다.
BitLocker로 보호되는 이동식 드라이브를 복구하는 방법 선택	제안된 구성: 구성되지 않음 BitLocker 데이터 복구 에이전트를 사용하도록 설정하거나 BitLocker 복구 정보를 AD DS(Active Directory Domain Services)에 저장하도록 이 정책을 구성합니다. 구성되지 않음으로 설정하면 데이터 복구 에이전트가 허용되고 복구 정보가 AD DS에 백업되지 않습니다. MBAM 작업은 복구 정보를 AD DS에 백업할 필요가 없습니다.

MBAM 2.0 배포 필수 구성 요소

MBAM 2.0 그룹 정책 요구 사항 계획

전역 정책 정의

클라이언트 관리 정책 정의

고정 드라이브 정책 정의

운영 체제 드라이브 정책 정의

이동식 드라이브 정책 정의

관련 항목

추가 리소스