다음을 통해 공유

Windows 배포의 일환으로 MBAM을 사용하여 BitLocker를 활성화하는 방법

  • 아티클

중요

이러한 지침은 Configuration Manager BitLocker Management와 관련이 없습니다. Invoke-MbamClientDeployment.ps1 PowerShell 스크립트는 Configuration Manager의 BitLocker Management에서 사용할 수 없습니다. 여기에는 Configuration Manager 작업 순서 중에 BitLocker 복구 키의 에스크로킹이 포함됩니다.

또한 Configuration Manager 버전 2103부터 Configuration Manager BitLocker Management는 더 이상 MBAM 키 복구 서비스 사이트를 사용하여 키를 에스크로하지 않습니다. Configuration Manager 버전 2103 이상에서 PowerShell 스크립트를 사용 Invoke-MbamClientDeployment.ps1 하려고 하면 Configuration Manager 사이트에 심각한 문제가 발생할 수 있습니다. 알려진 문제에는 정책 폭풍을 일으킬 수 있는 모든 디바이스를 대상으로 하는 대량의 정책 생성이 포함됩니다. 이로 인해 주로 SQL 및 관리 지점의 Configuration Manager에서 성능이 심각하게 저하됩니다. 자세한 내용은 MBAM 에이전트를 사용하여 BitLocker 복구 키를 사용하여 Configuration Manager 버전 2103에서 과도한 정책 생성을 참조하세요.

Configuration Manager부터 BitLocker Management 버전 2203은 기본적으로 Configuration Manager 데이터베이스복구 키를 자동으로 저장 옵션을 통해 BitLocker 작업 순서 사용 태스크를 사용하여 작업 순서 중에 BitLocker 키 > 에스크로킹을 지원합니다. 자세한 내용은 작업 순서 중에 사이트에 대한 Escrow BitLocker 복구 암호를 참조하세요.

또한 Configuration Manager와 독립 실행형 MBAM 통합은 Configuration Manager 버전 1902를 통해서만 지원되었습니다. Configuration Manager 버전 1902는 지원되지 않으므로 독립 실행형 MBAM을 Invoke-MbamClientDeployment.ps1 사용하고 현재 지원되는 Configuration Manager 버전이 있는 PowerShell 스크립트는 더 이상 지원되지 않습니다. 자세한 내용은 MBAM에서 지원하는 Configuration Manager 버전을 참조하세요. Configuration Manager에서 독립 실행형 MBAM을 사용하는 고객은 Configuration Manager BitLocker Management로 마이그레이션해야 합니다.

이 항목에서는 Windows 이미징 및 배포 프로세스의 일부로 MBAM을 사용하여 최종 사용자의 컴퓨터에서 BitLocker를 사용하도록 설정하는 방법을 설명합니다. 다시 시작할 때(설치 단계가 끝난 후) 드라이브의 잠금을 해제할 수 없음을 나타내는 검은색 화면이 표시되는 경우 Windows 10 버전 1511에서 BitLocker 사전 프로비전이 사용되는 경우 "Windows 및 구성 관리자 설정" 단계 후에 이전 Windows 버전이 시작되지 않음을 참조하세요.

필수 구성 요소:

  • 기존 Windows 이미지 배포 프로세스( MDT(Microsoft Deployment Toolkit), Microsoft System Center Configuration Manager 또는 기타 이미징 도구 또는 프로세스)가 있어야 합니다.

  • TPM은 BIOS에서 사용하도록 설정되어야 하며 OS에 표시되어야 합니다.

  • MBAM 서버 인프라가 마련되어 있어야 하며 액세스할 수 있어야 합니다.

  • BitLocker에 필요한 시스템 파티션을 만들어야 합니다.

  • MBAM이 BitLocker를 완전히 사용하도록 설정하기 전에 이미징 중에 컴퓨터가 도메인에 가입되어야 합니다.

Windows 배포의 일부로 MBAM 2.5 SP1을 사용하여 BitLocker를 사용하도록 설정하려면

  1. MBAM 2.5 SP1에서 Windows 배포 중에 BitLocker를 사용하도록 설정하는 권장 방법은 PowerShell 스크립트를 Invoke-MbamClientDeployment.ps1 사용하는 것입니다.

    • 이 스크립트는 Invoke-MbamClientDeployment.ps1 이미징 프로세스 중에 BitLocker를 적용합니다. BitLocker 정책에 필요한 경우 MBAM 에이전트는 이미징 후 도메인 사용자가 처음 로그온할 때 도메인 사용자에게 PIN 또는 암호를 만들라는 메시지를 즉시 표시합니다.

    • MDT, System Center Configuration Manager 또는 독립 실행형 이미징 프로세스에서 사용하기 쉽습니다.

    • PowerShell 2.0 이상과 호환

    • TPM 키 보호기를 사용하여 OS 볼륨 암호화

    • BitLocker 사전 프로비저닝을 완벽하게 지원합니다.

    • 필요에 따라 FDD 암호화

    • Escrow TPM OwnerAuth Windows 7의 경우 MBAM은 에스크로가 발생하려면 TPM을 소유해야 합니다. Windows 8.1, Windows 10 RTM 및 Windows 10 버전 1511의 경우 TPM OwnerAuth의 에스크로가 지원됩니다. Windows 10 버전 1607 이상의 경우 Windows만 TPM의 소유권을 소유할 수 있습니다. 또한 Windows는 TPM을 프로비전할 때 TPM 소유자 암호를 유지하지 않습니다. 자세한 내용은 TPM 소유자 암호를 참조하세요.

    • Escrow 복구 키 및 복구 키 패키지

    • 즉시 암호화 상태 보고

    • 새 WMI 공급자

    • 자세한 로깅

    • 강력한 오류 처리

    Microsoft.com 다운로드 Invoke-MbamClientDeployment.ps1센터에서 스크립트를 다운로드할 수 있습니다. 이는 배포 시스템에서 BitLocker 드라이브 암호화를 구성하고 MBAM 서버를 사용하여 복구 키를 기록하기 위해 호출하는 기본 스크립트입니다.

    MBAM에 대한 WMI 배포 방법: PowerShell 스크립트를 사용하여 BitLocker 사용을 지원하기 위해 MBAM 2.5 SP1에 다음 WMI 메서드가 Invoke-MbamClientDeployment.ps1 추가되었습니다.

    MBAM_Machine WMI 클래스PrepareTpmAndEscrowOwnerAuth: TPM OwnerAuth를 읽고 MBAM 복구 서비스를 사용하여 MBAM 복구 데이터베이스로 보냅니다. TPM이 소유되지 않고 자동 프로비저닝이 켜지지 않은 경우 TPM OwnerAuth를 생성하고 소유권을 가져옵니다. 실패하면 문제 해결을 위해 오류 코드가 반환됩니다.

    메모 Windows 10 버전 1607 이상의 경우 Windows만 TPM의 소유권을 소유할 수 있습니다. 또한 Windows는 TPM을 프로비전할 때 TPM 소유자 암호를 유지하지 않습니다. 자세한 내용은 TPM 소유자 암호를 참조하세요.

매개 변수 설명
RecoveryServiceEndPoint MBAM 복구 서비스 엔드포인트를 지정하는 문자열입니다.

일반적인 오류 메시지 목록은 다음과 같습니다.

일반적인 반환 값 오류 메시지
S_OK
0(0x0)		 메서드가 성공했습니다.
MBAM_E_TPM_NOT_PRESENT
2147746304(0x80040200)		 TPM이 컴퓨터에 없거나 BIOS 구성에서 사용하지 않도록 설정되어 있습니다.
MBAM_E_TPM_INCORRECT_STATE
2147746305(0x80040201)		 TPM이 올바른 상태가 아닙니다(사용, 활성화 및 소유자 설치 허용).
MBAM_E_TPM_AUTO_PROVISIONING_PENDING
2147746306(0x80040202)		 자동 프로비저닝이 보류 중이므로 MBAM은 TPM의 소유권을 사용할 수 없습니다. 자동 프로비저닝이 완료된 후 다시 시도하세요.
MBAM_E_TPM_OWNERAUTH_READFAIL
2147746307(0x80040203)		 MBAM은 TPM 소유자 권한 부여 값을 읽을 수 없습니다. 에스크로가 성공한 후 값이 제거되었을 수 있습니다. Windows 7에서는 TPM이 다른 사용자가 소유한 경우 MBAM에서 값을 읽을 수 없습니다.
MBAM_E_REBOOT_REQUIRED
2147746308(0x80040204)		 TPM을 올바른 상태로 설정하려면 컴퓨터를 다시 시작해야 합니다. 컴퓨터를 수동으로 다시 부팅해야 할 수 있습니다.
MBAM_E_SHUTDOWN_REQUIRED
2147746309(0x80040205)		 TPM을 올바른 상태로 설정하려면 컴퓨터를 종료하고 다시 켜야 합니다. 컴퓨터를 수동으로 다시 부팅해야 할 수 있습니다.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349(0x803D0005)		 원격 엔드포인트에서 액세스가 거부되었습니다.
WS_E_ENDPOINT_NOT_FOUND
2151481357(0x803D000D)		 원격 엔드포인트가 없거나 위치할 수 없습니다.
**WS_E_ENDPOINT_FAILURE
2151481357(0x803D000F)		 원격 엔드포인트에서 요청을 처리할 수 없습니다.
WS_E_ENDPOINT_UNREACHABLE
2151481360(0x803D0010)		 원격 엔드포인트에 연결할 수 없습니다.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363(0x803D0013)		 오류가 포함된 메시지가 원격 엔드포인트에서 수신되었습니다. 올바른 서비스 엔드포인트에 연결하고 있는지 확인합니다.
WS_E_INVALID_ENDPOINT_URL 2151481376(0x803D0020) 엔드포인트 주소 URL이 잘못되었습니다. URL은 "http" 또는 "https"로 시작해야 합니다.

ReportStatus: 볼륨의 준수 상태를 읽고 MBAM 상태 보고 서비스를 사용하여 MBAM 준수 상태 데이터베이스로 보냅니다. 상태에는 암호 강도, 보호기 유형, 보호기 상태 및 암호화 상태가 포함됩니다. 실패하면 문제 해결을 위해 오류 코드가 반환됩니다.

매개 변수 설명
ReportingServiceEndPoint MBAM 상태 보고 서비스 엔드포인트를 지정하는 문자열입니다.

일반적인 오류 메시지 목록은 다음과 같습니다.

일반적인 반환 값 오류 메시지
S_OK
0(0x0)		 메서드가 성공했습니다.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349(0x803D0005)		 원격 엔드포인트에서 액세스가 거부되었습니다.
WS_E_ENDPOINT_NOT_FOUND
2151481357(0x803D000D)		 원격 엔드포인트가 없거나 위치할 수 없습니다.
WS_E_ENDPOINT_FAILURE
2151481357(0x803D000F)		 원격 엔드포인트에서 요청을 처리할 수 없습니다.
WS_E_ENDPOINT_UNREACHABLE
2151481360(0x803D0010)		 원격 엔드포인트에 연결할 수 없습니다.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363(0x803D0013)		 오류가 포함된 메시지가 원격 엔드포인트에서 수신되었습니다. 올바른 서비스 엔드포인트에 연결하고 있는지 확인합니다.
WS_E_INVALID_ENDPOINT_URL
2151481376(0x803D0020)		 엔드포인트 주소 URL이 잘못되었습니다. URL은 "http" 또는 "https"로 시작해야 합니다.

WMI 클래스EscrowRecoveryKey MBAM_Volume: 볼륨의 복구 숫자 암호 및 키 패키지를 읽고 MBAM 복구 서비스를 사용하여 MBAM 복구 데이터베이스로 보냅니다. 실패하면 문제 해결을 위해 오류 코드가 반환됩니다.

매개 변수 설명
RecoveryServiceEndPoint MBAM 복구 서비스 엔드포인트를 지정하는 문자열입니다.

일반적인 오류 메시지 목록은 다음과 같습니다.

일반적인 반환 값 오류 메시지
S_OK
0(0x0)		 메서드가 성공했습니다.
FVE_E_LOCKED_VOLUME
2150694912(0x80310000)		 볼륨이 잠겨 있습니다.
FVE_E_PROTECTOR_NOT_FOUND
2150694963(0x80310033)		 볼륨에 대한 숫자 암호 보호기를 찾을 수 없습니다.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349(0x803D0005)		 원격 엔드포인트에서 액세스가 거부되었습니다.
WS_E_ENDPOINT_NOT_FOUND
2151481357(0x803D000D)		 원격 엔드포인트가 없거나 위치할 수 없습니다.
WS_E_ENDPOINT_FAILURE
2151481357(0x803D000F)		 원격 엔드포인트에서 요청을 처리할 수 없습니다.
WS_E_ENDPOINT_UNREACHABLE
2151481360(0x803D0010)		 원격 엔드포인트에 연결할 수 없습니다.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363(0x803D0013)		 오류가 포함된 메시지가 원격 엔드포인트에서 수신되었습니다. 올바른 서비스 엔드포인트에 연결하고 있는지 확인합니다.
WS_E_INVALID_ENDPOINT_URL
2151481376(0x803D0020)		 엔드포인트 주소 URL이 잘못되었습니다. URL은 "http" 또는 "https"로 시작해야 합니다.

  1. MDT(Microsoft Deployment Toolkit) 및 PowerShell을 사용하여 MBAM 배포

    1. MDT에서 새 배포 공유를 만들거나 기존 배포 공유를 엽니다.

      메모 PowerShell 스크립트는 Invoke-MbamClientDeployment.ps1 모든 이미징 프로세스 또는 도구와 함께 사용할 수 있습니다. 이 섹션에서는 MDT를 사용하여 통합하는 방법을 보여 주지만 단계는 다른 프로세스 또는 도구와 통합하는 것과 유사합니다.

      주의 WinPE(BitLocker 사전 프로비저닝)를 사용하고 TPM 소유자 권한 부여 값을 유지하려는 경우 설치가 전체 운영 체제로 다시 부팅되기 직전에 WinPE에서 스크립트를 추가 SaveWinPETpmOwnerAuth.wsf 해야 합니다. 이 스크립트를 사용하지 않으면 다시 부팅 시 TPM 소유자 권한 부여 값이 손실됩니다.

    2. DeploymentShare>\Scripts에< 복사 Invoke-MbamClientDeployment.ps1 합니다. 사전 프로비저닝을 사용하는 경우 파일을 DeploymentShare>\Scripts에< 복사 SaveWinPETpmOwnerAuth.wsf 합니다.

    3. 배포 공유의 애플리케이션 노드에 MBAM 2.5 SP1 클라이언트 애플리케이션을 추가합니다.

      1. 애플리케이션 노드 아래에서 새 애플리케이션을 클릭합니다.

      2. 원본 파일이 있는 애플리케이션을 선택합니다. 다음을 클릭합니다.

      3. 애플리케이션 이름에 "MBAM 2.5 SP1 클라이언트"를 입력합니다. 다음을 클릭합니다.

      4. 가 포함된 MBAMClientSetup-<Version>.msi디렉터리로 이동합니다. 다음을 클릭합니다.

      5. 만들 디렉터리로 "MBAM 2.5 SP1 클라이언트"를 입력합니다. 다음을 클릭합니다.

      6. 명령줄에 를 입력 msiexec /i MBAMClientSetup-<Version>.msi /quiet 합니다. 다음을 클릭합니다.

      7. 나머지 기본값을 적용하여 새 애플리케이션 마법사를 완료합니다.

    4. MDT에서 배포 공유의 이름을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다. 규칙 탭을 클릭합니다. 다음 줄을 추가합니다.

      SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES

      확인을 클릭하여 창을 닫습니다.

    5. 작업 순서 노드 아래에서 Windows 배포에 사용되는 기존 작업 순서를 편집합니다. 원하는 경우 작업 순서 노드를 마우스 오른쪽 단추로 클릭하고 새 작업 순서를 선택하고 마법사를 완료하여 새 작업 순서를 만들 수 있습니다.

      선택한 작업 순서의 작업 순서 탭에서 다음 단계를 수행합니다.

      1. 사용된 공간만 암호화하는 WinPE에서 BitLocker를 사용하도록 설정하려면 사전 설치 폴더에서 선택적 작업 BitLocker 사용(오프라인) 을 사용하도록 설정합니다.

      2. 사전 프로비저닝을 사용할 때 TPM OwnerAuth를 유지하려면 나중에 MBAM이 이를 에스크로할 수 있도록 하려면 다음을 수행합니다.

        1. 운영 체제 설치 단계 찾기

        2. 명령줄 실행 단계 다음에 새 명령줄 실행 단계 추가

        3. TPM 소유자 유지 단계 이름 지정Auth

        4. 명령줄을 cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"참고: Windows 10 버전 1607 이상에서는 Windows만 TPM의 소유권을 사용할 수 있습니다. 또한 Windows는 TPM을 프로비전할 때 TPM 소유자 암호를 유지하지 않습니다. 자세한 내용은 TPM 소유자 암호를 참조하세요.

      3. 상태 복원 폴더에서 BitLocker 사용 작업을 삭제합니다.

      4. 사용자 지정 작업 아래의 상태 복원 폴더에서 새 애플리케이션 설치 작업을 만들고 이름을 MBAM 에이전트 설치로 지정합니다. 단일 애플리케이션 설치 라디오 단추를 클릭하고 이전에 만든 MBAM 2.5 SP1 클라이언트 애플리케이션으로 이동합니다.

      5. 사용자 지정 작업 아래의 상태 복원 폴더에서 다음 설정(환경에 맞게 매개 변수 업데이트)을 사용하여 새 PowerShell 스크립트 실행 태스크(MBAM 2.5 SP1 클라이언트 애플리케이션 단계 이후)를 만듭니다.

        • 이름: MBAM에 대한 BitLocker 구성

        • PowerShell 스크립트: Invoke-MbamClientDeployment.ps1

        • 매개 변수:

          -RecoveryServiceEndpoint

          필수

          MBAM 복구 서비스 엔드포인트

          -StatusReportingServiceEndpoint

          선택 사항

          MBAM 상태 보고 서비스 엔드포인트

          -EncryptionMethod

          선택 사항

          암호화 방법(기본값: AES 128)

          -EncryptAndEscrowDataVolume

          스위치

          데이터 볼륨 및 에스크로 데이터 볼륨 복구 키를 암호화하도록 지정

          -WaitForEncryptionToComplete

          스위치

          암호화가 완료되기를 기다리도록 지정

          -DoNotResumeSuspendedEncryption

          스위치

          배포 스크립트가 일시 중단된 암호화를 다시 시작하지 않도록 지정

          -IgnoreEscrowOwnerAuthFailure

          스위치

          TPM 소유자 인증 에스크로 오류를 무시하도록 지정합니다. TPM 자동 프로비저닝이 사용하도록 설정된 경우와 같이 MBAM이 TPM 소유자 인증을 읽을 수 없는 시나리오에서 사용해야 합니다.

          -IgnoreEscrowRecoveryKeyFailure

          스위치

          볼륨 복구 키 에스크로 오류를 무시하도록 지정

          -IgnoreReportStatusFailure

          스위치

          상태 보고 실패를 무시하도록 지정

Windows 배포의 일부로 MBAM 2.5 이하를 사용하여 BitLocker를 사용하도록 설정하려면

  1. MBAM 클라이언트를 설치합니다. 지침은 명령줄을 사용하여 MBAM 클라이언트를 배포하는 방법을 참조하세요.

  2. 컴퓨터를 도메인에 조인합니다(권장).

    • 컴퓨터가 도메인에 가입되지 않은 경우 복구 암호는 MBAM 키 복구 서비스에 저장되지 않습니다. 기본적으로 MBAM은 복구 키를 저장할 수 없는 한 암호화가 수행되도록 허용하지 않습니다.

    • 복구 키가 MBAM 서버에 저장되기 전에 컴퓨터가 복구 모드로 시작되면 복구 방법을 사용할 수 없으며 컴퓨터를 이미지로 다시 설치해야 합니다.

  3. 관리자 권한으로 명령 프롬프트를 열고 MBAM 서비스를 중지합니다.

  4. 다음 명령을 입력하여 서비스를 수동 또는 주문형 으로 설정합니다.

    net stop mbamagent

    sc config mbamagent start= demand

  5. MBAM 클라이언트가 그룹 정책 설정을 무시하고 대신 Windows가 해당 클라이언트 컴퓨터에 배포되는 시간을 시작하도록 암호화를 설정하도록 레지스트리 값을 설정합니다.

    주의 이 단계에서는 Windows 레지스트리를 수정하는 방법을 설명합니다. 레지스트리 편집기를 잘못 사용하면 Windows를 다시 설치해야 할 수 있는 심각한 문제가 발생할 수 있습니다. 레지스트리 편집기의 잘못된 사용으로 인한 문제를 해결할 수 있다고 보장할 수 없습니다. 사용자 고유의 위험에 레지스트리 편집기를 사용합니다.

    1. 운영 체제 전용 암호화에 대한 TPM을 설정하고 Regedit.exe 실행한 다음 C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg 레지스트리 키 템플릿을 가져옵니다.

    2. Regedit.exe HKLM\SOFTWARE\Microsoft\MBAM으로 이동하여 다음 표에 나열된 설정을 구성합니다.

      메모 여기에서 MBAM과 관련된 그룹 정책 설정 또는 레지스트리 값을 설정할 수 있습니다. 이러한 설정은 이전에 설정한 값을 재정의합니다.

      레지스트리 항목 구성 설정

      DeploymentTime

      0 = 끄기

      1 = 배포 시간 정책 설정 사용(기본값) – 이 설정을 사용하여 Windows가 클라이언트 컴퓨터에 배포될 때 암호화를 사용하도록 설정합니다.

      UseKeyRecoveryService

      0 = 키 에스크로를 사용하지 마세요(이 경우 다음 두 레지스트리 항목은 필요하지 않음).

      1 = 키 복구 시스템에서 키 에스크로 사용(기본값)

      MBAM에서 복구 키를 저장할 수 있도록 하는 권장 설정입니다. 컴퓨터는 MBAM 키 복구 서비스와 통신할 수 있어야 합니다. 계속하기 전에 컴퓨터가 서비스와 통신할 수 있는지 확인합니다.

      KeyRecoveryOptions

      0 = 복구 키만 업로드

      1 = 복구 키 및 키 복구 패키지 업로드(기본값)

      KeyRecoveryServiceEndPoint

      이 값을 Key Recovery 서비스를 실행하는 서버의 URL(예: http://< 컴퓨터 이름>/MBAMRecoveryAndHardwareService/CoreService.svc)으로 설정합니다.

  6. MBAM 클라이언트는 MBAM 클라이언트 배포 중에 시스템을 다시 시작합니다. 이 다시 시작 준비가 되면 관리자 권한으로 명령 프롬프트에서 다음 명령을 실행합니다.

    net start mbamagent

  7. 컴퓨터가 다시 시작되고 BIOS에서 메시지를 표시하면 TPM 변경 내용을 수락합니다.

  8. Windows 클라이언트 운영 체제 이미징 프로세스 중에 암호화를 시작할 준비가 되면 관리자 권한으로 명령 프롬프트를 열고 다음 명령을 입력하여 시작을 자동 으로 설정하고 MBAM 클라이언트 에이전트를 다시 시작합니다.

    sc config mbamagent start= auto

    net start mbamagent

  9. 레지스트리 바이패스 값을 삭제하려면 Regedit.exe 실행하고 HKLM\SOFTWARE\Microsoft 레지스트리 항목으로 이동합니다. MBAM 노드를 마우스 오른쪽 단추로 클릭한 다음 삭제를 클릭합니다.

MBAM 2.5 클라이언트 배포

MBAM 2.5 클라이언트 배포 계획

MBAM에 대한 제안이 있나요?