다음을 통해 공유

Intune 암호화 보고서를 사용하여 BitLocker 문제 해결

  • 아티클

Microsoft Intune 모든 관리되는 디바이스에서 암호화 상태 대한 세부 정보를 제공하는 기본 제공 암호화 보고서를 제공합니다. Intune 암호화 보고서는 암호화 실패 문제를 해결하는 데 유용한 시작점입니다. 보고서를 사용하여 BitLocker 암호화 오류를 식별하고 격리하고 Windows 디바이스의 TPM(신뢰할 수 있는 플랫폼 모듈) 상태 및 암호화 상태 확인할 수 있습니다.

이 문서에서는 Intune 암호화 보고서를 사용하여 BitLocker에 대한 암호화 문제를 해결하는 방법을 설명합니다. 추가 문제 해결 지침은 클라이언트 쪽에서 BitLocker 정책 문제 해결을 참조하세요.

참고

이 문제 해결 방법 및 암호화 보고서에서 사용할 수 있는 오류 세부 정보를 최대한 활용하려면 BitLocker 정책을 구성해야 합니다. 현재 디바이스 구성 정책을 사용하는 경우 정책을 마이그레이션하는 것이 좋습니다. 자세한 내용은 Intune 엔드포인트 보안에 대한 Intune 및 디스크 암호화 정책 설정을 사용하여 Windows 디바이스에 대한BitLocker 정책 관리를 참조하세요.

암호화 필수 구성 요소

기본적으로 BitLocker 설정 마법사는 사용자에게 암호화를 사용하도록 설정하라는 메시지를 표시합니다. 디바이스에서 BitLocker를 자동으로 사용하도록 설정하는 BitLocker 정책을 구성할 수도 있습니다. 이 섹션에서는 각 메서드에 대한 다양한 필수 구성 요소를 설명합니다.

참고

자동 암호화는 자동 암호화와 동일하지 않습니다. 자동 암호화는 최신 대기 상태 또는 HSTI(하드웨어 보안 테스트 인터페이스) 규격 디바이스에서 Windows OOBE(기본 제공 환경) 모드 중에 수행됩니다. 자동 암호화에서 Intune BitLocker CSP(구성 서비스 공급자) 설정을 통해 사용자 상호 작용을 표시하지 않습니다.

사용자 사용 암호화를 위한 필수 구성 요소:

  • 하드 디스크는 NTFS 형식의 운영 체제 드라이브와 UEFI의 경우 FAT32로 포맷된 350MB 이상의 시스템 드라이브 및 BIOS용 NTFS로 분할되어야 합니다.
  • Microsoft Entra 하이브리드 조인, Microsoft Entra 등록 또는 Microsoft Entra 조인을 통해 디바이스를 Intune 등록해야 합니다.
  • TPM(신뢰할 수 있는 플랫폼 모듈) 칩은 필요하지 않지만 보안 강화를 위해 매우 권장 됩니다.

BitLocker 자동 암호화에 대한 필수 구성 요소:

  • 잠금 해제해야 하는 TPM 칩(버전 1.2 또는 2.0)입니다.
  • WinRE(Windows 복구 환경)를 사용하도록 설정해야 합니다.
  • 하드 디스크는 NTFS 형식의 운영 체제 드라이브로 분할되어야 하며 350MB 이상의 시스템 드라이브는 UEFI(Unified Extensible Firmware Interface) 및 BIOS용 NTFS의 경우 FAT32로 포맷되어야 합니다. TPM 버전 2.0 디바이스에는 UEFI BIOS가 필요합니다. (보안 부팅은 필요하지 않지만 더 많은 보안을 제공합니다.)
  • Intune 등록된 디바이스는 Microsoft Azure 하이브리드 서비스 또는 Microsoft Entra ID 연결됩니다.

암호화 상태 및 오류 식별

등록된 Windows 10 디바이스에서 Intune BitLocker 암호화 오류는 다음 범주 중 하나에 속할 수 있습니다.

  • 디바이스 하드웨어 또는 소프트웨어가 BitLocker를 사용하도록 설정하기 위한 필수 구성 요소를 충족하지 않습니다.
  • Intune BitLocker 정책이 잘못 구성되어 GPO(그룹 정책 Object) 충돌이 발생합니다.
  • 디바이스가 이미 암호화되어 있으며 암호화 방법이 정책 설정과 일치하지 않습니다.

디바이스 암호화 실패의 범주를 식별하려면 Microsoft Intune 관리 센터에 로그인하고 디바이스>모니터링>암호화 보고서를 선택합니다. 보고서는 등록된 디바이스 목록을 표시하고 디바이스가 암호화되었거나 암호화할 준비가 되었는지 여부와 TPM 칩이 있는지 여부를 표시합니다.

암호화 보고서 예제를 Intune.

참고

Windows 10 디바이스에 준비되지 않음 상태 표시되는 경우 여전히 암호화를 지원할 수 있습니다. 준비 상태 경우 Windows 10 디바이스에 TPM이 활성화되어 있어야 합니다. TPM 디바이스는 암호화를 지원할 필요는 없지만 보안 강화를 위해 권장됩니다.

위의 예제에서는 TPM 버전 1.2가 있는 디바이스가 성공적으로 암호화되었음을 보여줍니다. 또한 자동으로 암호화할 수 없는 암호화할 준비가 되지 않은 두 디바이스와 암호화할 준비가 되었지만 아직 암호화되지 않은 하나의 TPM 2.0 디바이스를 볼 수 있습니다.

일반적인 오류 시나리오

다음 섹션에서는 암호화 보고서의 세부 정보로 진단할 수 있는 일반적인 실패 시나리오에 대해 설명합니다.

시나리오 1 – 디바이스가 암호화할 준비가 되지 않았으며 암호화되지 않음

암호화되지 않은 디바이스를 클릭하면 Intune 상태 요약이 표시됩니다. 아래 예제에는 디바이스를 대상으로 하는 여러 프로필이 있습니다. 엔드포인트 보호 정책, Mac 운영 체제 정책(이 디바이스에 적용되지 않음) 및 Microsoft Defender ATP(Advanced Threat Protection) 기준)

디바이스를 암호화할 준비가 되지 않았으며 암호화되지 않음을 보여 주는 Intune 상태 세부 정보입니다.

암호화 상태 설명했습니다.

상태 세부 정보 아래의 메시지는 디바이스에서 BitLocker CSP 상태 노드에서 반환되는 코드입니다. OS 볼륨이 암호화되지 않아 암호화 상태 오류 상태입니다. 또한 BitLocker 정책에는 디바이스가 충족하지 않는 TPM에 대한 요구 사항이 있습니다.

메시지는 TPM이 없고 정책에 디바이스가 필요하기 때문에 디바이스가 암호화되지 않음을 의미합니다.

시나리오 2 - 디바이스가 준비되었지만 암호화되지 않음

이 예제에서는 TPM 2.0 디바이스가 암호화되지 않음을 보여줍니다.

디바이스를 암호화할 준비가 되었지만 암호화되지 않음을 보여 주는 Intune 상태 세부 정보입니다.

암호화 상태 설명했습니다.

이 디바이스에는 자동 암호화가 아닌 사용자 상호 작용을 위해 구성된 BitLocker 정책이 있습니다. 사용자가 암호화 프로세스를 시작하거나 완료하지 않았으므로(사용자가 알림 메시지를 수신함) 드라이브가 암호화되지 않은 상태로 유지됩니다.

시나리오 3 - 디바이스가 준비되지 않았으며 자동으로 암호화되지 않음

사용자 상호 작용을 억제하고 자동으로 암호화하도록 암호화 정책을 구성하고 암호화 보고서 암호화 준비 상태가 적용되지 않거나준비되지 않은 경우 TPM이 BitLocker에 대해 준비되지 않은 것일 수 있습니다.

디바이스를 보여 주는 Intune 상태 세부 정보는 준비되지 않았으며 자동으로 암호화되지 않습니다.

디바이스 상태 세부 정보는 원인을 표시합니다.

Intune 디바이스 암호화 상태 TPM이 BitLocker에 대해 준비되지 않음을 보여 주는 세부 정보입니다.

암호화 상태 설명했습니다.

디바이스에서 TPM이 준비되지 않은 경우 펌웨어에서 사용하지 않도록 설정되었거나 지우거나 다시 설정해야 하기 때문일 수 있습니다. 영향을 받는 디바이스의 명령줄에서 TPM 관리 콘솔(TPM.msc)을 실행하면 TPM 상태를 이해하고 resolve 데 도움이 됩니다.

시나리오 4 - 디바이스가 준비되었지만 자동으로 암호화되지 않음

자동 암호화를 대상으로 하는 디바이스가 준비되었지만 아직 암호화되지 않은 데는 여러 가지 이유가 있습니다.

Intune 디바이스 암호화 상태 디바이스가 자동 암호화에 대한 준비가 되었지만 아직 암호화되지 않음을 보여 주는 세부 정보입니다.

암호화 상태 설명했습니다.

한 가지 설명은 WinRE가 필수 구성 요소인 디바이스에서 사용하도록 설정되지 않았다는 것입니다. 관리자 권한으로 reagentc.exe/info 명령을 사용하여 디바이스에서 WinRE 상태 유효성을 검사할 수 있습니다.

reagentc.exe/info의 명령 프롬프트 출력입니다.

WinRE를 사용하지 않도록 설정한 경우 관리자 권한으로 reagentc.exe/info 명령을 실행하여 WinRE를 사용하도록 설정합니다.

명령 프롬프트에서 WinRE를 사용하도록 설정합니다.

WinRE가 올바르게 구성되지 않은 경우 상태 세부 정보 페이지에 다음 메시지가 표시됩니다.

디바이스에 로그인한 사용자에게는 관리자 권한이 없습니다.

또 다른 이유는 관리 권한일 수 있습니다. BitLocker 정책이 관리 권한이 없는 사용자를 대상으로 하고 Autopilot 중에 표준 사용자가 암호화를 사용하도록 허용하지 않는 경우 다음 암호화 상태 세부 정보가 표시됩니다.

암호화 상태 설명했습니다.

표준 사용자가 Autopilot 중에 암호화를 사용하도록 허용예로 설정하여 Microsoft Entra 조인된 디바이스에 대해 이 문제를 resolve.

시나리오 5 - 디바이스가 오류 상태이지만 암호화됨

이 일반적인 시나리오에서 Intune 정책이 XTS-AES 128비트 암호화에 대해 구성되었지만 대상 디바이스가 XTS-AES 256비트 암호화(또는 반대)를 사용하여 암호화되는 경우 아래에 표시된 오류가 표시됩니다.

Intune 디바이스 암호화 상태 디바이스가 오류 상태이지만 암호화되었음을 보여 주는 세부 정보입니다.

암호화 상태 설명했습니다.

이는 사용자가 수동으로 Microsoft BitLocker 관리 및 모니터링(MBAM)을 사용하거나 등록 전에 Microsoft Configuration Manager 다른 방법을 사용하여 이미 암호화된 디바이스에서 발생합니다.

이 문제를 해결하려면 수동으로 또는 Windows PowerShell 사용하여 디바이스의 암호를 해독합니다. 그런 다음 Intune BitLocker 정책이 다음에 해당 정책에 도달할 때 디바이스를 다시 암호화하도록 합니다.

시나리오 6 - 디바이스가 암호화되었지만 프로필 상태가 오류인 경우

경우에 따라 디바이스가 암호화된 것처럼 보이지만 프로필 상태 요약에 오류 상태가 있는 경우도 있습니다.

프로필 상태 요약이 오류 상태임을 보여 주는 Intune 암호화 상태 세부 정보입니다.

암호화 상태 설명했습니다.

이는 일반적으로 디바이스가 다른 수단으로 암호화되었을 때 발생합니다(수동일 수 있음). 설정은 현재 정책과 일치하지만 Intune 암호화를 시작하지 않았습니다.