다음을 통해 공유


EnterpriseDataProtection CSP

참고

2022년 7월부터 Microsoft는 WIP(Windows Information Protection)를 더 이상 사용하지 않습니다. Microsoft는 지원되는 Windows 버전에서 WIP를 계속 지원합니다. 새 버전의 Windows에는 WIP에 대한 새로운 기능이 포함되지 않으며 이후 버전의 Windows에서는 지원되지 않습니다. 자세한 내용은 Windows Information Protection의 일몰 발표를 참조하세요.

데이터 보호 요구 사항에 따라 Microsoft Purview Information ProtectionMicrosoft Purview 데이터 손실 방지를 사용하는 것이 좋습니다. Purview는 구성 설정을 간소화하고 고급 기능 집합을 제공합니다.

아래 표에서는 Windows의 적용 가능성을 보여 줍니다.

버전 Windows 10 Windows 11
Home
Pro
Windows SE 아니요
Business
Enterprise
Education

EnterpriseDataProtection CSP(구성 서비스 공급자)는 WIP(Windows Information Protection)에 대한 설정을 구성하는 데 사용되며, 이전에는 Enterprise Data Protection이라고도 합니다. WIP에 대한 자세한 내용은 WIP(Windows Information Protection)를 사용하여 엔터프라이즈 데이터 보호를 참조하세요.

참고

Windows Information Protection을 작동하려면 AppLocker CSP 및 네트워크 격리 관련 설정도 구성해야 합니다. 자세한 내용은 정책 CSP의 AppLocker CSP 및 NetworkIsolation 정책을 참조 하세요.

Windows Information Protection은 VPN에 대한 하드 종속성이 없지만 최상의 결과를 위해서는 WIP 정책을 구성하기 전에 먼저 VPN 프로필을 구성해야 합니다. VPN 모범 사례 권장 사항은 VPNv2 CSP를 참조하세요.

Windows Information Protection에 대한 자세한 내용은 다음 문서를 참조하세요.

다음 예제에서는 트리 형식의 EnterpriseDataProtection CSP를 보여 줍니다.

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection

CSP의 루트 노드입니다.

설정

WIP(Windows Information Protection) 구성 설정의 루트 노드입니다.

설정/EDPEnforcementLevel

WIP 적용 수준을 설정합니다.

참고

이 값을 설정해도 디바이스에서 Windows Information Protection을 사용하도록 설정하는 데 충분하지 않습니다. WIP 정리가 실행 중일 때 이 값을 변경하려고 하면 실패합니다.

다음 목록은 지원되는 값을 표시합니다.

  • 0(기본값) - 끄기/보호 없음(이전에 보호된 데이터의 암호 해독).
  • 1 - 자동 모드(암호화 및 감사 전용).
  • 2 - 재정의 모드 허용(암호화, 프롬프트 및 재정의 허용 및 감사).
  • 3 - 재정의를 숨깁니다(암호화, 프롬프트, 재정의 숨기기 및 감사).

지원되는 작업은 추가, 가져오기, 바꾸기 및 삭제입니다. 값 유형은 정수입니다.

설정/EnterpriseProtectedDomainNames

파이프(|)로 구분된 사용자 ID에 대해 엔터프라이즈에서 사용하는 도메인 목록입니다. 목록의 첫 번째 도메인은 기본 엔터프라이즈 ID, 즉 Windows Information Protection에 대한 관리 기관을 나타내는 도메인이어야 합니다. 이러한 도메인에 속하는 사용자 ID는 기업에서 관리하는 계정으로 간주되어 관련 데이터가 보호됩니다. 예를 들어 엔터프라이즈가 소유한 모든 전자 메일 계정의 도메인이 이 목록에 표시되어야 합니다. WIP 정리가 실행 중일 때 이 값을 변경하려고 하면 실패합니다.

기본 엔터프라이즈 ID를 변경하는 것은 지원되지 않으며 클라이언트에서 예기치 않은 동작이 발생할 수 있습니다.

참고

클라이언트는 도메인 이름이 정식이어야 합니다. 그렇지 않으면 클라이언트가 설정을 거부합니다.

정식 도메인 이름을 만드는 단계는 다음과 같습니다.

  1. ASCII 문자(A-Z만 해당)를 소문자로 변환합니다. 예를 들어 Microsoft.COM -> microsoft.com.
  2. 플래그로 IDN_USE_STD3_ASCII_RULES 사용하여 IdnToAscii 를 호출합니다.
  3. 플래그가 설정되지 않은 IdnToUnicode 를 호출합니다(dwFlags = 0).

지원되는 작업은 추가, 가져오기, 바꾸기 및 삭제입니다. 값 유형은 문자열입니다.

설정/AllowUserDecryption

사용자가 파일의 암호를 해독할 수 있습니다. 0(허용되지 않음)으로 설정된 경우 사용자는 운영 체제 또는 애플리케이션 사용자 환경을 통해 엔터프라이즈 콘텐츠에서 보호를 제거할 수 없습니다.

중요

Windows 10 버전 1703부터 AllowUserDecryption은 더 이상 지원되지 않습니다.

다음 목록은 지원되는 값을 보여줍니다.

  • 0 – 허용되지 않음.
  • 1(기본값) - 허용됨.

가장 제한된 값은 0입니다.

지원되는 작업은 추가, 가져오기, 바꾸기 및 삭제입니다. 값 유형은 정수입니다.

설정/DataRecoveryCertificate

암호화된 파일의 데이터 복구에 사용할 수 있는 복구 인증서를 지정합니다. 이 인증서는 그룹 정책 대신 MDM(모바일 디바이스 관리)을 통해서만 전달되는 EFS(파일 시스템)를 암호화하기 위한 DRA(데이터 복구 에이전트) 인증서와 동일합니다.

참고

이 정책과 해당 그룹 정책 설정이 모두 구성된 경우 그룹 정책 설정이 적용됩니다.

MDM 정책의 DRA 정보는 GP에서 기대하는 것과 동일한 직렬화된 이진 Blob이어야 합니다. 이진 Blob은 다음 구조의 직렬화된 버전입니다.

//
//  Recovery Policy Data Structures
//

typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;

typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;

#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)

#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)

///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////

//
// Current format of recovery data.
//

typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;


typedef struct _EFS_PUBLIC_KEY_INFO {

    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //

    ULONG Length;

    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //

    ULONG PossibleKeyOwner;

    //
    // Contains information describing how to interpret
    // the public key information
    //

    ULONG KeySourceTag;

    union {

        struct {

            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //

            ULONG ContainerName;
            ULONG ProviderName;

            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //

            ULONG PublicKeyBlob;

            //
            // Length of the PublicKeyBlob in bytes
            //

            ULONG PublicKeyBlobLength;

        } ContainerInfo;

        struct {

            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure

        } CertificateInfo;


        struct {

            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure

        } CertificateThumbprint;
    };



} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;

//
// Possible KeyTag values
//

typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;

EFSCertificate KeyTag의 경우 DER ENCODED 이진 인증서가 될 것으로 예상됩니다.

지원되는 작업은 추가, 가져오기, 바꾸기 및 삭제입니다. 값 형식은 base-64로 인코딩된 인증서입니다.

설정/RevokeOnUnenroll

이 정책은 디바이스가 관리 서비스에서 등록을 취소할 때 Windows Information Protection 키를 취소할지 여부를 제어합니다. 키를 0(취소하지 않음)으로 설정하면 키가 해지되지 않으며 사용자는 등록을 취소한 후에도 보호된 파일에 계속 액세스할 수 있습니다. 키가 해지되지 않으면 나중에 해지된 파일 정리가 없습니다. 등록 취소 명령을 보내기 전에 디바이스가 등록 취소될 때 선택적 초기화를 수행하려는 경우 이 정책을 명시적으로 1로 설정해야 합니다.

다음 목록은 지원되는 값을 표시합니다.

  • 0 - 키를 취소하지 마세요.
  • 1(기본값) - 키를 해지합니다.

지원되는 작업은 추가, 가져오기, 바꾸기 및 삭제입니다. 값 유형은 정수입니다.

설정/RevokeOnMDMHandoff

Windows 10, 버전 1703에서 추가됨. 이 정책은 디바이스가 MAM(모바일 애플리케이션 관리)에서 MDM으로 업그레이드할 때 Windows Information Protection 키를 취소할지 여부를 제어합니다. 키를 0으로 설정하면(키 해지 안 함) 키가 해지되지 않으며 사용자는 업그레이드 후 보호된 파일에 계속 액세스할 수 있습니다. MDM 서비스가 MAM 서비스와 동일한 WIP EnterpriseID로 구성된 경우 이 설정을 사용하는 것이 좋습니다.

  • 0 - 키를 취소하지 마세요.
  • 1(기본값) - 키를 해지합니다.

지원되는 작업은 추가, 가져오기, 바꾸기 및 삭제입니다. 값 유형은 정수입니다.

설정/RMSTemplateIDForEDP

RMS(Rights Management Service) 암호화에 사용할 TemplateID GUID입니다. RMS 템플릿을 사용하면 IT 관리자가 RMS로 보호된 파일에 액세스할 수 있는 사용자와 액세스 권한이 있는 기간에 대한 세부 정보를 구성할 수 있습니다.

지원되는 작업은 추가, 가져오기, 바꾸기 및 삭제입니다. 값 형식은 문자열(GUID)입니다.

설정/AllowAzureRMSForEDP

Windows Information Protection에 Azure RMS 암호화를 허용할지 여부를 지정합니다.

  • 0(기본값) - RMS를 사용하지 마세요.
  • 1 - RMS를 사용합니다.

지원되는 작업은 추가, 가져오기, 바꾸기 및 삭제입니다. 값 유형은 정수입니다.

설정/SMBAutoEncryptedFileExtensions

Windows 10, 버전 1703에서 추가됨. NetworkIsolation/EnterpriseIPRangeNetworkIsolation/EnterpriseNetworkDomainNames에 대한 정책 CSP 노드에 정의된 대로 회사 경계 내의 SMB(서버 메시지 블록) 공유에서 복사할 때 이러한 확장명 파일이 암호화되도록 파일 확장명 목록을 지정합니다. 목록에서 세미콜론(;) 구분 기호를 사용합니다. 이 정책을 지정하지 않으면 기존 자동 암호화 동작이 적용됩니다. 이 정책을 구성하면 목록에 확장이 있는 파일만 암호화됩니다. 지원되는 작업은 추가, 가져오기, 바꾸기 및 삭제입니다. 값 유형은 문자열입니다.

설정/EDPShowIcons

탐색기에서 WIP로 보호된 파일의 아이콘과 시작 메뉴의 엔터프라이즈 전용 앱 타일에 오버레이가 추가되는지 여부를 결정합니다. Windows 10 버전 1703부터 이 설정은 WIP로 보호되는 앱의 제목 표시줄에서 Windows Information Protection 아이콘의 표시 여부도 구성합니다. 다음 목록은 지원되는 값을 표시합니다.

  • 0(기본값) - 아이콘 또는 타일에 WIP 오버레이가 없습니다.
  • 1 - 엔터프라이즈 콘텐츠만 만들 수 있는 보호된 파일 및 앱에 WIP 오버레이를 표시합니다.

지원되는 작업은 추가, 가져오기, 바꾸기 및 삭제입니다. 값 유형은 정수입니다.

상태

디바이스에서 Windows Information Protection의 현재 상태를 나타내는 읽기 전용 비트 마스크입니다. MDM 서비스는 이 값을 사용하여 WIP의 현재 전체 상태를 확인할 수 있습니다. WIP 필수 정책 및 WIP AppLocker 설정이 구성된 경우에만 WIP가 켜집니다(비트 0 = 1).

제안된 값:

향후 사용을 위해 예약됨 WIP 필수 설정
Set = 1
설정 안 됨 = 0
향후 사용을 위해 예약됨 AppLocker가 구성됨
예 = 1
아니요 = 0
WIP on = 1
WIP off = 0
4 3 2 1 0

비트 0은 WIP가 켜져 있는지 여부를 나타냅니다.

비트 1은 AppLocker WIP 정책이 설정되었는지 여부를 나타냅니다.

비트 3은 필수 Windows Information Protection 정책이 구성되었는지 여부를 나타냅니다. 하나 이상의 필수 WIP 정책이 구성되지 않은 경우 비트 3은 0으로 설정됩니다.

다음은 필수 WIP 정책 목록입니다.

  • EnterpriseDataProtection CSP의 EDPEnforcementLevel
  • EnterpriseDataProtection CSP의 DataRecoveryCertificate
  • EnterpriseDataProtection CSP의 EnterpriseProtectedDomainNames
  • 정책 CSP의 NetworkIsolation/EnterpriseIPRange
  • 정책 CSP의 NetworkIsolation/EnterpriseNetworkDomainNames

비트 2와 4는 나중에 사용하도록 예약되어 있습니다.

지원되는 작업은 Get입니다. 값 유형은 정수입니다.

구성 서비스 공급자 참조

WIP(Windows Information Protection)를 사용하여 엔터프라이즈 데이터 보호