정책 CSP - 보안
AllowAddProvisioningPackage
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage
런타임 구성 에이전트가 프로비저닝 패키지를 설치하도록 허용할지 여부를 지정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 허용되지 않음 |
| 1(기본값) | 허용됩니다. |
AllowManualRootCertificateInstallation
참고
이 정책은 더 이상 사용되지 않으며 향후 릴리스에서 제거될 수 있습니다.
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
❌ 프로 ❌ Enterprise ❌ Education ❌ Windows SE ❌ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation
이 정책은 사용되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 허용되지 않음 |
| 1(기본값) | 허용됩니다. |
AllowRemoveProvisioningPackage
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage
런타임 구성 에이전트가 프로비저닝 패키지를 제거할 수 있도록 허용할지 여부를 지정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 허용되지 않음 |
| 1(기본값) | 허용됩니다. |
AntiTheftMode
참고
이 정책은 더 이상 사용되지 않으며 향후 릴리스에서 제거될 수 있습니다.
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
해당 없음 | ✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode
이 정책은 사용되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 비활성화. |
| 1(기본값) | 활성화. |
ClearTPMIfNotReady
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady
이 정책 설정은 TPM이 준비 이외의 상태에 있는 것으로 감지되면 사용자에게 TPM을 지우라는 메시지를 표시하도록 시스템을 구성합니다. 이 정책은 TPM이 "준비됨, 기능이 축소된 상태"인 경우를 포함하여 시스템의 TPM이 Ready 이외의 상태에 있는 경우에만 적용됩니다. TPM을 지우라는 프롬프트는 로그인한 사용자가 시스템에 대한 Administrators 그룹의 일부인 경우에만 사용자 로그인 시 다음 다시 부팅 후에 시작됩니다. 프롬프트를 해제할 수 있지만 정책을 사용하지 않도록 설정하거나 TPM이 준비 상태가 될 때까지 다시 부팅하고 로그인할 때마다 다시 나타납니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 준비되지 않은 TPM 상태에서 강제로 복구하지 않습니다. |
| 1 | TPM이 준비되지 않은 상태(또는 축소된 기능)에 있는 경우 TPM 지우기를 묻는 메시지를 표시합니다. 이 경우 TPM 지우기로 수정할 수 있습니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | ClearTPMIfNotReady_Name |
| 이름 | 준비 상태가 아닌 경우 TPM을 지우도록 시스템을 구성합니다. |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 신뢰할 수 있는 플랫폼 모듈 서비스 |
| 레지스트리 키 이름 | Software\Policies\Microsoft\TPM |
| 레지스트리 값 이름 | ClearTPMIfNotReadyGP |
| ADMX 파일 이름 | TPM.admx |
ConfigureWindowsPasswords
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords
Windows 기능에 대한 암호 사용을 구성합니다.
참고
이 정책은 Windows 10 S에서만 지원됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 2 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 암호를 허용하지 않습니다(비대칭 자격 증명은 Windows 기능의 암호를 대체하기 위해 승격됩니다). |
| 1 | 암호 허용(암호는 Windows 기능에 계속 사용 가능) |
| 2(기본값) | SKU 및 디바이스 기능에 따라. Windows 10 S 디바이스는 "암호 허용 불가" 기본값을 나타내고 다른 모든 디바이스는 기본적으로 "암호 허용"으로 설정됩니다.) |
PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
디바이스가 Microsoft Entra 조인될 때 OOBE 중에 자동 디바이스 암호화를 허용할지 여부를 지정합니다.
자세한 내용은 BitLocker 디바이스 암호화를 참조하세요.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 암호화가 사용하도록 설정되었습니다. |
| 1 | 암호화를 사용할 수 없습니다. |
RecoveryEnvironmentAuthentication
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ✅ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
이 정책은 RecoveryEnvironment에서 관리 인증의 요구 사항을 제어합니다.
유효성 검사 절차:
이 정책의 유효성을 검사하려면 새로 고침("내 파일 유지") 및 다시 설정("모든 항목 제거")에 WinRE(Windows 복구 환경)에서 관리자 인증이 필요한지 여부를 검사.
- 먼저 WinRE에서 PBR(Push Button Reset)을 시작합니다. 관리자 권한으로 명령 프롬프트를 열고 다음 명령을 실행합니다.
reagentc /boottore - 디바이스가 WinRE로 다시 시작해야 합니다. WinRE 인터페이스에서 문제 해결 로 이동하여 이 PC 다시 설정을 선택합니다. 내 파일 유지 및 모든 항목 제거의 두 가지 옵션이 표시됩니다.
- 내 파일 유지 옵션을 선택합니다. 인증에 대한 동작을 봅니다.
- 뒤로 화살표를 선택하고 모든 항목 제거를 선택합니다. 인증에 대한 동작을 봅니다.
돌아가는 대신 다시 설정 옵션을 살펴보고 최종 확인 페이지에서 취소 를 선택할 수 있습니다. 그런 다음 기본 WinRE 인터페이스로 돌아갑니다.
다음 표에서는 각 시나리오의 정책 설정에 대해 예상되는 동작을 보여줍니다.
- ✔️ 인증을 묻는 메시지가 표시됩니다.
- ❌ 인증이 필요하지 않으며 다시 설정 옵션으로 계속됩니다.
| 정책 | 내 파일 유지 | 모든 항목 제거 |
|---|---|---|
기본값(0) |
✔️ | ❌ |
RequireAuthentication" (1) |
✔️ | ✔️ |
NoRequireAuthentication" (2) |
❌ | ❌ |
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 현재) 동작입니다. |
| 1 | RequireAuthentication: 관리 인증은 RecoveryEnvironment의 구성 요소에 항상 필요합니다. |
| 2 | NoRequireAuthentication: recoveryEnvironment의 구성 요소에는 관리 인증이 필요하지 않습니다. |
RequireDeviceEncryption
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption
엔터프라이즈에서 내부 스토리지 암호화를 켤 수 있습니다. 가장 제한된 값은 1입니다 중요. 암호화를 사용하도록 설정한 경우 이 정책을 사용하여 암호화를 해제할 수 없습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 암호화는 필요하지 않습니다. |
| 1 | 암호화가 필요합니다. |
RequireProvisioningPackageSignature
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature
프로비전 패키지에 디바이스 신뢰할 수 있는 기관에서 서명한 인증서가 있어야 하는지 여부를 지정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 필수가 아닙니다. |
| 1 | 필수. |
RequireRetrieveHealthCertificateOnBoot
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot
디바이스가 부팅되거나 다시 부팅될 때 TCG 부팅 로그를 검색 및 게시하고 Microsoft Health HAS(증명 서비스)에서 암호화되거나 서명된 상태 증명 보고서를 다운로드하거나 캐시할지 여부를 지정합니다. 이 정책을 1(필수):D 디바이스에 TPM 2가 있는지 확인하여 디바이스가 원격 디바이스 상태 증명을 수행할 수 있는지 여부를 결정합니다. 0. 디바이스 상태 확인 중 대기 시간을 줄이기 위해 디바이스가 데이터를 가져오고 캐시할 수 있도록 하여 디바이스의 성능을 향상시킵니다.
참고
이 정책은 MDM 등록 후 필수로 설정하는 것이 좋습니다. 가장 제한된 값은 1입니다
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 필수가 아닙니다. |
| 1 | 필수. |