Intune 사용하여 BitLocker 정책 적용: 알려진 문제

이 문서는 Microsoft Intune 정책을 사용하여 디바이스에서 자동 BitLocker 암호화를 관리하는 경우 발생할 수 있는 문제를 해결하는 데 도움이 됩니다. Intune 포털은 BitLocker가 하나 이상의 관리 디바이스를 암호화하지 못했는지 여부를 나타냅니다.

문제의 원인을 축소하려면 BitLocker 문제 해결에 설명된 대로 이벤트 로그를 검토합니다. 애플리케이션 및 서비스 로그Microsoft>Windows>BitLocker-API 폴더의 관리 및 운영 로그에 집중합니다>. 다음 섹션에서는 표시된 이벤트 및 오류 메시지를 resolve 방법에 대한 자세한 정보를 제공합니다.

• 이벤트 ID 853: 오류: 이 컴퓨터에서 호환되는 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 디바이스를 찾을 수 없습니다.
• 이벤트 ID 853: 오류: 컴퓨터에서 BitLocker 드라이브 암호화가 부팅 가능한 미디어(CD 또는 DVD)를 검색했습니다.
• 이벤트 ID 854: WinRE가 구성되지 않음
• 이벤트 ID 851: BIOS 업그레이드를 위한 제조업체에 문의
• 오류 메시지: UEFI 변수 'SecureBoot'를 읽을 수 없습니다.
• 이벤트 ID 846, 778 및 851: 오류 0x80072f9a
• 오류 메시지: 운영 체제 드라이브의 복구 옵션에 대한 그룹 정책 설정이 충돌합니다.

따라야 할 이벤트 또는 오류 메시지의 명확한 흔적이 없는 경우 조사할 다른 영역에는 다음 영역이 포함됩니다.

• Intune 사용하여 디바이스에서 BitLocker를 관리하기 위한 하드웨어 요구 사항 검토
• BitLocker 정책 구성 검토

Intune 정책이 BitLocker를 올바르게 적용하고 있는지 확인하는 절차에 대한 자세한 내용은 BitLocker가 올바르게 작동하는지 확인을 참조하세요.

이벤트 ID 853: 오류: 이 컴퓨터에서 호환되는 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 디바이스를 찾을 수 없습니다.

이벤트 ID 853은 컨텍스트에 따라 다른 오류 메시지를 전달할 수 있습니다. 이 경우 이벤트 ID 853 오류 메시지는 디바이스에 TPM이 없는 것으로 표시됨을 나타냅니다. 이벤트 정보는 다음 이벤트와 유사합니다.

이벤트 ID 853의 원인: 오류: 이 컴퓨터에서 호환되는 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 디바이스를 찾을 수 없습니다.

보호되는 디바이스에 TPM 칩이 없거나 디바이스 BIOS가 TPM을 사용하지 않도록 구성되었을 수 있습니다.

이벤트 ID 853에 대한 해결 방법: 오류: 이 컴퓨터에서 호환되는 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 디바이스를 찾을 수 없습니다.

이 문제를 resolve 다음 구성을 확인합니다.

• TPM은 디바이스 BIOS에서 사용하도록 설정됩니다.
• TPM 관리 콘솔 TPM 상태 다음 상태와 유사합니다.
  • 준비 완료(TPM 2.0)
  • 초기화됨(TPM 1.2)

자세한 내용은 TPM 문제 해결을 참조하세요.

이벤트 ID 853: 오류: 컴퓨터에서 BitLocker 드라이브 암호화가 부팅 가능한 미디어(CD 또는 DVD)를 검색했습니다.

이 경우 이벤트 ID 853이 표시되고 이벤트의 오류 메시지는 부팅 가능한 미디어를 디바이스에서 사용할 수 있음을 나타냅니다. 이벤트 정보는 다음과 유사합니다.

이벤트 ID 853의 원인: 오류: 컴퓨터에서 BitLocker 드라이브 암호화가 부팅 가능한 미디어(CD 또는 DVD)를 검색했습니다.

프로비저닝 프로세스 중에 BitLocker 드라이브 암호화는 디바이스의 구성을 기록하여 기준을 설정합니다. 나중에 디바이스 구성이 변경되면(예: 미디어가 제거된 경우) BitLocker 복구 모드가 자동으로 시작됩니다.

이 상황을 방지하기 위해 이동식 부팅 가능 미디어를 감지하면 프로비전 프로세스가 중지됩니다.

이벤트 ID 853에 대한 해결 방법: 오류: 컴퓨터에서 BitLocker 드라이브 암호화가 부팅 가능한 미디어(CD 또는 DVD)를 검색했습니다.

부팅 가능한 미디어를 제거하고 디바이스를 다시 시작합니다. 디바이스가 다시 시작되면 암호화 상태 확인합니다.

이벤트 ID 854: WinRE가 구성되지 않음

이벤트 정보는 다음 오류 메시지와 유사합니다.

자동 암호화를 사용하도록 설정하지 못했습니다. WinRe가 구성되지 않았습니다.

오류: WinRE가 제대로 구성되지 않았기 때문에 이 PC는 디바이스 암호화를 지원할 수 없습니다.

이벤트 ID 854의 원인: WinRE가 구성되지 않음

WinRE(Windows 복구 환경)는 Windows PE(Windows 사전 설치 환경)를 기반으로 하는 최소 Windows 운영 체제입니다. WinRE에는 관리자가 Windows를 복구 또는 재설정하고 Windows 문제를 진단하는 데 사용할 수 있는 여러 도구가 포함되어 있습니다. 디바이스가 일반 Windows 운영 체제를 시작할 수 없는 경우 디바이스는 WinRE를 시작하려고 합니다.

프로비저닝 프로세스는 Windows PE 프로비저닝 단계 중에 운영 체제 드라이브에서 BitLocker 드라이브 암호화를 사용하도록 설정합니다. 이 작업을 수행하면 전체 운영 체제가 설치되기 전에 드라이브가 보호됩니다. 또한 프로비저닝 프로세스는 시스템이 충돌하는 경우 사용할 WinRE에 대한 시스템 파티션을 만듭니다.

디바이스에서 WinRE를 사용할 수 없는 경우 프로비저닝이 중지됩니다.

이벤트 ID 854에 대한 해결 방법: WinRE가 구성되지 않음

이 문제는 다음 단계에 따라 디스크 파티션의 구성, WinRE 상태 및 Windows 부팅 로더 구성을 확인하여 해결할 수 있습니다.

1단계: 디스크 파티션 구성 확인

이 섹션에 설명된 절차는 설치 중에 Windows에서 구성하는 기본 디스크 파티션에 따라 달라집니다. Windows 11 및 Windows 10 Winre.wim 파일이 포함된 복구 파티션을 자동으로 만듭니다. 파티션 구성은 다음과 유사합니다.

디스크 파티션의 구성을 확인하려면 관리자 권한 명령 프롬프트 창을 열고 다음 명령을 실행합니다.

diskpart.exe 
list volume

볼륨의 상태 정상이 아니거나 복구 파티션이 누락된 경우 Windows를 다시 설치해야 할 수 있습니다. Windows를 다시 설치하기 전에 프로비전 중인 Windows 이미지의 구성을 검사. 이미지가 올바른 디스크 구성을 사용하는지 확인합니다. 이미지 구성은 다음과 유사해야 합니다(이 예제는 Microsoft Configuration Manager).

2단계: WinRE 상태 확인

디바이스에서 WinRE의 상태 확인하려면 관리자 권한 명령 프롬프트 창을 열고 다음 명령을 실행합니다.

reagentc.exe /info

이 명령의 출력은 다음과 유사합니다.

Windows RE 상태사용하도록 설정되지 않은 경우 다음 명령을 실행하여 사용하도록 설정합니다.

reagentc.exe /enable

3단계: Windows 부팅 로더 구성 확인

파티션 상태 정상이지만 reagentc.exe /enable 명령으로 인해 오류가 발생하는 경우 관리자 권한 명령 프롬프트 창에서 다음 명령을 실행하여 Windows 부팅 로더에 복구 순서 GUID가 포함되어 있는지 확인합니다.

bcdedit.exe /enum all

이 명령의 출력은 다음 출력과 유사합니다.

출력에서 줄 식별자={current}가 포함된 Windows 부팅 로더 섹션을 찾습니다. 해당 섹션에서 recoverysequence 특성을 찾습니다. 이 특성의 값은 0 문자열이 아닌 GUID 값이어야 합니다.

이벤트 ID 851: BIOS 업그레이드 지침에 대한 제조업체에 문의

이벤트 정보는 다음 오류 메시지와 유사합니다.

자동 암호화를 사용하도록 설정하지 못했습니다.

오류: 운영 체제 드라이브에서 BitLocker 드라이브 암호화를 사용하도록 설정할 수 없습니다. BIOS 업그레이드 지침은 컴퓨터 제조업체에 문의하세요.

이벤트 ID 851의 원인: BIOS 업그레이드 지침은 제조업체에 문의하세요.

디바이스에는 UEFI(Unified Extensible Firmware Interface) BIOS가 있어야 합니다. 자동 BitLocker 드라이브 암호화는 레거시 BIOS를 지원하지 않습니다.

이벤트 ID 851에 대한 해결 방법: BIOS 업그레이드 지침에 대한 제조업체에 문의

BIOS 모드를 확인하려면 다음 단계에 따라 시스템 정보 애플리케이션을 사용합니다.

1. 시작을 선택하고 검색 상자에 msinfo32를 입력합니다.

2. BIOS 모드 설정이 레거시가 아닌 UEFI인지 확인합니다.

   

3. BIOS 모드 설정이 레거시인 경우 UEFI 펌웨어를 UEFI 또는 EFI 모드로 전환해야 합니다. UEFI 또는 EFI 모드로 전환하는 단계는 디바이스에 따라 다릅니다.

   참고

   디바이스가 레거시 모드만 지원하는 경우 Intune 디바이스에서 BitLocker 디바이스 암호화를 관리하는 데 사용할 수 없습니다.

오류 메시지: UEFI 변수 'SecureBoot'를 읽을 수 없습니다.

다음 오류 메시지와 유사한 오류 메시지가 표시됩니다.

오류: UEFI 변수 'SecureBoot'를 읽을 수 없으므로 BitLocker는 무결성을 위해 보안 부팅을 사용할 수 없습니다. 필요한 권한은 클라이언트에서 보유하지 않습니다.

오류 메시지의 원인: UEFI 변수 'SecureBoot'를 읽을 수 없습니다.

PCR(플랫폼 구성 레지스터)은 TPM의 메모리 위치입니다. 특히 PCR 7은 보안 부팅 상태를 측정합니다. 자동 BitLocker 드라이브 암호화를 사용하려면 보안 부팅을 켜야 합니다.

오류 메시지 해결: UEFI 변수 'SecureBoot'를 읽을 수 없습니다.

이 문제는 다음 단계에 따라 TPM의 PCR 유효성 검사 프로필 및 보안 부팅 상태를 확인하여 해결할 수 있습니다.

1단계: TPM의 PCR 유효성 검사 프로필 확인

PCR 7이 사용 중인지 확인하려면 관리자 권한 명령 프롬프트 창을 열고 다음 명령을 실행합니다.

Manage-bde.exe -protectors -get %systemdrive%

이 명령 출력의 TPM 섹션에서 PCR 유효성 검사 프로필 설정에 다음과 같이 7이 포함되어 있는지 확인합니다.

PCR 유효성 검사 프로필에 7이 포함되지 않은 경우(예: 값에 0, 2, 4 및 11이 포함되지만 7이 아님) 보안 부팅이 켜지지 않습니다.

2: 보안 부팅 상태 확인

보안 부팅 상태를 확인하려면 다음 단계에 따라 시스템 정보 애플리케이션을 사용합니다.

1. 시작을 선택하고 검색 상자에 msinfo32를 입력합니다.

2. 다음과 같이 보안 부팅 상태 설정이 켜짐인지 확인합니다.

   

3. 보안 부팅 상태 설정이 지원되지 않는 경우 디바이스에서 자동 BitLocker 암호화를 사용할 수 없습니다.

   

참고

Confirm-SecureBootUEFI PowerShell cmdlet을 사용하여 관리자 권한 PowerShell 창을 열고 다음 명령을 실행하여 보안 부팅 상태를 확인할 수도 있습니다.

Confirm-SecureBootUEFI

컴퓨터에서 보안 부팅을 지원하고 보안 부팅을 사용하도록 설정한 경우 이 cmdlet은 "True"를 반환합니다.

컴퓨터에서 보안 부팅을 지원하고 보안 부팅을 사용하지 않도록 설정한 경우 이 cmdlet은 "False"를 반환합니다.

컴퓨터가 보안 부팅을 지원하지 않거나 BIOS(비 UEFI) 컴퓨터인 경우 이 cmdlet은 "이 플랫폼에서 지원되지 않는 Cmdlet"을 반환합니다.

이벤트 ID 846, 778 및 851: 오류 0x80072f9a

다음과 같은 경우를 생각해볼 수 있습니다.

Intune 정책은 Windows 10, 버전 1809 디바이스를 암호화하기 위해 배포되고 복구 암호는 Microsoft Entra ID 저장됩니다. 정책 구성의 일부로 표준 사용자가 Microsoft Entra 조인 중에 암호화를 사용하도록 허용 옵션이 선택되었습니다.

정책 배포가 실패하면 애플리케이션 및 서비스 로그>Microsoft>Windows>BitLocker API 폴더의 이벤트 뷰어 다음 이벤트가 생성됩니다.

이벤트 ID:846

이벤트: 볼륨 C에 대한 BitLocker 드라이브 암호화 복구 정보를 Microsoft Entra ID 백업하지 못했습니다.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} 오류: 알 수 없는 HResult 오류 코드: 0x80072f9a

이벤트 ID:778

이벤트: BitLocker 볼륨 C: 가 보호되지 않는 상태로 되돌아갔습니다.

이벤트 ID: 851

이벤트: 자동 암호화를 사용하도록 설정하지 못했습니다.

오류: 알 수 없는 HResult 오류 코드: 0x80072f9a.

이러한 이벤트는 오류 코드 0x80072f9a 참조합니다.

이벤트 ID 846, 778 및 851의 원인: 오류 0x80072f9a

이러한 이벤트는 로그인한 사용자에게 프로비저닝 및 등록 프로세스의 일부로 생성된 인증서에 대한 프라이빗 키를 읽을 수 있는 권한이 없음을 나타냅니다. 따라서 BitLocker MDM 정책 새로 고침이 실패합니다.

이 문제는 Windows 10 버전 1809에 영향을 줍니다.

이벤트 ID 846, 778 및 851에 대한 해결 방법: 오류 0x80072f9a

이 문제를 resolve 2019년 5월 21일 업데이트를 설치합니다.

오류 메시지: 운영 체제 드라이브의 복구 옵션에 대한 그룹 정책 설정이 충돌합니다.

다음 오류 메시지와 유사한 오류 메시지가 표시됩니다.

오류: 운영 체제 드라이브의 복구 옵션에 대한 그룹 정책 설정이 충돌하므로 BitLocker 드라이브 암호화를 이 드라이브에 적용할 수 없습니다. 복구 암호 생성이 허용되지 않는 경우 복구 정보를 Active Directory Domain Services 저장할 필요가 없습니다. BitLocker를 사용하도록 설정하기 전에 시스템 관리자에게 이러한 정책 충돌을 resolve.

오류 메시지 해결: 운영 체제 드라이브의 복구 옵션에 대한 그룹 정책 설정이 충돌합니다.

이 문제를 resolve 충돌의 GPO(그룹 정책 개체) 설정을 검토합니다. 자세한 내용은 다음 섹션인 BitLocker 정책 구성 검토를 참조하세요.

GPO 및 BitLocker에 대한 자세한 내용은 BitLocker 그룹 정책 참조를 참조하세요.

BitLocker 정책 구성 검토

BitLocker 및 Intune 함께 정책을 사용하는 절차에 대한 자세한 내용은 다음 리소스를 참조하세요.

• 엔터프라이즈용 BitLocker 관리: Microsoft Entra ID 조인된 디바이스 관리
• BitLocker 그룹 정책 참조
• 구성 서비스 공급자 참조
• 정책 CSP – BitLocker
• BitLocker CSP
• MDM에서 ADMX 지원 정책 사용
• Gpresult

Intune BitLocker에 대해 다음과 같은 적용 유형을 제공합니다.

• 자동(프로비저닝 프로세스 중에 디바이스가 Microsoft Entra ID 조인할 때 적용됩니다. 이 옵션은 Windows 10 버전 1703 이상에서 사용할 수 있습니다.)
• 자동(엔드포인트 보호 정책. 이 옵션은 Windows 10 버전 1803 이상에서 사용할 수 있습니다.)
• 대화형(Windows 10 버전 1803보다 오래된 Windows 버전의 엔드포인트 정책)

디바이스가 Windows 10 버전 1703 이상을 실행하는 경우 최신 대기(Instant Go라고도 함)를 지원하고 HSTI 규격인 경우 디바이스를 Microsoft Entra ID 조인하면 자동 디바이스 암호화가 트리거됩니다. 디바이스 암호화를 적용하려면 별도의 엔드포인트 보호 정책이 필요하지 않습니다.

디바이스가 HSTI 규격이지만 최신 대기를 지원하지 않는 경우 자동 BitLocker 드라이브 암호화를 적용하도록 엔드포인트 보호 정책을 구성해야 합니다. 이 정책의 설정은 다음 설정과 유사해야 합니다.

이러한 설정에 대한 OMA-URI 참조는 다음과 같습니다.

• OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
  값 형식: 정수
  값: 1 (1 = 필요, 0 = 구성되지 않음)

• OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
  값 형식: 정수
  값: 0 (0 = 차단됨, 1 = 허용됨)

참고

BitLocker 정책 CSP 업데이트로 인해 디바이스가 Windows 10 버전 1809 이상을 사용하는 경우 디바이스가 HSTI 규격이 아니더라도 엔드포인트 보호 정책을 사용하여 자동 BitLocker 디바이스 암호화를 적용할 수 있습니다.

참고

다른 디스크 암호화에 대한 경고 설정이 구성되지 않음으로 설정된 경우 BitLocker 드라이브 암호화 마법사를 수동으로 시작해야 합니다.

디바이스가 최신 대기를 지원하지 않지만 HSTI 규격이고 Windows 10 이전 버전의 Windows 버전인 버전 1803을 사용하는 경우 이 문서에 설명된 설정이 있는 엔드포인트 보호 정책이 디바이스에 정책 구성을 제공합니다. 그러나 Windows는 BitLocker 드라이브 암호화를 수동으로 사용하도록 사용자에게 알렸습니다. 사용자가 알림을 선택하면 BitLocker 드라이브 암호화 마법사가 시작됩니다.

Intune 표준 사용자에 대한 Autopilot 디바이스에 대한 자동 디바이스 암호화를 구성하는 데 사용할 수 있는 설정을 제공합니다. 각 디바이스는 다음 요구 사항을 충족해야 합니다.

• HSTI 규격이어야 합니다.
• 최신 대기 지원
• Windows 10 버전 1803 이상 사용

이러한 설정에 대한 OMA-URI 참조는 다음과 같습니다.

• OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
  값 형식: 정수 값: 1

참고

이 노드는 RequireDeviceEncryption 및 AllowWarningForOtherDiskEncryption 노드와 함께 작동합니다. 이러한 이유로 다음 설정이 설정된 경우:

• RequireDeviceEncryption을 1로
• AllowStandardUserEncryption을 1로
• AllowWarningForOtherDiskEncryption을 0으로

Intune 표준 사용자 프로필이 있는 Autopilot 디바이스에 대해 자동 BitLocker 암호화를 적용합니다.

BitLocker가 올바르게 작동하는지 확인

일반 작업 중에 BitLocker 드라이브 암호화는 이벤트 ID 796 및 이벤트 ID 845와 같은 이벤트를 생성합니다.

Microsoft Entra 디바이스 섹션에서 디바이스 세부 정보를 확인하여 BitLocker 복구 암호가 Microsoft Entra ID 업로드되었는지 여부를 확인할 수도 있습니다.

디바이스에서 레지스트리 편집기 검사 디바이스의 정책 설정을 확인합니다. 다음 하위 키 아래의 항목을 확인합니다.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device