BitLocker 관리 배포

적용 대상: Configuration Manager(현재 분기)

Configuration Manager BitLocker 관리에는 다음 구성 요소가 포함됩니다.

• BitLocker 관리 에이전트: Configuration Manager 정책을 만들고컬렉션에 배포할 때 디바이스에서 이 에이전트를 사용하도록 설정합니다.

• 복구 서비스: 클라이언트에서 BitLocker 복구 데이터를 수신하는 서버 구성 요소입니다. 자세한 내용은 복구 서비스를 참조하세요.

BitLocker 관리 정책을 만들고 배포하기 전에 다음을 수행합니다.

• 필수 구성 요소 검토

• 필요한 경우 사이트 데이터베이스에서 복구 키를 암호화합니다 .

정책 만들기

이 정책을 만들고 배포할 때 Configuration Manager 클라이언트는 디바이스에서 BitLocker 관리 에이전트를 사용하도록 설정합니다.

참고

BitLocker 관리 정책을 만들려면 Configuration Manager 전체 관리자 역할이 필요합니다.

1. Configuration Manager 콘솔에서 자산 및 규정 준수 작업 영역으로 이동하여 Endpoint Protection을 확장하고 BitLocker 관리 노드를 선택합니다.

2. 리본에서 BitLocker 관리 제어 정책 만들기를 선택합니다.

3. 일반 페이지에서 이름 및 선택적 설명을 지정합니다. 이 정책을 사용하여 클라이언트에서 사용하도록 설정할 구성 요소를 선택합니다.

   • 운영 체제 드라이브: OS 드라이브 암호화 여부 관리

   • 고정 드라이브: 디바이스의 다른 데이터 드라이브에 대한 암호화 관리

   • 이동식 드라이브: USB 키와 같이 디바이스에서 제거할 수 있는 드라이브에 대한 암호화 관리

   • 클라이언트 관리: BitLocker 드라이브 암호화 복구 정보의 키 복구 서비스 백업 관리

4. 설치 페이지에서 BitLocker 드라이브 암호화에 대해 다음 전역 설정을 구성합니다.

   참고

   Configuration Manager BitLocker를 사용하도록 설정하면 이러한 설정을 적용합니다. 드라이브가 이미 암호화되었거나 진행 중인 경우 이러한 정책 설정을 변경해도 디바이스의 드라이브 암호화가 변경되지 않습니다.

   이러한 설정을 사용하지 않거나 구성하지 않으면 BitLocker는 기본 암호화 방법(AES 128비트)을 사용합니다.

   • Windows 8.1 디바이스의 경우 드라이브 암호화 방법 및 암호 강도에 대한 옵션을 사용하도록 설정합니다. 그런 다음, 암호화 방법을 선택합니다.

   • Windows 10 이상 디바이스의 경우 드라이브 암호화 방법 및 암호 강도(Windows 10 이상)에 대한 옵션을 사용하도록 설정합니다. 그런 다음 OS 드라이브, 고정 데이터 드라이브 및 이동식 데이터 드라이브에 대한 암호화 방법을 개별적으로 선택합니다.

   이 페이지의 이러한 설정 및 기타 설정에 대한 자세한 내용은 설정 참조 - 설정을 참조하세요.

5. 운영 체제 드라이브 페이지에서 다음 설정을 지정합니다.

   • 운영 체제 드라이브 암호화 설정: 이 설정을 사용하도록 설정하면 사용자는 OS 드라이브를 보호해야 하며 BitLocker는 드라이브를 암호화합니다. 사용하지 않도록 설정하면 사용자가 드라이브를 보호할 수 없습니다.

   호환되는 TPM이 있는 디바이스에서는 시작 시 두 가지 유형의 인증 방법을 사용하여 암호화된 데이터에 대한 추가 보호를 제공할 수 있습니다. 컴퓨터가 시작되면 인증에 TPM만 사용하거나 PIN(개인 식별 번호)을 입력해야 할 수도 있습니다. 다음 설정을 구성합니다.

   • 운영 체제 드라이브에 대한 보호기 선택: TPM 및 PIN을 사용하도록 구성하거나 TPM만 사용하도록 구성합니다.

   • 시작에 대한 최소 PIN 길이 구성: PIN이 필요한 경우 이 값은 사용자가 지정할 수 있는 가장 짧은 길이입니다. 컴퓨터가 부팅되면 사용자가 이 PIN을 입력하여 드라이브의 잠금을 해제합니다. 기본적으로 최소 PIN 길이는 입니다 4.

   이 페이지의 이러한 설정 및 기타 설정에 대한 자세한 내용은 설정 참조 - OS 드라이브를 참조하세요.

6. 고정 드라이브 페이지에서 다음 설정을 지정합니다.

   • 고정 데이터 드라이브 암호화: 이 설정을 사용하도록 설정하면 BitLocker에서 모든 고정 데이터 드라이브를 보호해야 합니다. 그런 다음 데이터 드라이브를 암호화합니다. 이 정책을 사용하도록 설정하면 자동 잠금 해제를 사용하도록 설정하거나 고정 데이터 드라이브 암호 정책에 대한 설정을 사용합니다.

   • 고정 데이터 드라이브에 대한 자동 잠금 해제 구성: BitLocker가 암호화된 데이터 드라이브의 잠금을 자동으로 잠금 해제하도록 허용하거나 요구합니다. 자동 잠금 해제를 사용하려면 OS 드라이브를 암호화하려면 BitLocker도 필요합니다.

   이 페이지의 이러한 설정 및 기타 설정에 대한 자세한 내용은 설정 참조 - 고정 드라이브를 참조하세요.

7. 이동식 드라이브 페이지에서 다음 설정을 지정합니다.

   • 이동식 데이터 드라이브 암호화: 이 설정을 사용하도록 설정하고 사용자가 BitLocker 보호를 적용할 수 있도록 허용하면 Configuration Manager 클라이언트는 이동식 드라이브에 대한 복구 정보를 관리 지점의 복구 서비스에 저장합니다. 이 동작을 통해 사용자는 보호기(암호)를 잊어버리거나 분실한 경우 드라이브를 복구할 수 있습니다.

   • 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용할 수 있도록 허용: 사용자는 이동식 드라이브에 대해 BitLocker 보호를 켤 수 있습니다.

   • 이동식 데이터 드라이브 암호 정책: 이러한 설정을 사용하여 암호에 대한 제약 조건을 설정하여 BitLocker로 보호되는 이동식 드라이브의 잠금을 해제합니다.

   이 페이지의 이러한 설정 및 기타 설정에 대한 자세한 내용은 설정 참조 - 이동식 드라이브를 참조하세요.

8. 클라이언트 관리 페이지에서 다음 설정을 지정합니다.

   중요

   2103 이전 버전의 Configuration Manager 경우 HTTPS 사용 웹 사이트가 있는 관리 지점이 없는 경우 이 설정을 구성하지 마세요. 자세한 내용은 복구 서비스를 참조하세요.

   • BitLocker Management Services 구성: 이 설정을 사용하도록 설정하면 Configuration Manager 사이트 데이터베이스의 키 복구 정보를 자동으로 백업합니다. 이 설정을 사용하지 않거나 구성하지 않으면 Configuration Manager 키 복구 정보를 저장하지 않습니다.

     • 저장할 BitLocker 복구 정보 선택: 복구 암호 및 키 패키지 또는 복구 암호만 사용하도록 구성합니다.

     • 복구 정보를 일반 텍스트로 저장할 수 있도록 허용: BitLocker 관리 암호화 인증서가 없으면 Configuration Manager 키 복구 정보를 일반 텍스트로 저장합니다. 자세한 내용은 데이터베이스에서 복구 데이터 암호화를 참조하세요.

   이 페이지의 이러한 설정 및 기타 설정에 대한 자세한 내용은 설정 참조 - 클라이언트 관리를 참조하세요.

9. 마법사를 완료합니다.

기존 정책의 설정을 변경하려면 목록에서 해당 정책을 선택하고 속성을 선택합니다.

둘 이상의 정책을 만들 때 상대 우선 순위를 구성할 수 있습니다. 클라이언트에 여러 정책을 배포하는 경우 우선 순위 값을 사용하여 설정을 결정합니다.

버전 2006부터 이 작업에 Windows PowerShell cmdlet을 사용할 수 있습니다. 자세한 내용은 New-CMBlmSetting을 참조하세요.

정책 배포

1. BitLocker 관리 노드에서 기존 정책을 선택합니다. 리본에서 배포를 선택합니다.

2. 배포 대상으로 디바이스 컬렉션을 선택합니다.

3. 디바이스가 언제든지 드라이브를 암호화하거나 암호 해독하도록 하려면 유지 관리 기간 외부에서 수정 허용 옵션을 선택합니다. 컬렉션에 유지 관리 기간이 있는 경우 여전히 이 BitLocker 정책을 수정합니다.

4. 단순 또는 사용자 지정 일정을 구성합니다. 클라이언트는 일정에 지정된 설정에 따라 준수를 평가합니다.

5. 확인을 선택하여 정책을 배포합니다.

동일한 정책의 여러 배포를 만들 수 있습니다. 각 배포에 대한 추가 정보를 보려면 BitLocker 관리 노드에서 정책을 선택한 다음 세부 정보 창에서 배포 탭으로 전환합니다. 이 작업에 Windows PowerShell cmdlet을 사용할 수도 있습니다. 자세한 내용은 New-CMSettingDeployment를 참조하세요.

중요

RDP(원격 데스크톱 프로토콜) 연결이 활성 상태인 경우 MBAM 클라이언트는 BitLocker 드라이브 암호화 작업을 시작하지 않습니다. 모든 원격 콘솔 연결을 닫고 도메인 사용자 계정으로 콘솔 세션에 로그인합니다. 그런 다음 BitLocker 드라이브 암호화가 시작되고 클라이언트가 복구 키 및 패키지를 업로드합니다. 로컬 사용자 계정으로 로그인하면 BitLocker 드라이브 암호화가 시작되지 않습니다.

RDP를 사용하여 스위치를 사용하여 디바이스의 콘솔 세션에 원격으로 /admin 연결할 수 있습니다. 예: mstsc.exe /admin /v:<IP address of device>

콘솔 세션은 컴퓨터의 실제 콘솔에 있는 경우 또는 컴퓨터의 실제 콘솔에 있는 경우와 동일한 원격 연결입니다.

모니터링

BitLocker 관리 노드의 세부 정보 창에서 정책 배포에 대한 기본 규정 준수 통계를 봅니다.

• 규정 준수 수
• 실패 횟수
• 비준수 수

배포 탭으로 전환하여 준수 비율 및 권장 작업을 확인합니다. 배포를 선택한 다음 리본에서 상태 보기를 선택합니다. 이 작업은 보기를 모니터링 작업 영역인 배포 노드로 전환 합니다 . 다른 구성 정책 배포의 배포와 마찬가지로 이 보기에서 더 자세한 규정 준수 상태 확인할 수 있습니다.

클라이언트가 BitLocker 관리 정책을 준수하지 않는 것을 보고하는 이유를 이해하려면 비준수 코드를 참조하세요.

자세한 문제 해결 정보는 BitLocker 문제 해결을 참조하세요.

다음 로그를 사용하여 모니터링하고 문제를 해결합니다.

클라이언트 로그

• MBAM 이벤트 로그: Windows 이벤트 뷰어 애플리케이션 및 서비스>Microsoft>Windows>MBAM으로 이동합니다. 자세한 내용은 BitLocker 이벤트 로그 및 클라이언트 이벤트 로그 정보를 참조 하세요.

• 기본적으로 클라이언트 로그 경로의 BitlockerManagementHandler.log 및 BitlockerManagement_GroupPolicyHandler.log%WINDIR%\CCM\Logs

관리 지점 로그(복구 서비스)

• 복구 서비스 이벤트 로그: Windows 이벤트 뷰어 애플리케이션 및 서비스>Microsoft>Windows>MBAM-Web으로 이동합니다. 자세한 내용은 BitLocker 이벤트 로그 및 서버 이벤트 로그 정보를 참조 하세요.

• 복구 서비스 추적 로그: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

마이그레이션 고려 사항

현재 Microsoft BitLocker 관리 및 모니터링(MBAM)을 사용하는 경우 관리를 Configuration Manager 원활하게 마이그레이션할 수 있습니다. Configuration Manager BitLocker 관리 정책을 배포하면 클라이언트는 복구 키와 패키지를 Configuration Manager 복구 서비스에 자동으로 업로드합니다.

중요

독립 실행형 MBAM에서 Configuration Manager BitLocker 관리로 마이그레이션하는 경우 독립 실행형 MBAM의 기존 기능이 필요한 경우 Configuration Manager BitLocker 관리와 함께 독립 실행형 MBAM 서버 또는 구성 요소를 다시 사용하지 마세요. 이러한 서버를 다시 사용하는 경우 Configuration Manager BitLocker 관리가 해당 서버에 해당 구성 요소를 설치할 때 독립 실행형 MBAM의 작동이 중지됩니다. 독립 실행형 MBAM 서버에서 BitLocker 포털을 설정하기 위해 MBAMWebSiteInstaller.ps1 스크립트를 실행하지 마세요. Configuration Manager BitLocker 관리를 설정할 때는 별도의 서버를 사용합니다.

그룹 정책

• BitLocker 관리 설정은 MBAM 그룹 정책 설정과 완벽하게 호환됩니다. 디바이스가 그룹 정책 설정과 Configuration Manager 정책을 모두 수신하는 경우 일치하도록 구성합니다.

  참고

  독립 실행형 MBAM에 대한 그룹 정책 설정이 있는 경우 Configuration Manager 시도한 동일한 설정을 재정의합니다. 독립 실행형 MBAM은 도메인 그룹 정책을 사용하는 반면 Configuration Manager BitLocker 관리에 대한 로컬 정책을 설정합니다. 도메인 정책은 로컬 Configuration Manager BitLocker 관리 정책을 재정의합니다. 독립 실행형 MBAM 도메인 그룹 정책이 Configuration Manager 정책과 일치하지 않으면 Configuration Manager BitLocker 관리가 실패합니다. 예를 들어 도메인 그룹 정책이 키 복구 서비스에 대해 독립 실행형 MBAM 서버를 설정하는 경우 Configuration Manager BitLocker 관리는 관리 지점에 대해 동일한 설정을 설정할 수 없습니다. 이 동작으로 인해 클라이언트는 관리 지점의 Configuration Manager BitLocker 관리 키 복구 서비스에 복구 키를 보고하지 않습니다.

• Configuration Manager 모든 MBAM 그룹 정책 설정을 구현하지는 않습니다. 그룹 정책에서 더 많은 설정을 구성하는 경우 Configuration Manager 클라이언트의 BitLocker 관리 에이전트는 이러한 설정을 적용합니다.

  중요

  BitLocker 관리를 Configuration Manager 이미 지정한 설정에 대한 그룹 정책을 설정하지 마세요. Configuration Manager BitLocker 관리에 현재 존재하지 않는 설정에 대한 그룹 정책만 설정합니다. Configuration Manager 버전 2002에는 독립 실행형 MBAM과 기능 패리티가 있습니다. Configuration Manager 버전 2002 이상에서는 대부분의 경우 BitLocker 정책을 구성하도록 도메인 그룹 정책을 설정할 이유가 없습니다. 충돌 및 문제를 방지하려면 BitLocker에 대한 그룹 정책을 사용하지 마십시오. Configuration Manager BitLocker 관리 정책을 통해 모든 설정을 구성합니다.

TPM 암호 해시

• 이전 MBAM 클라이언트는 TPM 암호 해시를 Configuration Manager 업로드하지 않습니다. 클라이언트는 TPM 암호 해시를 한 번만 업로드합니다.

• 이 정보를 Configuration Manager 복구 서비스로 마이그레이션해야 하는 경우 디바이스에서 TPM의 지우기를 취소합니다. 다시 시작되면 새 TPM 암호 해시를 복구 서비스에 업로드합니다.

참고

TPM 암호 해시 업로드는 주로 Windows 10 전에 Windows 버전과 관련이 있습니다. 기본적으로 Windows 10 이상에서는 TPM 암호 해시를 저장하지 않으므로 이러한 디바이스는 일반적으로 업로드하지 않습니다. 자세한 내용은 TPM 소유자 암호 정보를 참조하세요.

다시 암호화

Configuration Manager BitLocker 드라이브 암호화로 이미 보호된 드라이브를 다시 암호화하지 않습니다. 드라이브의 현재 보호와 일치하지 않는 BitLocker 관리 정책을 배포하면 비준수로 보고됩니다. 드라이브는 여전히 보호됩니다.

예를 들어 MBAM을 사용하여 AES-XTS 128 암호화 알고리즘으로 드라이브를 암호화했지만 Configuration Manager 정책에는 AES-XTS 256이 필요합니다. 드라이브가 암호화되어 있더라도 드라이브는 정책을 준수하지 않습니다.

이 동작을 해결하려면 먼저 디바이스에서 BitLocker를 사용하지 않도록 설정합니다. 그런 다음 새 설정을 사용하여 새 정책을 배포합니다.

공동 관리 및 Intune

BitLocker에 대한 Configuration Manager 클라이언트 처리기는 공동 관리를 인식합니다. 디바이스가 공동 관리되고 Endpoint Protection 워크로드를 Intune 전환하면 Configuration Manager 클라이언트는 BitLocker 정책을 무시합니다. 디바이스는 Intune Windows 암호화 정책을 가져옵니다.

참고

원하는 암호화 알고리즘을 유지하면서 암호화 관리 기관을 전환해도 클라이언트에 대한 추가 작업이 필요하지 않습니다. 그러나 암호화 관리 기관을 전환하고 원하는 암호화 알고리즘도 변경되는 경우 다시 암호화를 계획해야 합니다.

Intune 사용하여 BitLocker를 관리하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.

• Intune 디바이스 암호화 사용
• Microsoft Intune BitLocker 정책 문제 해결

다음 단계

BitLocker 복구 서비스 정보

BitLocker 보고서 및 포털 설정