BitLocker 복구 서비스 정보
적용 대상: Configuration Manager(현재 분기)
중요
버전 2103부터 복구 서비스의 구현이 변경되었습니다. 더 이상 레거시 MBAM 구성 요소를 사용하지 않지만 여전히 개념적으로 복구 서비스라고 합니다. 모든 버전 2103 클라이언트는 관리 지점의 메시지 처리 엔진 구성 요소를 복구 서비스로 사용합니다. 보안 클라이언트 알림 채널을 통해 복구 키를 에스크로합니다. 이 변경으로 향상된 HTTP에 Configuration Manager 사이트를 사용하도록 설정할 수 있습니다. 이 구성은 Configuration Manager BitLocker 관리 기능에 영향을 주지 않습니다.
사이트와 클라이언트가 모두 Configuration Manager 버전 2103 이상을 실행하는 경우 클라이언트는 보안 클라이언트 알림 채널을 통해 관리 지점으로 복구 키를 보냅니다. 클라이언트가 버전 2010 이하인 경우 키를 에스크로하려면 관리 지점에서 HTTPS 지원 복구 서비스가 필요합니다.
BitLocker 복구 서비스는 Configuration Manager 클라이언트에서 BitLocker 복구 데이터를 수신하는 서버 구성 요소입니다. BitLocker 관리 정책을 만들 때 사이트에서 복구 서비스를 배포합니다. Configuration Manager HTTPS 사용 웹 사이트를 사용하여 각 관리 지점에 복구 서비스를 자동으로 설치합니다.
Configuration Manager 사이트 데이터베이스에 복구 정보를 저장합니다. BitLocker 관리 암호화 인증서가 없으면 Configuration Manager 키 복구 정보를 일반 텍스트로 저장합니다. 자세한 내용은 데이터베이스에서 복구 데이터 암호화를 참조하세요.
버전 2010부터 CMG(클라우드 관리 게이트웨이)를 통해 BitLocker 정책 및 에스크로 복구 키를 관리할 수 있습니다. 도메인에 가입된 클라이언트는 CMG를 통해 통신할 때 레거시 복구 서비스를 사용하지 않고 관리 지점의 메시지 처리 엔진 구성 요소를 사용합니다. Microsoft Entra 하이브리드 조인 디바이스도 메시지 처리 엔진을 사용합니다.
버전 2103부터 지원되는 모든 클라이언트는 관리 지점의 메시지 처리 엔진 구성 요소를 복구 서비스로 사용합니다. 이 변경으로 레거시 MBAM 구성 요소에 대한 종속성이 줄어들고 향상된 HTTP를 지원할 수 있습니다.
참고
버전 2010의 경우 메시지 처리 엔진 채널은 OS 및 고정 드라이브 볼륨에 대한 키만 에스크로합니다. 이동식 드라이브 또는 TPM 암호 해시에 대한 복구 키는 지원하지 않습니다.
버전 2103부터 CMG를 통한 BitLocker 관리 정책은 다음 기능을 지원합니다.
- 이동식 드라이브에 대한 복구 키
- TPM 암호 해시(TPM 소유자 권한 부여라고도 함)
키 회전
셀프 서비스 또는 기술 지원팀 포털을 사용하여 키를 복구하는 경우 공개되므로 Configuration Manager 클라이언트에서 키를 회전해야 합니다. 키를 회전하면 클라이언트가 BitLocker 복구를 위한 새 키를 생성합니다. 그런 다음 새 키를 복구 서비스에 에스크로합니다.
참고
MBAM에서 마이그레이션하는 경우 디바이스가 Configuration Manager BitLocker 관리 정책을 받으면 먼저 키를 회전합니다. 그런 다음 Configuration Manager 복구 서비스에 새 키를 보냅니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기