PDE(개인 데이터 암호화)
Windows 11 버전 22H2부터 PDE(개인 데이터 암호화)는 Windows에 파일 기반 데이터 암호화 기능을 제공하는 보안 기능입니다.
PDE는 비즈니스용 Windows Hello 사용하여 데이터 암호화 키를 사용자 자격 증명과 연결합니다. 사용자가 비즈니스용 Windows Hello 사용하여 디바이스에 로그인하면 암호 해독 키가 해제되고 사용자가 암호화된 데이터에 액세스할 수 있습니다.
사용자가 로그오프하면 다른 사용자가 디바이스에 로그인하더라도 암호 해독 키가 삭제되고 데이터에 액세스할 수 없습니다.
비즈니스용 Windows Hello 사용하면 다음과 같은 이점이 있습니다.
- 암호화된 콘텐츠에 액세스하기 위한 자격 증명 수를 줄입니다. 사용자는 비즈니스용 Windows Hello
- 비즈니스용 Windows Hello 사용할 때 사용할 수 있는 접근성 기능은 PDE로 보호된 콘텐츠로 확장됩니다.
PDE는 전체 볼륨 및 디스크 대신 파일을 암호화한다는 점에서 BitLocker와 다릅니다. PDE는 BitLocker 등의 다른 암호화 방법에 추가로 더해지는 기능입니다.
BitLocker는 부팅 시 데이터 암호화 키를 해제하지만 이와 달리 PDE는 사용자가 비즈니스용 Windows Hello를 사용하여 로그인한 후에 데이터 암호화 키를 해제합니다.
필수 구성 요소
PDE를 사용하려면 다음 필수 조건을 충족해야 합니다.
- Windows 11 버전 22H2 이상
- 디바이스를 Microsoft Entra 조인해야 합니다. 도메인 가입 및 Microsoft Entra 하이브리드 조인 디바이스는 지원되지 않습니다.
- 사용자는 비즈니스용 Windows Hello 사용하여 로그인해야 합니다.
중요
암호 또는 보안 키로 로그인하는 경우 PDE로 보호된 콘텐츠에 액세스할 수 없습니다.
Windows 버전 및 라이선싱 요구 사항
다음 표에는 PDE(개인 데이터 암호화)를 지원하는 Windows 버전이 나와 있습니다.
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| 아니오 | 예 | 아니오 | 예 |
PDE(개인 데이터 암호화) 라이선스 권한은 다음 라이선스에 의해 부여됩니다.
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| 아니오 | 예 | 예 | 예 | 예 |
Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.
PDE 보호 수준
PDE는 256비트 키와 함께 AES-CBC를 사용하여 콘텐츠를 보호하고 두 가지 수준의 보호를 제공합니다. 보호 수준은 조직의 요구 사항에 따라 결정됩니다. 이러한 수준은 PDE API를 통해 설정할 수 있습니다.
| 항목 | 수준 1 | 수준 2 |
|---|---|---|
| 사용자가 비즈니스용 Windows Hello 통해 로그인한 경우 PDE 보호된 데이터에 액세스할 수 있습니다. | 예 | 예 |
| PDE 보호된 데이터는 Windows 잠금 화면에서 액세스할 수 있습니다. | 예 | 잠금 후 1분 동안 데이터에 액세스할 수 있으므로 더 이상 사용할 수 없습니다. |
| 사용자가 Windows에서 로그아웃한 후 PDE 보호된 데이터에 액세스할 수 있습니다. | 아니오 | 아니오 |
| PDE 보호된 데이터는 디바이스가 종료될 때 액세스할 수 있습니다. | 아니오 | 아니오 |
| PDE 보호된 데이터는 UNC 경로를 통해 액세스할 수 있습니다. | 아니오 | 아니오 |
| PDE 보호된 데이터는 비즈니스용 Windows Hello 대신 Windows 암호로 서명할 때 액세스할 수 있습니다. | 아니오 | 아니오 |
| PDE 보호된 데이터는 원격 데스크톱 세션을 통해 액세스할 수 있습니다. | 아니오 | 아니오 |
| PDE에서 사용하는 암호 해독 키 삭제됨 | 사용자가 Windows에서 로그아웃한 후 | Windows 잠금 화면이 설치된 후 1분 후 또는 사용자가 Windows에서 로그아웃한 후 |
PDE로 보호된 콘텐츠 접근성
파일이 PDE로 보호되면 해당 아이콘에 자물쇠가 표시됩니다. 사용자가 비즈니스용 Windows Hello 로컬로 로그인하지 않았거나 권한이 없는 사용자가 PDE로 보호된 콘텐츠에 액세스하려고 시도하는 경우 콘텐츠에 대한 액세스가 거부됩니다.
사용자가 PDE 보호 콘텐츠에 대한 액세스가 거부되는 시나리오는 다음과 같습니다.
- 사용자가 비즈니스용 Windows Hello 생체 인식 또는 PIN으로 로그인하는 대신 암호를 통해 Windows에 로그인했습니다.
- 수준 2 보호를 통해 보호되는 경우 디바이스가 잠겨 있는 경우
- 원격으로 디바이스의 콘텐츠에 액세스하려고 할 때 예를 들어 UNC 네트워크 경로
- 원격 데스크톱 세션
- 비즈니스용 Windows Hello 통해 로그인하고 PDE로 보호된 콘텐츠로 이동할 수 있는 권한이 있더라도 콘텐츠 소유자가 아닌 디바이스의 다른 사용자
PDE와 BitLocker의 차이점
PDE는 BitLocker와 함께 작동합니다. PDE는 BitLocker를 대체하는 것이 아니며 BitLocker가 PDE를 대체하는 것도 아닙니다. 두 기능을 함께 사용하면 BitLocker 또는 PDE만 사용하는 것보다 더 나은 보안을 제공합니다. 그러나 BitLocker와 PDE와 작동 방식에는 차이가 있습니다. 이러한 차이점은 이러한 차이점을 함께 사용하면 더 나은 보안을 제공하는 이유입니다.
| 항목 | PDE | BitLocker |
|---|---|---|
| 암호 해독 키 릴리스 | 비즈니스용 Windows Hello 통해 사용자 로그인 시 | 부팅 시 |
| 삭제된 암호 해독 키 | 사용자가 Windows에서 로그아웃하거나 Windows 잠금 화면이 설치된 후 1분 후에 로그아웃하는 경우 | 종료 시 |
| 보호된 콘텐츠 | 보호된 폴더의 모든 파일 | 전체 볼륨/드라이브 |
| 보호된 콘텐츠에 액세스하기 위한 인증 | 비즈니스용 Windows Hello | TPM + PIN이 있는 BitLocker를 사용하도록 설정하면 BitLocker PIN과 Windows 로그인 |
PDE와 EFS의 차이점
EFS 대신 PDE를 사용하여 파일을 보호하는 기본 차이점은 파일을 보호하는 데 사용하는 방법입니다. PDE는 비즈니스용 Windows Hello 사용하여 파일을 보호하는 키를 보호합니다. EFS는 인증서를 사용하여 파일을 보호하고 보호합니다.
파일이 PDE 또는 EFS로 보호되는지 확인하려면 다음을 수행합니다.
- 파일의 속성 열기
- 일반 탭에서 고급...을 선택합니다.
- 고급 특성 창에서 세부 정보를 선택합니다.
PDE 보호 파일의 경우 보호 상태:개인 데이터 암호화로 나열된 항목이 있으며 On의 특성이 있습니다.
EFS로 보호된 파일의 경우 이 파일에 액세스할 수 있는 사용자:에서 파일에 액세스할 수 있는 사용자 옆에 인증서 지문 이 있습니다. 또한 복구 정책에 정의된 대로 이 파일에 대한 하위 레이블이 지정된 복구 인증서 섹션도 있습니다.
파일을 보호하는 데 사용되는 암호화 방법을 포함한 암호화 정보는 명령을 사용하여 cipher.exe /c 가져올 수 있습니다.
PDE 사용에 대한 권장 사항
다음은 PDE를 사용하기 위한 권장 사항입니다.
- BitLocker 드라이브 암호화를 사용하도록 설정합니다. PDE는 BitLocker 없이 작동하지만 BitLocker를 사용하도록 설정하는 것이 좋습니다. PDE는 BitLocker를 대체하는 것이 아니라 보안을 강화하기 위해 BitLocker와 함께 작동합니다.
- Microsoft 365의 OneDrive와 같은 백업 솔루션. TPM 재설정 또는 파괴적인 PIN 재설정과 같은 특정 시나리오에서는 PDE에서 콘텐츠를 보호하는 데 사용하는 키가 손실되어 PDE로 보호된 콘텐츠에 액세스할 수 없게 됩니다. 이러한 콘텐츠를 복구하는 유일한 방법은 백업입니다. 파일이 OneDrive에 동기화된 경우 액세스 권한을 다시 사용하려면 OneDrive를 다시 동기화해야 합니다.
- PIN 재설정 서비스를 비즈니스용 Windows Hello. 파괴적인 PIN 재설정으로 인해 PDE에서 콘텐츠를 보호하는 데 사용되는 키가 손실되어 PDE로 보호되는 모든 콘텐츠에 액세스할 수 없게 됩니다. 파괴적인 PIN 재설정 후에는 PDE로 보호되는 콘텐츠를 백업에서 복구해야 합니다. 이러한 이유로 비즈니스용 Windows Hello PIN 재설정 서비스는 비 파괴적 PIN 재설정을 제공하므로 권장됩니다.
- Windows Hello 향상된 로그인 보안은 생체 인식 또는 PIN을 통해 비즈니스용 Windows Hello 인증할 때 추가 보안을 제공합니다.
PDE를 지원하는 Windows 기본 제공 애플리케이션
특정 Windows 애플리케이션은 PDE를 지원합니다. 디바이스에서 PDE를 사용하도록 설정한 경우 이러한 애플리케이션은 PDE를 활용합니다.
| 앱 이름 | 세부 정보 |
|---|---|
| 전자 메일 본문 및 첨부 파일 모두 보호 지원 |
다음 단계
- PDE(개인 데이터 암호화)를 구성하는 사용 가능한 옵션과 Microsoft Intune 또는 CSP(구성 서비스 공급자)를 통해 구성하는 방법에 대해 알아봅니다. PDE 설정 및 구성
- PDE(개인 데이터 암호화) FAQ 검토
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기