PDE 설정 및 구성
이 문서에서는 PDE(개인 데이터 암호화) 설정과 Microsoft Intune 또는 CSP(구성 서비스 공급자)를 통해 구성하는 방법을 설명합니다.
참고
MDM 정책을 사용하여 PDE를 구성할 수 있습니다. PDE로 보호할 콘텐츠는 PDE API를 사용하여 지정할 수 있습니다. Windows에는 PDE를 활성화하거나 PDE를 사용하여 콘텐츠를 보호하는 사용자 인터페이스가 없습니다.
PDE API를 사용하여 보호할 콘텐츠와 콘텐츠를 보호할 수준을 지정하는 사용자 지정 애플리케이션 및 스크립트를 만들 수 있습니다. 또한 PDE 정책을 사용하도록 설정하기 전까지는 PDE API를 사용하여 콘텐츠를 보호할 수 없습니다.
PDE 설정
다음 표에는 PDE를 사용하도록 설정하는 데 필요한 설정이 나와 있습니다.
설정 이름 | 설명 |
---|---|
개인 데이터 암호화 사용 | PDE는 기본적으로 사용하도록 설정되지 않습니다. PDE를 사용하려면 먼저 사용하도록 설정해야 합니다. |
다시 시작한 후 자동으로 마지막 대화형 사용자 로그인 및 잠금 | Winlogon ARSO(자동 다시 시작 로그온)는 PDE에서 사용할 수 없습니다. PDE를 사용하려면 ARSO를 사용하지 않도록 설정해야 합니다. |
PDE 강화 권장 사항
다음 표에는 PDE의 보안을 개선하기 위한 권장 설정이 나와 있습니다.
설정 이름 | 설명 |
---|---|
커널 모드 크래시 덤프 및 라이브 덤프 | 커널 모드 크래시 덤프 및 라이브 덤프로 인해 PDE에서 콘텐츠를 보호하는 데 사용되는 키가 노출될 수 있습니다. 보안을 강화하려면 커널 모드 크래시 덤프 및 라이브 덤프를 사용하지 않도록 설정합니다. |
WER(Windows 오류 보고)/사용자 모드 크래시 덤프 | Windows 오류 보고 사용하지 않도록 설정하면 사용자 모드 크래시 덤프가 방지됩니다. 사용자 모드 크래시 덤프로 인해 PDE에서 콘텐츠를 보호하는 데 사용되는 키가 노출될 수 있습니다. 보안을 강화하려면 사용자 모드 크래시 덤프를 사용하지 않도록 설정합니다. |
최대 절전 모드 | 최대 절전 모드 파일은 잠재적으로 PDE(개인 데이터 암호화)에서 사용하는 키를 사용하여 콘텐츠가 노출되도록 보호할 수 있습니다. 보안을 강화하려면 최대 절전 모드를 사용하지 않도록 설정합니다. |
연결된 대기 상태에서 다시 시작할 때 암호가 필요한 시기를 사용자가 선택하도록 허용 | 이 정책이 Microsoft Entra 조인된 디바이스에서 구성되지 않은 경우 연결된 대기 상태 디바이스의 사용자는 디바이스를 절전 모드에서 해제하기 위해 암호가 필요하기 전에 디바이스 화면이 꺼진 후 시간을 변경할 수 있습니다. 화면이 꺼져 있지만 암호가 필요하지 않은 경우 콘텐츠를 보호하기 위해 PDE에서 사용하는 키가 잠재적으로 노출될 수 있습니다. Microsoft Entra 조인된 디바이스에서 이 정책을 명시적으로 사용하지 않도록 설정하는 것이 좋습니다. |
Microsoft Intune 사용하여 PDE 구성
Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.
범주 | 설정 이름 | 값 |
---|---|---|
PDE | 개인 데이터 암호화 사용(사용자) | 개인 데이터 암호화 사용 |
관리 템플릿 > Windows 구성 요소 > Windows 로그온 옵션 | 다시 시작한 후 자동으로 마지막 대화형 사용자 로그인 및 잠금 | 해제됨 |
메모리 덤프 | 라이브 덤프 허용 | 차단 |
메모리 덤프 | 크래시 덤프 허용 | 차단 |
관리 템플릿 > Windows 구성 요소 > Windows 오류 보고 | Windows 오류 보고 사용 안 함 | 설정됨 |
Power | 최대 절전 모드 허용 | 차단 |
관리 템플릿 > 시스템 > 로그온 | 연결된 대기 상태에서 다시 시작할 때 암호가 필요한 시기를 사용자가 선택하도록 허용 | 사용 안 함 |
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
팁
다음 Graph 호출을 사용하여 할당이나 scope 태그 없이 테넌트에서 설정 카탈로그 정책을 자동으로 만듭니다.
이 호출을 사용하는 경우 Graph Explorer 창에서 테넌트 인증을 수행합니다. Graph Explorer 처음 사용하는 경우 애플리케이션에 테넌트 액세스 권한을 부여하거나 기존 권한을 수정해야 할 수 있습니다. 이 그래프 호출에는 DeviceManagementConfiguration.ReadWrite.All 권한이 필요합니다.
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
CSP를 사용하여 PDE 구성
또는 정책 CSP 및 PDE CSP를 사용하여 디바이스를 구성할 수 있습니다.
OMA-URI | 형식 | 값 |
---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
PDE 사용 안 함
PDE를 사용하도록 설정하면 사용하지 않도록 설정하는 것이 좋습니다. 그러나 PDE를 사용하지 않도록 설정해야 하는 경우 다음 단계를 사용하여 이 작업을 수행할 수 있습니다.
Intune 설정 카탈로그 정책으로 PDE 사용 안 함
Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.
범주 | 설정 이름 | 값 |
---|---|---|
PDE | 개인 데이터 암호화 사용(사용자) | 개인 데이터 암호화 사용 안 함 |
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
CSP를 사용하여 PDE 사용 안 함
다음 설정을 사용하여 CSP에서 PDE를 사용하지 않도록 설정할 수 있습니다.
OMA-URI | 형식 | 값 |
---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
PDE 암호화 콘텐츠 암호 해독
PDE를 사용하지 않도록 설정해도 PDE로 보호된 콘텐츠의 암호가 해독되지 않습니다. PDE API가 추가 콘텐츠를 보호할 수 없도록 방지합니다. PDE로 보호된 파일은 다음 단계를 사용하여 수동으로 암호 해독할 수 있습니다.
- 파일의 속성 열기
- 일반 탭에서 고급...을 선택합니다.
- 콘텐츠를 암호화하여 데이터를 보호하는 옵션 선택 취소
- 확인을선택한 다음 확인을 다시 선택합니다.
PDE로 보호된 파일은 를 사용하여 cipher.exe
암호 해독할 수도 있으며, 이는 다음 시나리오에서 유용할 수 있습니다.
- 디바이스에서 많은 수의 파일 암호 해독
- 여러 디바이스에서 파일 암호 해독
를 사용하여 cipher.exe
디바이스에서 파일의 암호를 해독하려면:
하위 디렉터리를 포함한 디렉터리 아래의 모든 파일 암호 해독:
cipher.exe /d /s:<path_to_directory>
지정된 디렉터리에 있는 단일 파일 또는 모든 파일의 암호를 해독하지만 하위 디렉터리는 암호 해독하지 않습니다.
cipher.exe /d <path_to_file_or_directory>
중요
사용자가 파일을 수동으로 암호 해독하도록 선택하면 사용자는 PDE를 사용하여 파일을 수동으로 다시 보호할 수 없습니다.
다음 단계
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기