BitLocker 장치 정책

Windows 10에는 BitLocker라는 디스크 암호화 기능이 포함되어 있습니다. BitLocker는 분실 또는 도난 장치의 파일 및 시스템에 대한 무단 액세스를 추가로 보호합니다. BitLocker를 TPM(신뢰할 수 있는 플랫폼 모듈) 칩 버전 1.2 이상과 함께 사용하면 추가 보호를 적용할 수 있습니다. TPM 칩은 암호화 작업을 처리하고 암호화 키를 생성 및 저장하고 키 사용을 제한합니다.

Windows 10 빌드 1703부터 MDM 정책을 통해 BitLocker를 제어할 수 있습니다. XenMobile에서 BitLocker 장치 정책을 사용하여 Windows 10 장치의 BitLocker 마법사에서 제공되는 설정을 구성할 수 있습니다. 예를 들어 BitLocker가 활성화된 장치에서는 시작 시 드라이브 잠금을 해제하는 방법, 복구 키를 백업하는 방법 및 고정 드라이브의 잠금을 해제하는 방법에 대한 메시지를 사용자에게 표시할 수 있습니다. BitLocker 장치 정책 설정을 통해 다음을 구성할 수도 있습니다.

  • TPM 칩이 없는 장치에서 BitLocker를 활성화할지 여부
  • BitLocker 인터페이스에 복구 옵션을 표시할지 여부
  • BitLocker가 활성화되지 않은 경우 고정 또는 이동식 드라이브에 대한 쓰기 액세스를 거부할지 여부

참고:

장치에서 BitLocker 암호화가 시작된 후에는 장치에 업데이트된 BitLocker 장치 정책을 배포하여 BitLocker 설정을 변경할 수 없습니다.

이 정책을 추가하거나 구성하려면 구성 > 장치 정책으로 이동합니다. 자세한 내용은 장치 정책을 참조하십시오.

요구 사항

  • BitLocker 장치 정책을 사용하려면 Windows 10 Enterprise 버전이 필요합니다.

  • BitLocker 장치 정책을 배포하기 전에 BitLocker를 사용할 수 있도록 환경을 준비하십시오. BitLocker 시스템 요구 사항 및 설정을 포함한 Microsoft의 자세한 정보는 BitLocker 및 해당 노드 아래의 문서를 참조하십시오.

Windows Phone 설정

장치 정책 구성 화면 이미지

  • 장치 암호화 필요: Windows Phone 시스템 카드의 BitLocker 암호화 사용 설정에 대한 메시지를 사용자에게 표시할지 여부를 결정합니다. 켜짐인 경우 등록이 완료되면 장치 암호화가 필요함을 나타내는 메시지가 표시됩니다. 사용자가 장치 암호화를 선택하지 않으면 시스템 카드에 대한 쓰기 액세스 권한이 제공되지 않습니다. 꺼짐인 경우 사용자에게 메시지가 표시되지 않으며 BitLocker 정책에 따라 장치의 암호화 여부가 결정됩니다. 기본값은 꺼짐입니다.

  • 스토리지 카드 암호화 필요: Windows Phone 스토리지 카드의 BitLocker 암호화 사용 설정에 대한 메시지를 사용자에게 표시할지 여부를 결정합니다. 켜짐인 경우 스토리지 카드 암호화를 수행해야 카드에 대한 쓰기 권한이 제공됩니다. 기본값은 꺼짐입니다.

Windows Desktop 및 태블릿 설정

장치 정책 구성 화면 이미지

  • 장치 암호화 필요: Windows 데스크톱 또는 태블릿의 BitLocker 암호화 사용 설정에 대한 메시지를 사용자에게 표시할지 여부를 결정합니다. 켜짐인 경우 등록이 완료되면 장치 암호화가 필요함을 나타내는 메시지가 표시됩니다. 꺼짐인 경우 사용자에게 메시지가 표시되지 않으며 BitLocker에는 정책 설정이 사용됩니다. 기본값은 꺼짐입니다.

  • 암호화 방법 구성: 특정 드라이브 유형에 사용할 암호화 방법을 결정합니다. 꺼짐인 경우 BitLocker 마법사에 드라이브 유형에 사용할 암호화 방법을 선택하라는 메시지가 표시됩니다. 모든 드라이브의 암호화 방법은 기본적으로 XTS-AES 128비트입니다. 이동식 드라이브의 암호화 방법은 기본적으로 AES-CBC 128비트입니다. 켜짐인 경우 정책에 지정된 암호화 방법이 BitLocker에 사용됩니다. 켜짐인 경우 운영 체제 드라이브, 고정 드라이브이동식 드라이브의 추가 설정이 나타납니다. 각 드라이브 유형에 대해 기본 암호화 방법을 선택합니다. 기본값은 꺼짐입니다.

  • 시작 시 추가 인증 필요: 장치 시작 시 추가로 필요한 인증을 지정합니다. TPM 칩이 없는 장치에서 BitLocker를 허용할지 여부도 지정합니다. 꺼짐인 경우 TPM이 없는 장치에서 BitLocker 암호화를 사용할 수 없습니다. TPM에 대한 자세한 내용은 Microsoft 문서 TPM(신뢰할 수 있는 플랫폼 모듈) 기술 개요를 참조하십시오. 켜짐인 경우 다음 추가 설정이 나타납니다. 기본값은 꺼짐입니다.

    • TPM 칩이 없는 장치에서 BitLocker 차단: TPM 칩이 없는 장치에서 BitLocker를 사용하려면 잠금 해제 암호 또는 시작 키를 생성해야 합니다. 시작 키는 USB 드라이브에 저장되며 사용자는 시작 전에 USB 드라이브를 장치에 연결해야 합니다. 잠금 해제 암호는 8자 이상입니다. 기본값은 꺼짐입니다.

    • TPM 시작: TPM이 있는 장치에는 TPM 전용, TPM + PIN, TPM + 키 및 TPM + PIN + 키의 네 가지 잠금 해제 모드가 있습니다. TPM 시작은 암호화 키가 TPM 칩에 저장되는 TPM 전용 모드를 위한 설정입니다. 이 모드에서는 사용자가 추가 잠금 해제 데이터를 제공하지 않아도 됩니다. 사용자 장치를 다시 시작하면 TPM 칩의 암호화 키를 사용하여 장치가 자동으로 잠금 해제됩니다. 기본값은 TPM 허용입니다.

    • TPM 시작 PIN: 이 설정은 TPM + PIN 잠금 해제 모드입니다. PIN은 최대 20자리일 수 있습니다. 최소 PIN 길이를 지정하려면 최소 PIN 길이 설정을 사용합니다. PIN은 BitLocker를 설정할 때 사용자가 구성하며 장치를 시작할 때 이 PIN을 제공해야 합니다.

    • TPM 시작 키: 이 설정은 TPM + 키 잠금 해제 모드입니다. 시작 키는 USB 또는 기타 이동식 드라이브에 저장되며 사용자는 시작 전에 장치에 드라이브를 연결해야 합니다.

    • TPM 시작 키 및 PIN: 이 설정은 TPM + PIN + 키 잠금 해제 모드입니다.

      잠금 해제에 성공하면 운영 체제가 로딩을 시작합니다. 잠금 해제에 실패하면 장치가 복구 모드로 전환됩니다.

  • 최소 PIN 길이: TPM 시작 PIN의 최소 길이입니다. 기본값은 6입니다.

  • OS 드라이브 복구 구성: 잠금 해제 단계가 실패하면 BitLocker가 구성된 복구 키에 대한 메시지를 표시합니다. 이 설정은 잠금 해제 암호 또는 USB 시작 키가 없는 경우 사용자에게 제공되는 운영 체제 드라이브 복구 옵션을 구성합니다. 기본값은 꺼짐입니다.

    • 인증서 기반 데이터 복구 에이전트 허용: 인증서 기반 데이터 복구 에이전트를 허용할지 여부를 지정합니다. GPMC(그룹 정책 관리 콘솔) 또는 로컬 그룹 정책 편집기에 위치한 공개 키 정책에서 데이터 복구 에이전트를 추가합니다. 데이터 복구 에이전트에 대한 자세한 내용은 Microsoft 문서 BitLocker Group Policy settings(BitLocker 그룹 정책 설정)를 참조하십시오. 기본값은 꺼짐입니다.

    • OS 드라이브 복구용 48비트 복구 암호 만들기: 복구 암호 사용을 허용할지, 아니면 필수로 할지를 지정합니다. BitLocker는 암호를 생성하고 파일 또는 Microsoft Cloud 계정에 저장합니다. 기본값은 48비트 암호 허용입니다.

    • 256비트 복구 키 만들기: 복구 키 사용을 허용할지, 아니면 필수로 할지를 지정합니다. 복구 키는 BEK 파일로, USB 드라이브에 저장됩니다. 기본값은 256비트 복구 키 허용입니다.

    • OS 드라이브 복구 옵션 숨기기: BitLocker 인터페이스에 복구 옵션을 표시할지, 숨길지 여부를 지정합니다. 켜짐인 경우 BitLocker 인터페이스에 복구 옵션이 표시되지 않습니다. 이 경우 장치를 Active Directory에 등록하고 복구 옵션을 Active Directory에 저장하고 AD DS에 복구 정보 저장켜짐으로 설정하십시오. 기본값은 꺼짐입니다.

    • AD DS에 복구 정보 저장: Active Directory 도메인 서비스에 복구 옵션을 저장할지 여부를 지정합니다. 기본값은 꺼짐입니다.

    • AD DS에 저장된 복구 정보 구성: BitLocker 복구 암호 또는 복구 암호 및 키 패키지를 Active Directory 도메인 서비스에 저장할지 여부를 지정합니다. 키 패키지를 저장하면 물리적으로 손상된 드라이브에서 데이터를 복구할 수 있습니다. 기본값은 복구 암호 백업입니다.

    • AD DS에 복구 정보 저장 후 BitLocker 사용: 장치가 도메인에 연결되고 BitLocker 복구 정보가 Active Directory에 백업된 경우에만 BitLocker를 사용할 수 있도록 할지 여부를 지정합니다. 켜짐인 경우 BitLocker를 시작하려면 장치가 도메인에 연결되어 있어야 합니다. 기본값은 꺼짐입니다.

  • 사전 부팅 복구 메시지 및 URL 사용자 지정: 복구 화면에 BitLocker의 사용자 지정된 메시지 및 URL을 표시할지 여부를 지정합니다. 켜짐인 경우 기본 복구 메시지 및 URL 사용, 빈 복구 메시지 및 URL 사용, 사용자 지정 복구 메시지 사용사용자 지정 복구 URL 사용의 추가 설정이 나타납니다. 꺼짐인 경우 기본 복구 메시지 및 URL이 표시됩니다. 기본값은 꺼짐입니다.

  • 고정 드라이브 복구 구성: BitLocker로 암호화된 고정 드라이브에 대한 사용자 복구 옵션을 구성합니다. BitLocker는 고정 드라이브 암호화에 대한 메시지를 사용자에게 표시하지 않습니다. 시작 시 드라이브 잠금을 해제하려면 사용자가 암호 또는 스마트 카드를 제공해야 합니다. 사용자가 고정 드라이브의 BitLocker 암호화를 사용하도록 설정한 경우 이 정책에 포함되지 않은 시작 잠금 해제 설정이 BitLocker 인터페이스에 표시됩니다. 관련 설정에 대한 자세한 내용은 이 목록의 앞 부분에 있는 OS 드라이브 복구 구성을 참조하십시오. 기본값은 꺼짐입니다.

  • BitLocker를 사용하지 않는 고정 드라이브에 대한 쓰기 액세스 차단: 켜짐인 경우 BitLocker로 암호화된 고정 드라이브에만 쓰기 작업을 수행할 수 있습니다. 기본값은 꺼짐입니다.

  • BitLocker를 사용하지 않는 이동식 드라이브에 대한 쓰기 액세스 차단: 켜짐인 경우 BitLocker로 암호화된 이동식 드라이브에만 쓰기 작업을 수행할 수 있습니다. 이 설정은 조직에서 다른 이동식 드라이브에 대한 쓰기 액세스를 허용하는지 여부에 따라 구성하십시오. 기본값은 꺼짐입니다.

  • 다른 디스크 암호화인 경우 메시지 표시: 장치의 다른 디스크 암호화에 대한 경고 메시지를 표시하지 않도록 설정할 수 있습니다. 기본값은 꺼짐입니다.

BitLocker 장치 정책