BitLocker 관리 계획
적용 대상: Configuration Manager(현재 분기)
Configuration Manager 사용하여 Active Directory에 조인된 온-프레미스 Windows 클라이언트에 대한 BDE(BitLocker 드라이브 암호화)를 관리합니다. Microsoft BitLocker 관리 및 모니터링(MBAM)의 사용을 대체할 수 있는 전체 BitLocker 수명 주기 관리를 제공합니다.
참고
Configuration Manager 기본적으로 이 선택적 기능을 사용하도록 설정하지 않습니다. 이 기능을 사용하려면 먼저 이 기능을 사용하도록 설정해야 합니다. 자세한 내용은 업데이트에서 선택적 기능 사용을 참조하세요.
BitLocker에 대한 자세한 내용은 BitLocker 개요를 참조하세요. BitLocker 배포 및 요구 사항을 비교하려면 BitLocker 배포 비교 차트를 참조하세요.
팁
Microsoft Intune 클라우드 서비스를 사용하여 공동 관리 Windows 10 이상 디바이스에서 암호화를 관리하려면 Endpoint Protection 워크로드를 Intune 전환합니다. Intune 사용에 대한 자세한 내용은 Windows 암호화를 참조하세요.
기능
Configuration Manager BitLocker 드라이브 암호화에 대해 다음과 같은 관리 기능을 제공합니다.
클라이언트 배포
Windows 8.1, Windows 10 또는 Windows 11 실행하는 관리되는 Windows 디바이스에 BitLocker 클라이언트를 배포합니다.
온-프레미스 및 인터넷 기반 클라이언트에 대한 BitLocker 정책 및 에스크로 복구 키 관리
암호화 정책 관리
예를 들어 드라이브 암호화 및 암호화 강도를 선택하고, 사용자 예외 정책을 구성하고, 데이터 드라이브 암호화 설정을 고정합니다.
디바이스를 암호화할 알고리즘과 암호화 대상 디스크를 결정합니다.
디바이스를 사용하기 전에 사용자가 새 보안 정책을 준수하도록 강제 적용합니다.
디바이스별로 organization 보안 프로필을 사용자 지정합니다.
사용자가 OS 드라이브의 잠금을 해제할 때 OS 드라이브만 잠금 해제할지 또는 모든 연결된 드라이브의 잠금을 해제할지를 지정합니다.
규정 준수 보고서
다음을 위한 기본 제공 보고서:
- 볼륨당 또는 디바이스당 암호화 상태
- 디바이스의 기본 사용자
- 규정 준수 상태
- 비준수 이유
관리 및 모니터링 웹사이트
키 회전 및 기타 BitLocker 관련 지원을 포함하여 키 복구에 도움이 되도록 Configuration Manager 콘솔 외부의 organization 있는 다른 가상 사용자를 허용합니다. 예를 들어 지원 센터 관리자는 사용자가 키 복구를 수행할 수 있도록 도와줄 수 있습니다.
팁
버전 2107부터 Microsoft Intune 관리 센터에서 테넌트 연결 디바이스에 대한 BitLocker 복구 키를 가져올 수도 있습니다. 자세한 내용은 테넌트 연결: BitLocker 복구 키를 참조하세요.
사용자 셀프 서비스 포털
사용자가 BitLocker 암호화된 디바이스의 잠금을 해제하기 위한 일회용 키를 사용할 수 있도록 합니다. 이 키를 사용하면 디바이스에 대한 새 키가 생성됩니다.
필수 구성 요소
일반 필수 구성 요소
BitLocker 관리 정책을 만들려면 Configuration Manager 전체 관리자 역할이 필요합니다.
BitLocker 관리 보고서를 사용하려면 보고 서비스 지점 사이트 시스템 역할을 설치합니다. 자세한 내용은 보고 구성을 참조하세요.
참고
복구 감사 보고서가 관리 및 모니터링 웹 사이트에서 작동하려면 기본 사이트의 보고 서비스 지점만 사용합니다.
클라이언트에 대한 필수 구성 요소
디바이스에는 BIOS에서 사용하도록 설정되고 Windows에서 다시 설정할 수 있는 TPM 칩이 필요합니다.
Microsoft는 TPM 버전 2.0 이상을 사용하는 디바이스를 권장합니다. TPM 버전 1.2가 있는 디바이스는 모든 BitLocker 기능을 제대로 지원하지 않을 수 있습니다.
컴퓨터의 하드 디스크에는 TPM과 호환되고 컴퓨터 시작 중에 USB 디바이스를 지원하는 BIOS가 필요합니다.
참고
TPM 암호 해시 업로드는 주로 Windows 10 전에 Windows 버전과 관련이 있습니다. 기본적으로 Windows 10 이상에서는 TPM 암호 해시를 저장하지 않으므로 이러한 디바이스는 일반적으로 업로드하지 않습니다. 자세한 내용은 TPM 소유자 암호 정보를 참조하세요.
BitLocker 관리는 Configuration Manager 지원하는 모든 클라이언트 유형을 지원하지 않습니다. 자세한 내용은 지원되는 구성을 참조하세요.
복구 서비스에 대한 필수 구성 요소
버전 2010 및 이전 버전에서 BitLocker 복구 서비스는 HTTPS가 Configuration Manager 클라이언트에서 관리 지점으로 네트워크를 통해 복구 키를 암호화해야 합니다. 다음 옵션 중 하나를 사용합니다.
복구 서비스를 호스트하는 관리 지점에서 IIS 웹 사이트를 HTTPS로 사용하도록 설정합니다.
HTTPS에 대한 관리 지점을 구성합니다.
자세한 내용은 네트워크를 통해 복구 데이터 암호화를 참조하세요.
참고
사이트와 클라이언트가 모두 Configuration Manager 버전 2103 이상을 실행하는 경우 클라이언트는 보안 클라이언트 알림 채널을 통해 관리 지점으로 복구 키를 보냅니다. 클라이언트가 버전 2010 이하인 경우 키를 에스크로하려면 관리 지점에서 HTTPS 지원 복구 서비스가 필요합니다.
버전 2103부터 클라이언트는 보안 클라이언트 알림 채널을 사용하여 에스크로 키를 사용하므로 향상된 HTTP에 Configuration Manager 사이트를 사용하도록 설정할 수 있습니다. 이 구성은 Configuration Manager BitLocker 관리 기능에 영향을 주지 않습니다.
2010년 이전 버전에서는 복구 서비스를 사용하려면 복제본(replica) 구성이 아닌 하나 이상의 관리 지점이 필요합니다. BitLocker 복구 서비스는 데이터베이스 복제본(replica) 사용하는 관리 지점에 설치되지만 클라이언트는 복구 키를 에스크로할 수 없습니다. 그런 다음 BitLocker는 드라이브를 암호화하지 않습니다. 데이터베이스 복제본(replica) 있는 모든 관리 지점에서 BitLocker 복구 서비스를 사용하지 않도록 설정합니다.
버전 2103부터 복구 서비스는 데이터베이스 복제본(replica) 사용하는 관리 지점을 지원합니다.
BitLocker 포털의 필수 구성 요소
셀프 서비스 포털 또는 관리 및 모니터링 웹 사이트를 사용하려면 IIS를 실행하는 Windows 서버가 필요합니다. Configuration Manager 사이트 시스템을 다시 사용하거나 사이트 데이터베이스 서버에 연결된 독립 실행형 웹 서버를 사용할 수 있습니다. 사이트 시스템 서버에 지원되는 OS 버전을 사용합니다.
셀프 서비스 포털을 호스트할 웹 서버에서 설치 프로세스를 응시하기 전에 Microsoft ASP.NET MVC 4.0 및 .NET Framework 3.5 기능을 설치합니다. 다른 필수 Windows 서버 역할 및 기능은 포털 설치 프로세스 중에 자동으로 설치됩니다.
팁
ASP.NET MVC를 사용하여 Visual Studio 버전을 설치할 필요가 없습니다.
포털 설치 관리자 스크립트를 실행하는 사용자 계정에는 사이트 데이터베이스 서버에 대한 SQL Server sysadmin 권한이 필요합니다. 설치 프로세스 중에 스크립트는 웹 서버 컴퓨터 계정에 대한 로그인, 사용자 및 SQL Server 역할 권한을 설정합니다. 셀프 서비스 포털 및 관리 및 모니터링 웹 사이트의 설정을 완료한 후 sysadmin 역할에서 이 사용자 계정을 제거할 수 있습니다.
지원되는 구성
BitLocker 관리는 VM(가상 머신) 또는 서버 버전에서 지원되지 않습니다. 예를 들어 BitLocker 관리는 가상 머신의 고정 드라이브에서 암호화를 시작하지 않습니다. 또한 가상 머신의 고정 드라이브는 암호화되지 않더라도 규격으로 표시될 수 있습니다.
버전 2409부터 Configuration Manager ARM 디바이스에 대한 BitLocker 작업 순서 단계를 지원합니다. BitLocker Management에서 TPM 보호기를 사용하는 OS 드라이브 암호화 및 자동 잠금 해제 옵션을 사용하는 고정 드라이브 암호화가 포함된 정책은 이제 ARM 디바이스와 호환됩니다.
버전 2010 및 이전 버전에서는 Microsoft Entra 가입, 작업 그룹 클라이언트 또는 신뢰할 수 없는 도메인의 클라이언트는 지원되지 않습니다. 이러한 이전 버전의 Configuration Manager BitLocker 관리는 Microsoft Entra 하이브리드 조인 디바이스를 포함하여 온-프레미스 Active Directory 조인된 디바이스만 지원합니다. 이 구성은 에스크로 키에 대한 복구 서비스를 사용하여 인증하는 것입니다.
버전 2103부터 Configuration Manager BitLocker 관리에 대한 모든 클라이언트 조인 유형을 지원합니다. 그러나 클라이언트 쪽 BitLocker 사용자 인터페이스 구성 요소는 여전히 Active Directory 조인 및 Microsoft Entra 하이브리드 조인 디바이스에서만 지원됩니다.
버전 2010부터 CMG(클라우드 관리 게이트웨이)를 통해 BitLocker 정책 및 에스크로 복구 키를 관리할 수 있습니다. 또한 이 변경은 IBCM(인터넷 기반 클라이언트 관리)을 통해 BitLocker 관리를 지원합니다. BitLocker 관리를 위한 설정 프로세스는 변경되지 않습니다. 이 개선 사항은 도메인 가입 및 하이브리드 도메인 가입 디바이스를 지원합니다. 자세한 내용은 관리 에이전트 배포: 복구 서비스를 참조하세요.
- 버전 2010으로 업데이트하기 전에 만든 BitLocker 관리 정책이 있는 경우 CMG를 통해 인터넷 기반 클라이언트에서 사용할 수 있도록 합니다.
- Configuration Manager 콘솔에서 기존 정책의 속성을 엽니다.
- 클라이언트 관리 탭으로 전환합니다.
- 확인을 선택하거나 적용을 선택하여 정책을 저장합니다. 이 작업은 CMG를 통해 클라이언트에서 사용할 수 있도록 정책을 수정합니다.
- 버전 2010으로 업데이트하기 전에 만든 BitLocker 관리 정책이 있는 경우 CMG를 통해 인터넷 기반 클라이언트에서 사용할 수 있도록 합니다.
기본적으로 BitLocker 사용 작업 순서 단계는 드라이브에서 사용된 공간 만 암호화합니다. BitLocker 관리는 전체 디스크 암호화를 사용합니다. 전체 디스크 암호화 사용 옵션을 사용하도록 설정하려면 이 작업 순서 단계를 구성합니다.
버전 2203부터 OS 볼륨에 대한 BitLocker 복구 정보를 Configuration Manager 위해 이 작업 순서 단계를 구성할 수 있습니다.
자세한 내용은 작업 순서 단계 - BitLocker 사용을 참조하세요.
중요
Invoke-MbamClientDeployment.ps1
PowerShell 스크립트는 독립 실행형 MBAM 전용입니다. Configuration Manager BitLocker Management와 함께 사용하면 안 됩니다.