BitLocker 설정 참조

적용 대상: Configuration Manager(현재 분기)

Configuration Manager BitLocker 관리 정책에는 다음 정책 그룹이 포함됩니다.

• 설정
• 운영 체제 드라이브
• 고정 드라이브
• 이동식 드라이브
• 고객 관리

다음 섹션에서는 각 그룹의 설정에 대한 구성을 설명하고 제안합니다.

설정

이 페이지의 설정은 전역 BitLocker 암호화 옵션을 구성합니다.

드라이브 암호화 방법 및 암호화 강도

제안된 구성: 기본 또는 더 큰 암호화 방법으로 사용하도록 설정됩니다 .

Windows 8.1 디바이스

Windows 8.1 디바이스의 경우 드라이브 암호화 방법 및 암호 강도에 대한 옵션을 사용하도록 설정하고 다음 암호화 방법 중 하나를 선택합니다.

• Diffuser를 사용하는 AES 128비트
• Diffuser를 사용하는 AES 256비트
• AES 128비트(기본값)
• AES 256비트

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMBLEncryptionMethodPolicy를 참조하세요.

Windows 10 이상 장치

Windows 10 이상 디바이스의 경우 드라이브 암호화 방법 및 암호 강도(Windows 10 이상)에 대한 옵션을 사용하도록 설정합니다. 그런 다음 OS 드라이브, 고정 데이터 드라이브 및 이동식 데이터 드라이브에 대해 다음 암호화 방법 중 하나를 개별적으로 선택합니다.

• AES-CBC 128비트
• AES-CBC 256비트
• XTS-AES 128비트(기본값)
• XTS-AES 256비트

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMBLEncryptionMethodWithXts를 참조하세요.

드라이브 암호화 및 암호화 강도에 대한 일반 사용 현황 정보

• 이러한 설정을 사용하지 않거나 구성하지 않으면 BitLocker는 기본 암호화 방법을 사용합니다.

• Configuration Manager BitLocker를 켤 때 이러한 설정을 적용합니다.

• 드라이브가 이미 암호화되었거나 진행 중인 경우 이러한 정책 설정을 변경해도 디바이스의 드라이브 암호화가 변경되지 않습니다.

• 기본값을 사용하는 경우 BitLocker 컴퓨터 준수 보고서에서 암호 강도를 알 수 없음으로 표시할 수 있습니다. 이 문제를 해결하려면 이 설정을 사용하도록 설정하고 암호 강도에 대한 명시적 값을 설정합니다.

다시 시작할 때 메모리 덮어쓰기 방지

제안된 구성: 구성되지 않음

다시 시작할 때 메모리에서 BitLocker 비밀을 덮어쓰지 않고 다시 시작 성능을 개선하도록 이 정책을 구성합니다.

이 정책을 구성하지 않으면 BitLocker는 컴퓨터가 다시 시작될 때 메모리에서 비밀을 제거합니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMNoOverwritePolicy를 참조하세요.

스마트 카드 인증서 사용 규칙 준수 유효성 검사

제안된 구성: 구성되지 않음

스마트 카드 인증서 기반 BitLocker 보호를 사용하도록 이 정책을 구성합니다. 그런 다음 인증서 개체 식별자를 지정합니다.

이 정책을 구성하지 않으면 BitLocker는 기본 개체 식별자를 1.3.6.1.4.1.311.67.1.1 사용하여 인증서를 지정합니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMScCompliancePolicy를 참조하세요.

조직 고유 식별자

제안된 구성: 구성되지 않음

인증서 기반 데이터 복구 에이전트 또는 BitLocker To Go 판독기를 사용하도록 이 정책을 구성합니다.

이 정책을 구성하지 않으면 BitLocker는 식별 필드를 사용하지 않습니다.

organization 더 높은 보안 측정값이 필요한 경우 식별 필드를 구성합니다. 모든 대상 USB 디바이스에서 이 필드를 설정하고 이 설정에 맞게 조정합니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMUidPolicy를 참조하세요.

OS 드라이브

이 페이지의 설정은 Windows가 설치된 드라이브에 대한 암호화 설정을 구성합니다.

운영 체제 드라이브 암호화 설정

제안된 구성: 사용

이 설정을 사용하도록 설정하면 사용자는 OS 드라이브를 보호해야 하며 BitLocker는 드라이브를 암호화합니다. 사용하지 않도록 설정하면 사용자가 드라이브를 보호할 수 없습니다. 이 정책을 구성하지 않으면 OS 드라이브에서 BitLocker 보호가 필요하지 않습니다.

TPM(신뢰할 수 있는 플랫폼 모듈)이 없는 디바이스가 있는 경우 호환되는 TPM 없이 BitLocker 허용 옵션을 사용합니다(암호 필요). 이 설정을 사용하면 디바이스에 TPM이 없더라도 BitLocker가 OS 드라이브를 암호화할 수 있습니다. 이 옵션을 허용하면 Windows에서 사용자에게 BitLocker 암호를 지정하라는 메시지를 표시합니다.

호환되는 TPM이 있는 디바이스에서는 시작 시 두 가지 유형의 인증 방법을 사용하여 암호화된 데이터에 대한 추가 보호를 제공할 수 있습니다. 컴퓨터가 시작되면 인증에 TPM만 사용하거나 PIN(개인 식별 번호)을 입력해야 할 수도 있습니다. 다음 설정을 구성합니다.

• 운영 체제 드라이브에 대한 보호기 선택: TPM 및 PIN을 사용하도록 구성하거나 TPM만 사용하도록 구성합니다.

• 시작에 대한 최소 PIN 길이 구성: PIN이 필요한 경우 이 값은 사용자가 지정할 수 있는 가장 짧은 길이입니다. 컴퓨터가 부팅되면 사용자가 이 PIN을 입력하여 드라이브의 잠금을 해제합니다. 기본적으로 최소 PIN 길이는 입니다 4.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMBMSOSDEncryptionPolicy를 참조하세요.

시작 시 강화된 PIN 허용

제안된 구성: 구성되지 않음

향상된 시작 PIN을 사용하도록 BitLocker를 구성합니다. 이러한 PIN은 대문자 및 소문자, 기호, 숫자 및 공백과 같은 더 많은 문자를 사용할 수 있도록 허용합니다. 이 설정은 BitLocker를 켤 때 적용됩니다.

이 설정을 사용하도록 설정하면 모든 새 BitLocker 시작 PIN을 통해 사용자가 향상된 PIN을 만들 수 있습니다.

• ASCII 전용 PIN 필요: 부팅 전 환경에서 입력할 수 있는 문자의 유형이나 수를 제한하는 컴퓨터와 향상된 PIN의 호환성을 높이는 데 도움이 됩니다.

이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker는 향상된 PIN을 사용하지 않습니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMEnhancedPIN을 참조하세요.

운영 체제 드라이브 암호 정책

제안된 구성: 구성되지 않음

이러한 설정을 사용하여 암호에 대한 제약 조건을 설정하여 BitLocker로 보호되는 OS 드라이브의 잠금을 해제합니다. OS 드라이브에서 TPM이 아닌 보호기를 허용하는 경우 다음 설정을 구성합니다.

• 운영 체제 드라이브에 대한 암호 복잡성 구성: 암호에 복잡성 요구 사항을 적용하려면 암호 복잡성 필요를 선택합니다.

• 운영 체제 드라이브의 최소 암호 길이: 기본적으로 최소 길이는 입니다 8.

• 이동식 OS 드라이브에 ASCII 전용 암호 필요

이 정책 설정을 사용하도록 설정하면 사용자가 정의한 요구 사항을 충족하는 암호를 구성할 수 있습니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMOSPassphrase를 참조하세요.

OS 드라이브 암호 정책에 대한 일반 사용 정보

• 이러한 복잡성 요구 사항 설정을 적용하려면 그룹 정책 설정 암호가 컴퓨터 구성>Windows 설정보안 설정>>계정 정책>암호 정책의 복잡성 요구 사항을 충족해야 합니다.

• BitLocker는 볼륨 잠금을 해제할 때가 아니라 켤 때 이러한 설정을 적용합니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호기를 사용하여 드라이브의 잠금을 해제할 수 있습니다.

• 그룹 정책을 사용하여 암호화, 해시 및 서명에 FIPS 규격 알고리즘을 사용하도록 설정하는 경우 암호를 BitLocker 보호기로 허용할 수 없습니다.

BitLocker 복구 후 플랫폼 유효성 검사 데이터 다시 설정

제안된 구성: 구성되지 않음

Windows가 BitLocker 복구 후에 시작될 때 플랫폼 유효성 검사 데이터를 새로 고칠지 여부를 제어합니다.

이 설정을 사용하거나 구성하지 않으면 Windows는 이 상황에서 플랫폼 유효성 검사 데이터를 새로 고칩니다.

이 정책 설정을 사용하지 않도록 설정하면 Windows는 이 상황에서 플랫폼 유효성 검사 데이터를 새로 고치지 않습니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMTpmAutoResealPolicy를 참조하세요.

사전 부팅 복구 메시지 및 URL

제안된 구성: 구성되지 않음

BitLocker가 OS 드라이브를 잠그면 이 설정을 사용하여 부팅 전 BitLocker 복구 화면에 사용자 지정 복구 메시지 또는 URL을 표시합니다. 이 설정은 Windows 10 이상 디바이스에만 적용됩니다.

이 설정을 사용하도록 설정하면 부팅 전 복구 메시지에 대해 다음 옵션 중 하나를 선택합니다.

• 기본 복구 메시지 및 URL 사용: 부팅 전 BitLocker 복구 화면에 기본 BitLocker 복구 메시지 및 URL을 표시합니다. 이전에 사용자 지정 복구 메시지 또는 URL을 구성한 경우 이 옵션을 사용하여 기본 메시지를 되돌리기.

• 사용자 지정 복구 메시지 사용: 부팅 전 BitLocker 복구 화면에 사용자 지정 메시지를 포함합니다.

  • 사용자 지정 복구 메시지 옵션: 표시할 사용자 지정 메시지를 입력합니다. 또한 복구 URL을 지정하려면 이 사용자 지정 복구 메시지의 일부로 포함합니다. 최대 문자열 길이는 32,768자입니다.

• 사용자 지정 복구 URL 사용: 부팅 전 BitLocker 복구 화면에 표시되는 기본 URL을 바꿉니다.

  • 사용자 지정 복구 URL 옵션: 표시할 URL을 입력합니다. 최대 문자열 길이는 32,768자입니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMPrebootRecoveryInfo를 참조하세요.

암호화 정책 적용 설정(OS 드라이브)

제안된 구성: 사용

사용자가 OS 드라이브에 대한 BitLocker 규정 준수를 연기할 수 있는 일 수를 구성합니다. 비준수 유예 기간은 Configuration Manager 처음 비준수로 검색할 때 시작됩니다. 이 유예 기간이 만료되면 사용자는 필요한 작업을 연기하거나 면제를 요청할 수 없습니다.

암호화 프로세스에 사용자 입력이 필요한 경우 사용자가 필요한 정보를 제공할 때까지 닫을 수 없는 대화 상자가 Windows에 나타납니다. 오류 또는 상태 대한 이후 알림에는 이 제한이 없습니다.

보호기를 추가하기 위해 사용자 상호 작용이 필요하지 않은 경우 유예 기간이 만료된 후 BitLocker는 백그라운드에서 암호화를 시작합니다.

이 설정을 사용하지 않거나 구성하지 않으면 Configuration Manager 사용자가 BitLocker 정책을 준수할 필요가 없습니다.

정책을 즉시 적용하려면 의 0유예 기간을 설정합니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMUseOsEnforcePolicy를 참조하세요.

고정 드라이브

이 페이지의 설정은 디바이스의 다른 데이터 드라이브에 대한 암호화를 구성합니다.

데이터 드라이브 암호화 수정

제안된 구성: 사용

고정 데이터 드라이브의 암호화 요구 사항을 관리합니다. 이 설정을 사용하도록 설정하면 BitLocker에서 모든 고정 데이터 드라이브를 보호해야 합니다. 그런 다음 데이터 드라이브를 암호화합니다.

이 정책을 사용하도록 설정하면 자동 잠금 해제를 사용하도록 설정하거나 고정 데이터 드라이브 암호 정책에 대한 설정을 사용합니다.

• 고정 데이터 드라이브에 대한 자동 잠금 해제 구성: BitLocker가 암호화된 데이터 드라이브의 잠금을 자동으로 잠금 해제하도록 허용하거나 요구합니다. 자동 잠금 해제를 사용하려면 OS 드라이브를 암호화하려면 BitLocker도 필요합니다.

이 설정을 구성하지 않으면 BitLocker에서 사용자가 고정 데이터 드라이브를 보호하도록 요구하지 않습니다.

이 설정을 사용하지 않도록 설정하면 사용자는 고정 데이터 드라이브를 BitLocker 보호 아래에 배치할 수 없습니다. BitLocker가 고정 데이터 드라이브를 암호화한 후 이 정책을 사용하지 않도록 설정하면 BitLocker는 고정 데이터 드라이브의 암호를 해독합니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMBMSFDVEncryptionPolicy를 참조하세요.

BitLocker로 보호되지 않는 고정 드라이브에 대한 쓰기 액세스 거부

제안된 구성: 구성되지 않음

디바이스의 고정 드라이브에 데이터를 쓰려면 Windows용 BitLocker 보호가 필요합니다. BitLocker는 이 정책을 켤 때 적용합니다.

이 설정을 사용하도록 설정하면 다음을 수행합니다.

• BitLocker가 고정 데이터 드라이브를 보호하는 경우 Windows는 읽기 및 쓰기 액세스 권한으로 탑재합니다.

• BitLocker가 보호하지 않는 고정 데이터 드라이브의 경우 Windows는 읽기 전용으로 탑재합니다.

이 설정을 구성하지 않으면 Windows는 읽기 및 쓰기 액세스 권한이 있는 모든 고정 데이터 드라이브를 탑재합니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMFDVDenyWriteAccessPolicy를 참조하세요.

데이터 드라이브 암호 정책 수정

제안된 구성: 구성되지 않음

이러한 설정을 사용하여 암호에 대한 제약 조건을 설정하여 BitLocker로 보호되는 고정 데이터 드라이브의 잠금을 해제합니다.

이 설정을 사용하도록 설정하면 사용자가 정의된 요구 사항을 충족하는 암호를 구성할 수 있습니다.

보안을 강화하려면 이 설정을 사용하도록 설정한 다음, 다음 설정을 구성합니다.

• 고정 데이터 드라이브에 암호 필요: 사용자는 BitLocker로 보호되는 고정 데이터 드라이브의 잠금을 해제하기 위해 암호를 지정해야 합니다.

• 고정 데이터 드라이브에 대한 암호 복잡성 구성: 암호에 복잡성 요구 사항을 적용하려면 암호 복잡성 필요를 선택합니다.

• 고정 데이터 드라이브의 최소 암호 길이: 기본적으로 최소 길이는 입니다 8.

이 설정을 사용하지 않도록 설정하면 사용자가 암호를 구성할 수 없습니다.

정책이 구성되지 않은 경우 BitLocker는 기본 설정으로 암호를 지원합니다. 기본 설정에는 암호 복잡성 요구 사항이 포함되지 않으며 8자만 필요합니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMFDVPassPhrasePolicy를 참조하세요.

고정 데이터 드라이브 암호 정책에 대한 일반 사용 정보

• 이러한 복잡성 요구 사항 설정을 적용하려면 그룹 정책 설정 암호가 컴퓨터 구성>Windows 설정보안 설정>>계정 정책>암호 정책의 복잡성 요구 사항을 충족해야 합니다.

• BitLocker는 볼륨 잠금을 해제할 때가 아니라 켤 때 이러한 설정을 적용합니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호기를 사용하여 드라이브의 잠금을 해제할 수 있습니다.

• 그룹 정책을 사용하여 암호화, 해시 및 서명에 FIPS 규격 알고리즘을 사용하도록 설정하는 경우 암호를 BitLocker 보호기로 허용할 수 없습니다.

암호화 정책 적용 설정(고정 데이터 드라이브)

제안된 구성: 사용

사용자가 고정 데이터 드라이브에 대해 BitLocker 규정 준수를 연기할 수 있는 일 수를 구성합니다. 비준수 유예 기간은 Configuration Manager 먼저 고정 데이터 드라이브를 비준수로 검색할 때 시작됩니다. OS 드라이브가 준수될 때까지 고정 데이터 드라이브 정책을 적용하지 않습니다. 유예 기간이 만료되면 사용자는 필요한 작업을 연기하거나 면제를 요청할 수 없습니다.

암호화 프로세스에 사용자 입력이 필요한 경우 사용자가 필요한 정보를 제공할 때까지 닫을 수 없는 대화 상자가 Windows에 나타납니다. 오류 또는 상태 대한 이후 알림에는 이 제한이 없습니다.

보호기를 추가하기 위해 사용자 상호 작용이 필요하지 않은 경우 유예 기간이 만료된 후 BitLocker는 백그라운드에서 암호화를 시작합니다.

이 설정을 사용하지 않거나 구성하지 않으면 Configuration Manager 사용자가 BitLocker 정책을 준수할 필요가 없습니다.

정책을 즉시 적용하려면 의 0유예 기간을 설정합니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMUseFddEnforcePolicy를 참조하세요.

이동식 드라이브

이 페이지의 설정은 USB 키와 같은 이동식 드라이브에 대한 암호화를 구성합니다.

이동식 데이터 드라이브 암호화

제안된 구성: 사용

이 설정은 이동식 드라이브에서 BitLocker 사용을 제어합니다.

• 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용할 수 있도록 허용: 사용자는 이동식 드라이브에 대해 BitLocker 보호를 켤 수 있습니다.

• 사용자가 이동식 데이터 드라이브에서 BitLocker를 일시 중단 및 암호 해독할 수 있도록 허용: 사용자는 이동식 드라이브에서 BitLocker 드라이브 암호화를 제거하거나 일시적으로 일시 중단할 수 있습니다.

이 설정을 사용하도록 설정하고 사용자가 BitLocker 보호를 적용할 수 있도록 허용하면 Configuration Manager 클라이언트는 이동식 드라이브에 대한 복구 정보를 관리 지점의 복구 서비스에 저장합니다. 이 동작을 통해 사용자는 보호기(암호)를 잊어버리거나 분실한 경우 드라이브를 복구할 수 있습니다.

이 설정을 사용하도록 설정하면 다음을 수행합니다.

• 이동식 데이터 드라이브 암호 정책에 대한 설정 사용

• 두 사용자 & 컴퓨터 구성 모두에 대해 시스템>이동식 스토리지 액세스에서 다음 그룹 정책 설정을 사용하지 않도록 설정합니다.

  • 모든 이동식 스토리지 클래스: 모든 액세스 거부
  • 이동식 디스크: 쓰기 액세스 거부
  • 이동식 디스크: 읽기 액세스 거부

이 설정을 사용하지 않도록 설정하면 사용자는 이동식 드라이브에서 BitLocker를 사용할 수 없습니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMRDVConfigureBDEPolicy를 참조하세요.

BitLocker로 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부

제안된 구성: 구성되지 않음

디바이스의 이동식 드라이브에 데이터를 쓰려면 Windows용 BitLocker 보호가 필요합니다. BitLocker는 이 정책을 켤 때 적용합니다.

이 설정을 사용하도록 설정하면 다음을 수행합니다.

• BitLocker가 이동식 드라이브를 보호하는 경우 Windows는 읽기 및 쓰기 액세스 권한으로 탑재합니다.

• BitLocker가 보호하지 않는 이동식 드라이브의 경우 Windows는 읽기 전용으로 탑재합니다.

• 다른 organization 구성된 디바이스에 대한 쓰기 액세스 거부 옵션을 사용하도록 설정하면 BitLocker는 허용된 식별 필드와 일치하는 식별 필드가 있는 이동식 드라이브에만 쓰기 액세스 권한을 부여합니다. 설치 페이지에서 조직 고유 식별자 전역 설정을 사용하여 이러한 필드를 정의합니다.

이 설정을 사용하지 않거나 구성하지 않으면 Windows는 읽기 및 쓰기 권한이 있는 모든 이동식 드라이브를 탑재합니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMRDVDenyWriteAccessPolicy를 참조하세요.

이동식 데이터 드라이브 암호 정책

제안된 구성: 사용

이러한 설정을 사용하여 암호에 대한 제약 조건을 설정하여 BitLocker로 보호되는 이동식 드라이브의 잠금을 해제합니다.

이 설정을 사용하도록 설정하면 사용자가 정의된 요구 사항을 충족하는 암호를 구성할 수 있습니다.

보안을 강화하려면 이 설정을 사용하도록 설정한 다음, 다음 설정을 구성합니다.

• 이동식 데이터 드라이브에 암호 필요: 사용자는 BitLocker로 보호되는 이동식 드라이브의 잠금을 해제하기 위해 암호를 지정해야 합니다.

• 이동식 데이터 드라이브에 대한 암호 복잡성 구성: 암호에 복잡성 요구 사항을 적용하려면 암호 복잡성 필요를 선택합니다.

• 이동식 데이터 드라이브의 최소 암호 길이: 기본적으로 최소 길이는 입니다 8.

이 설정을 사용하지 않도록 설정하면 사용자가 암호를 구성할 수 없습니다.

정책이 구성되지 않은 경우 BitLocker는 기본 설정으로 암호를 지원합니다. 기본 설정에는 암호 복잡성 요구 사항이 포함되지 않으며 8자만 필요합니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMRDVPassPhrasePolicy를 참조하세요.

이동식 데이터 드라이브 암호 정책에 대한 일반 사용 정보

• 이러한 복잡성 요구 사항 설정을 적용하려면 그룹 정책 설정 암호가 컴퓨터 구성>Windows 설정보안 설정>>계정 정책>암호 정책의 복잡성 요구 사항을 충족해야 합니다.

• BitLocker는 볼륨 잠금을 해제할 때가 아니라 켤 때 이러한 설정을 적용합니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호기를 사용하여 드라이브의 잠금을 해제할 수 있습니다.

• 그룹 정책을 사용하여 암호화, 해시 및 서명에 FIPS 규격 알고리즘을 사용하도록 설정하는 경우 암호를 BitLocker 보호기로 허용할 수 없습니다.

고객 관리

이 페이지의 설정은 BitLocker 관리 서비스 및 클라이언트를 구성합니다.

BitLocker 관리 서비스

제안된 구성: 사용

이 설정을 사용하도록 설정하면 Configuration Manager 사이트 데이터베이스의 키 복구 정보를 자동으로 백업합니다. 이 설정을 사용하지 않거나 구성하지 않으면 Configuration Manager 키 복구 정보를 저장하지 않습니다.

• 저장할 BitLocker 복구 정보 선택: BitLocker 복구 정보를 백업하도록 키 복구 서비스를 구성합니다. BitLocker로 암호화된 데이터를 복구하는 관리 방법을 제공하므로 키 정보가 부족하여 데이터 손실을 방지할 수 있습니다.

• 복구 정보를 일반 텍스트로 저장할 수 있도록 허용: SQL Server 대한 BitLocker 관리 암호화 인증서가 없으면 Configuration Manager 키 복구 정보를 일반 텍스트로 저장합니다. 자세한 내용은 데이터베이스에서 복구 데이터 암호화를 참조하세요.

• 상태 빈도(분)를 확인하는 클라이언트: 구성된 빈도에서 클라이언트는 BitLocker 보호 정책을 확인하고 컴퓨터에서 상태 클라이언트 복구 키도 백업합니다. 기본적으로 Configuration Manager 클라이언트는 90분마다 BitLocker 상태 확인합니다.

  중요

  이 값을 60 미만으로 설정하지 마세요. 빈도 값이 작을수록 클라이언트가 부정확한 규정 준수 상태를 간략하게 보고할 수 있습니다.

Windows PowerShell 사용하여 이러한 정책을 만드는 방법에 대한 자세한 내용은 다음을 참조하세요.

• Set-CMBlmPlaintextStorage
• New-CMBMSClientConfigureCheckIntervalPolicy

사용자 예외 정책

제안된 구성: 구성되지 않음

사용자가 BitLocker 암호화에서 예외를 요청하도록 연락처 메서드를 구성합니다.

이 정책 설정을 사용하도록 설정하면 다음 정보를 제공합니다.

• 연기할 최대 일 수: 사용자가 적용된 정책을 연기할 수 있는 일 수입니다. 기본적으로 이 값은 일(1주일)입니다 7 .

• 연락처 방법: 사용자가 예외를 요청할 수 있는 방법(URL, 이메일 주소 또는 전화 번호)을 지정합니다.

• 연락처: URL, 전자 메일 주소 또는 전화 번호를 지정합니다. 사용자가 BitLocker 보호에서 예외를 요청하면 적용 방법에 대한 지침이 포함된 Windows 대화 상자가 표시됩니다. Configuration Manager 입력한 정보의 유효성을 검사하지 않습니다.

  • URL: 표준 URL 형식을 https://website.domain.tld사용합니다. Windows는 URL을 하이퍼링크로 표시합니다.

  • Email 주소: 표준 전자 메일 주소 형식을 user@domain.tld사용합니다. Windows는 주소를 하이퍼링크 mailto:user@domain.tld?subject=Request exemption from BitLocker protection로 표시합니다.

  • 전화 번호: 사용자가 전화를 걸 번호를 지정합니다. Windows는 다음과 같은 설명 Please call <your number> for applying exemption이 포함된 숫자를 표시합니다.

이 설정을 사용하지 않거나 구성하지 않으면 Windows에서 사용자에게 예외 요청 지침을 표시하지 않습니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMBMSUserExemptionPolicy를 참조하세요.

보안 정책 링크의 URL

제안된 구성: 사용

Windows에서 사용자에게 표시할 URL을 회사 보안 정책 으로 지정합니다. 이 링크를 사용하여 사용자에게 암호화 요구 사항에 대한 정보를 제공합니다. BitLocker에서 사용자에게 드라이브를 암호화하라는 메시지를 표시합니다.

이 설정을 사용하도록 설정하면 보안 정책 링크 URL을 구성합니다.

이 설정을 사용하지 않거나 구성하지 않으면 BitLocker에 보안 정책 링크가 표시되지 않습니다.

Windows PowerShell 사용하여 이 정책을 만드는 방법에 대한 자세한 내용은 New-CMMoreInfoUrlPolicy를 참조하세요.

다음 단계

Windows PowerShell 사용하여 이러한 정책 개체를 만드는 경우 New-CMBlmSetting cmdlet을 사용합니다. 이 cmdlet은 지정된 모든 정책을 포함하는 BitLocker 관리 정책 설정 개체를 만듭니다. 컬렉션에 정책 설정을 배포하려면 New-CMSettingDeployment cmdlet을 사용합니다.