Intune 암호화 보고서를 사용하여 BitLocker 문제 해결

Microsoft Intune은 모든 관리되는 디바이스에서 암호화 상태에 대한 세부 정보를 제공하는 기본 제공 암호화 보고서를 제공합니다. Intune 암호화 보고서는 암호화 실패 문제를 해결하는 데 유용한 시작점입니다. 보고서를 사용하여 BitLocker 암호화 오류를 식별하고 격리할 수 있으며 Windows 디바이스의 TPM(신뢰할 수 있는 플랫폼 모듈) 상태 및 암호화 상태를 확인할 수 있습니다.

이 문서에서는 Intune 암호화 보고서를 사용하여 BitLocker에 대한 암호화 문제를 해결하는 방법을 설명합니다. 추가 문제 해결 지침은 클라이언트 쪽에서 BitLocker 정책 문제 해결을 참조하세요.

암호화 필수 구성 요소

기본적으로 BitLocker 설치 마법사는 사용자에게 암호화를 사용하도록 설정하라는 메시지를 표시합니다. 디바이스에서 BitLocker를 자동으로 사용하도록 설정하는 BitLocker 정책을 구성할 수도 있습니다. 이 섹션에서는 각 메서드에 대한 다양한 필수 구성 요소를 설명합니다.

사용자 사용 암호화의 필수 구성 요소:

• 하드 디스크는 NTFS로 포맷된 운영 체제 드라이브와 UEFI 및 BIOS용 NTFS의 경우 FAT32로 포맷된 350MB 이상의 시스템 드라이브로 분할되어야 합니다.
• 디바이스는 Microsoft Entra 하이브리드 조인, Microsoft Entra 등록 또는 Microsoft Entra 조인을 통해 Intune에 등록되어야 합니다.
• TPM(신뢰할 수 있는 플랫폼 모듈) 칩은 필요하지 않지만 보안 강화를 위해 권장 됩니다.

BitLocker 자동 암호화의 필수 구성 요소:

• 잠금 해제해야 하는 TPM 칩(버전 1.2 또는 2.0)입니다.
• WinRE(Windows 복구 환경)를 사용하도록 설정해야 합니다.
• 하드 디스크는 NTFS로 포맷된 운영 체제 드라이브로 분할해야 하며 350MB 이상의 시스템 드라이브는 UEFI(Unified Extensible Firmware Interface) 및 BIOS용 NTFS용 FAT32로 포맷되어야 합니다. UEFI BIOS는 TPM 버전 2.0 디바이스에 필요합니다. (보안 부팅은 필요하지 않지만 더 많은 보안을 제공합니다.)
• Intune에 등록된 디바이스는 Microsoft Azure 하이브리드 서비스 또는 Microsoft Entra ID에 연결됩니다.

암호화 상태 및 오류 식별

Intune에 등록된 Windows 10 디바이스의 BitLocker 암호화 오류는 다음 범주 중 하나에 속할 수 있습니다.

• 디바이스 하드웨어 또는 소프트웨어가 BitLocker를 사용하도록 설정하기 위한 필수 구성 요소를 충족하지 않습니다.
• Intune BitLocker 정책이 잘못 구성되어 GPO(그룹 정책 개체) 충돌이 발생합니다.
• 디바이스가 이미 암호화되어 있으며 암호화 방법이 정책 설정과 일치하지 않습니다.

디바이스 암호화 실패의 범주를 식별하려면 Microsoft Intune 관리 센터에 로그인하고 디바이스>모니터>암호화 보고서를 선택합니다. 보고서는 등록된 디바이스 목록을 표시하고 디바이스가 암호화되었는지 아니면 암호화할 준비가 되었는지, 그리고 TPM 칩이 있는지 여부를 표시합니다.

위의 예제에서는 TPM 버전 1.2가 있는 디바이스가 성공적으로 암호화되었음을 보여줍니다. 또한 자동으로 암호화할 수 없는 두 디바이스와 암호화할 준비가 되었지만 아직 암호화되지 않은 하나의 TPM 2.0 디바이스를 볼 수 있습니다.

일반적인 오류 시나리오

다음 섹션에서는 암호화 보고서의 세부 정보로 진단할 수 있는 일반적인 오류 시나리오에 대해 설명합니다.

시나리오 1 – 디바이스가 암호화할 준비가 되지 않았으며 암호화되지 않음

암호화되지 않은 디바이스를 클릭하면 Intune에서 해당 상태에 대한 요약을 표시합니다. 아래 예제에는 디바이스를 대상으로 하는 여러 프로필이 있습니다. 엔드포인트 보호 정책, Mac 운영 체제 정책(이 장치에는 적용되지 않음) 및 Microsoft Defender ATP(Advanced Threat Protection) 기준입니다.

암호화 상태 설명:

상태 세부 정보 아래의 메시지는 디바이스에서 BitLocker CSP 상태 노드에서 반환되는 코드입니다. OS 볼륨이 암호화되지 않았기 때문에 암호화 상태가 오류 상태입니다. 또한 BitLocker 정책에는 디바이스가 충족하지 않는 TPM에 대한 요구 사항이 있습니다.

메시지는 TPM이 없고 정책에 디바이스가 필요하기 때문에 암호화되지 않음을 의미합니다.

시나리오 2 – 디바이스가 준비되었지만 암호화되지 않음

이 예제에서는 TPM 2.0 디바이스가 암호화되지 않음을 보여줍니다.

암호화 상태 설명:

이 디바이스에는 자동 암호화가 아닌 사용자 상호 작용을 위해 구성된 BitLocker 정책이 있습니다. 사용자가 암호화 프로세스를 시작하거나 완료하지 않았으므로(사용자가 알림 메시지를 받음) 드라이브가 암호화되지 않은 상태로 유지됩니다.

시나리오 3 - 디바이스가 준비되지 않았으며 자동으로 암호화되지 않음

사용자 상호 작용을 억제하고 자동으로 암호화하도록 암호화 정책을 구성하고 암호화 보고서 암호화 준비 상태를 적용할 수 없거나 준비되지 않은 경우 TPM이 BitLocker에 대해 준비되지 않은 것일 수 있습니다.

디바이스 상태 세부 정보는 원인을 표시합니다.

암호화 상태 설명:

TPM이 디바이스에서 준비되지 않은 경우 펌웨어에서 사용하지 않도록 설정되었거나 지우거나 다시 설정해야 하기 때문일 수 있습니다. 영향을 받는 디바이스의 명령줄에서 TPM 관리 콘솔(TPM.msc)를 실행하면 TPM 상태를 이해하고 해결하는 데 도움이 됩니다.

시나리오 4 – 디바이스가 준비되었지만 자동으로 암호화되지 않음

자동 암호화를 대상으로 하는 디바이스가 준비되었지만 아직 암호화되지 않은 데는 여러 가지 이유가 있습니다.

암호화 상태 설명:

한 가지 설명은 WinRE가 필수 구성 요소인 디바이스에서 사용하도록 설정되지 않았다는 것입니다. 관리자 권한으로 reagentc.exe/info 명령을 사용하여 디바이스에서 WinRE의 상태를 확인할 수 있습니다.

WinRE를 사용하지 않도록 설정한 경우 관리자 권한으로 reagentc.exe/info 명령을 실행하여 WinRE를 사용하도록 설정합니다.

WinRE가 올바르게 구성되지 않은 경우 상태 세부 정보 페이지에 다음 메시지가 표시됩니다.

디바이스에 로그인한 사용자에게 관리자 권한이 없습니다.

또 다른 이유는 관리 권한이 될 수 있습니다. BitLocker 정책이 관리 권한이 없는 사용자를 대상으로 하고 Autopilot 중에 표준 사용자가 암호화를 사용하도록 허용하지 않는 경우 다음 암호화 상태 세부 정보가 표시됩니다.

암호화 상태 설명:

표준 사용자가 Autopilot 중에 암호화를 사용하도록 설정하여 Microsoft Entra 조인 디바이스에 대한 이 문제를 해결합니다.

시나리오 5 – 디바이스가 오류 상태이지만 암호화됨

이 일반적인 시나리오에서는 Intune 정책이 XTS-AES 128비트 암호화에 대해 구성되었지만 대상 디바이스가 XTS-AES 256비트 암호화(또는 반대)를 사용하여 암호화되는 경우 아래에 표시된 오류가 표시됩니다.

암호화 상태 설명:

이는 사용자가 수동으로, Microsoft BitLocker 관리 및 모니터링(MBAM)을 사용하거나 등록 전에 Microsoft Configuration Manager에서 다른 방법을 사용하여 이미 암호화된 디바이스가 발생하는 경우 발생합니다.

이 문제를 해결하려면 수동으로 또는 Windows PowerShell을 사용하여 디바이스의 암호를 해독합니다. 그런 다음 다음에 정책이 디바이스에 도달할 때 Intune BitLocker 정책이 디바이스를 다시 암호화하도록 합니다.

시나리오 6 – 디바이스가 암호화되었지만 프로필 상태가 오류입니다.

경우에 따라 디바이스가 암호화된 상태로 표시되지만 프로필 상태 요약에 오류 상태가 있는 경우도 있습니다.

암호화 상태 설명:

이는 일반적으로 디바이스가 다른 수단으로 암호화되었을 때 발생합니다(수동일 수 있음). 설정은 현재 정책과 일치하지만 Intune은 암호화를 시작하지 않았습니다.