다음을 통해 공유


BitLocker CSP

이 CSP에는 사용하거나 사용하지 않도록 설정하기 위해 특별한 SyncML 형식이 필요한 ADMX 지원 정책이 포함되어 있습니다. SyncML의 데이터 형식을 로 <Format>chr</Format>지정해야 합니다. 자세한 내용은 ADMX 기반 정책 이해를 참조하세요.

SyncML의 페이로드는 XML로 인코딩되어야 합니다. 이 XML 인코딩의 경우 사용할 수 있는 다양한 온라인 인코더가 있습니다. 페이로드를 인코딩하지 않도록 MDM에서 지원하는 경우 CDATA를 사용할 수 있습니다. 자세한 내용은 CDATA 섹션을 참조하세요.

CSP(BitLocker 구성 서비스 공급자)는 엔터프라이즈에서 PC 및 디바이스의 암호화를 관리하는 데 사용됩니다. 이 CSP는 Windows 10 버전 1703에 추가되었습니다. Windows 10 버전 1809부터 Windows 10 Pro에서도 지원됩니다.

참고

정책을 사용하여 RequireDeviceEncryption 사용하도록 설정하고 사용하지 않도록 설정하는 것을 제외하고 CSP를 통해 BitLocker를 관리하려면 관리 플랫폼에 관계없이 다음 라이선스 중 하나를 사용자에게 할당해야 합니다.

  • Windows 10/11 Enterprise E3 또는 E5(Microsoft 365 F3, E3 및 E5에 포함됨).
  • Windows 10/11 Enterprise A3 또는 A5(Microsoft 365 A3 및 A5에 포함).

GetRequireStorageCardEncryption를 제외한 모든 설정에 대한 RequireDeviceEncryption 작업은 관리자가 구성한 설정을 반환합니다.

RequireDeviceEncryption 및 RequireStorageCardEncryption의 경우 Get 작업은 TPM(신뢰할 수 있는 플랫폼 모듈) 보호가 필요한 경우 및 암호화가 필요한 경우와 같이 관리자에게 적용의 실제 상태를 반환합니다. 디바이스에 BitLocker를 사용하도록 설정했지만 암호 보호기를 사용하는 경우 보고된 상태는 0입니다. RequireDeviceEncryption에 대한 가져오기 작업은 최소 PIN 길이가 적용되는지 확인하지 않습니다(SystemDrivesMinimumPINLength).

참고

  • 설정은 암호화가 시작될 때만 적용됩니다. 설정 변경으로 암호화가 다시 시작되지 않습니다.
  • 효과적이려면 모든 설정을 단일 SyncML로 함께 보내야 합니다.

다음 목록에서는 BitLocker 구성 서비스 공급자 노드를 보여 줍니다.

AllowStandardUserEncryption

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1809 [10.0.17763] 이상
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption

관리자가 현재 로그온한 사용자가 비관리자/표준 사용자인 동안 정책이 푸시되는 시나리오에 대해 "RequireDeviceEncryption" 정책을 적용할 수 있습니다.

"AllowStandardUserEncryption" 정책은 "0"으로 설정되는 "AllowWarningForOtherDiskEncryption" 정책에 연결됩니다. 즉, 자동 암호화가 적용됩니다.

"AllowWarningForOtherDiskEncryption"이 설정되지 않았거나 "1"으로 설정된 경우 표준 사용자가 시스템에서 현재 로그온한 사용자인 경우 "RequireDeviceEncryption" 정책은 드라이브를 암호화하려고 시도하지 않습니다.

이 정책에 대한 예상 값은 다음과 같습니다.

1 = "RequireDeviceEncryption" 정책은 현재 로그인한 사용자가 표준 사용자인 경우에도 모든 고정 드라이브에서 암호화를 사용하도록 설정하려고 합니다.

0 = 정책이 설정되지 않은 경우 기본값입니다. 현재 로그온한 사용자가 표준 사용자인 경우 "RequireDeviceEncryption" 정책은 모든 드라이브에서 암호화를 사용하도록 설정하지 않습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
기본 값 0
종속성 [AllowWarningForOtherDiskEncryptionDependency] 종속성 유형: DependsOn
종속성 URI: Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption
종속성 허용 값: [0]
종속성 허용 값 형식: Range

허용되는 값:

설명
0(기본값) 정책이 설정되지 않은 경우 기본값입니다. 현재 로그온한 사용자가 표준 사용자인 경우 "RequireDeviceEncryption" 정책은 모든 드라이브에서 암호화를 사용하도록 설정하지 않습니다.
1 "RequireDeviceEncryption" 정책은 현재 로그인한 사용자가 표준 사용자인 경우에도 모든 고정 드라이브에서 암호화를 사용하도록 설정하려고 합니다.

:

이 정책을 사용하지 않도록 설정하려면 다음 SyncML을 사용합니다.

<Replace>
 <CmdID>111</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">int</Format>
     </Meta>
     <Data>0</Data>
   </Item>
 </Replace>

AllowWarningForOtherDiskEncryption

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1703 [10.0.15063] 이상
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption

관리자가 모든 UI(다른 디스크 암호화에 대한 암호화 및 경고 프롬프트에 대한 알림)를 사용하지 않도록 설정하고 사용자 컴퓨터에서 자동으로 암호화를 켤 수 있습니다.

Warning

타사 암호화를 사용하여 디바이스에서 BitLocker를 사용하도록 설정하면 디바이스를 사용할 수 없게 될 수 있으며 Windows를 다시 설치해야 합니다.

참고

이 정책은 "RequireDeviceEncryption" 정책이 1로 설정된 경우에만 적용됩니다.

이 정책에 대한 예상 값은 다음과 같습니다.

1 = 정책이 설정되지 않은 경우 기본값입니다. 경고 프롬프트 및 암호화 알림이 허용됩니다.

0 = 경고 프롬프트 및 암호화 알림을 사용하지 않도록 설정합니다. 다음 주요 업데이트인 Windows 10부터 값 0은 Microsoft Entra 조인 디바이스에만 적용됩니다.

Windows는 값 0에 BitLocker를 자동으로 사용하도록 설정합니다.

참고

경고 프롬프트를 사용하지 않도록 설정하면 OS 드라이브의 복구 키가 사용자의 Microsoft Entra 계정에 백업됩니다. 경고 프롬프트를 허용하면 프롬프트를 받는 사용자는 OS 드라이브의 복구 키를 백업할 위치를 선택할 수 있습니다.

고정 데이터 드라이브 백업에 대한 엔드포인트는 다음 순서로 선택됩니다.

  1. 사용자의 Windows Server Active Directory Domain Services 계정입니다.
  2. 사용자의 Microsoft Entra 계정입니다.
  3. 사용자의 개인 OneDrive(MDM/MAM만 해당).

암호화는 이러한 세 위치 중 하나가 성공적으로 백업될 때까지 대기합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
기본 값 1

허용되는 값:

설명
0 경고 프롬프트를 사용하지 않도록 설정합니다. Windows 10 버전 1803부터 Microsoft Entra 조인 디바이스에 대해서만 값 0을 설정할 수 있습니다. Windows는 값 0에 BitLocker를 자동으로 사용하도록 설정합니다.
1(기본값) 경고 프롬프트가 허용되었습니다.

:

<Replace>
    <CmdID>110</CmdID>
    <Item>
        <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
        </Target>
        <Meta>
            <Format xmlns="syncml:metinf">int</Format>
        <Data>0</Data>
    </Item>
</Replace>

ConfigureRecoveryPasswordRotation

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1909 [10.0.18363] 이상
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

관리자는 Microsoft Entra ID 및 하이브리드 도메인 가입 디바이스에서 OS 및 고정 드라이브에 사용할 때 숫자 복구 암호 회전을 구성할 수 있습니다.

구성되지 않은 경우 순환은 기본적으로 하이브리드에서만 Microsoft Entra ID에 대해 켜지고 꺼집니다. 이 정책은 Active Directory가 복구 암호를 백업하도록 구성된 경우에만 적용됩니다.

OS 드라이브의 경우: "운영 체제 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정 안 함"을 켭니다.

고정 드라이브의 경우: "고정 데이터 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정 안 함"을 켭니다.

지원되는 값: 0 - 숫자 복구 암호 회전 끄기.

1 - Microsoft Entra 조인 디바이스에 ON을 사용할 때 숫자 복구 암호 회전 기본값 2 - Microsoft Entra ID 및 하이브리드 디바이스 모두에 ON을 사용할 때 숫자 복구 암호 회전입니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
기본 값 0

허용되는 값:

설명
0(기본값) 새로 고침(기본값).
1 Microsoft Entra 조인 디바이스에 대해 새로 고침합니다.
2 Microsoft Entra 조인 디바이스와 하이브리드 조인 디바이스 모두에 대해 새로 고침합니다.

EncryptionMethodByDriveType

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1703 [10.0.15063] 이상
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType

이 정책 설정은 컴퓨터가 이동식 데이터 드라이브에 데이터를 쓸 수 있도록 BitLocker 보호가 필요한지 여부를 구성합니다.

  • 이 정책 설정을 사용하도록 설정하면 BitLocker로 보호되지 않는 모든 이동식 데이터 드라이브가 읽기 전용으로 탑재됩니다. 드라이브가 BitLocker로 보호되는 경우 읽기 및 쓰기 액세스 권한으로 탑재됩니다.

"다른 조직에 구성된 디바이스에 대한 쓰기 액세스 거부" 옵션을 선택하면 컴퓨터의 ID 필드와 일치하는 식별 필드가 있는 드라이브만 쓰기 액세스 권한이 부여됩니다. 이동식 데이터 드라이브에 액세스하면 유효한 식별 필드와 허용되는 식별 필드가 확인됩니다. 이러한 필드는 "조직의 고유 식별자 제공" 정책 설정에 의해 정의됩니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 컴퓨터의 모든 이동식 데이터 드라이브가 읽기 및 쓰기 액세스 권한으로 탑재됩니다.

참고

이 정책 설정은 사용자 구성\관리 템플릿\시스템\이동식 스토리지 액세스 아래의 정책 설정으로 재정의할 수 있습니다. "이동식 디스크: 쓰기 권한 거부" 정책 설정이 사용하도록 설정된 경우 이 정책 설정은 무시됩니다.

참고

EncryptionMethodByDriveType을 사용하도록 설정하면 세 드라이브(운영 체제, 고정 데이터 및 이동식 데이터)에 대한 값을 지정해야 합니다. 그렇지 않으면 실패합니다(500 반환 상태). 예를 들어 OS 및 이동식 드라이브에 대한 암호화 방법만 설정하면 500 반환 상태가 됩니다.

데이터 ID 요소:

  • EncryptionMethodWithXtsOsDropDown_Name = 운영 체제 드라이브에 대한 암호화 방법을 선택합니다.
  • EncryptionMethodWithXtsFdvDropDown_Name = 고정 데이터 드라이브에 대한 암호화 방법을 선택합니다.
  • EncryptionMethodWithXtsRdvDropDown_Name = 이동식 데이터 드라이브에 대한 암호화 방법을 선택합니다.

이 정책을 사용하도록 설정하고 암호화 방법을 설정하는 이 노드의 샘플 값은 다음과 같습니다.

 <enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>

'xx'의 가능한 값은 다음과 같습니다.

  • 3 = AES-CBC 128
  • 4 = AES-CBC 256
  • 6 = XTS-AES 128
  • 7 = XTS-AES 256

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 RDVDenyWriteAccess_Name
이름 BitLocker에 의해 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 이동식 데이터 드라이브
레지스트리 키 이름 System\CurrentControlSet\Policies\Microsoft\FVE
레지스트리 값 이름 RDVDenyWriteAccess
ADMX 파일 이름 VolumeEncryption.admx

:

이 정책을 사용하지 않도록 설정하려면 다음 SyncML을 사용합니다.

<Replace>
  <CmdID>$CmdID$</CmdID>
    <Item>
      <Target>
          <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
      </Target>
      <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
      </Meta>
      <Data><disabled/></Data>
    </Item>
</Replace>

FixedDrivesEncryptionType

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType

이 정책 설정을 사용하면 BitLocker 드라이브 암호화에서 사용하는 암호화 유형을 구성할 수 있습니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다. 드라이브가 이미 암호화되었거나 암호화가 진행 중인 경우에는 암호화 유형을 변경할 수 없습니다. BitLocker가 켜져 있을 때 전체 드라이브를 암호화하도록 하려면 전체 암호화를 선택합니다. BitLocker가 켜져 있을 때 데이터를 저장하는 데 사용되는 드라이브 부분만 암호화하도록 하려면 사용된 공간 전용 암호화를 선택합니다.

  • 이 정책을 사용하도록 설정하면 BitLocker가 드라이브를 암호화하는 데 사용할 암호화 유형이 이 정책에 의해 정의되고 BitLocker 설치 마법사에 암호화 유형 옵션이 표시되지 않습니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker 설정 마법사에서 BitLocker를 켜기 전에 사용자에게 암호화 유형을 선택하도록 요청합니다.

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다.

<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>

가능한 값:

  • 0: 사용자가 선택할 수 있도록 허용합니다.
  • 1: 전체 암호화.
  • 2: 사용된 공간 전용 암호화.

참고

볼륨을 축소하거나 확장하고 BitLocker 드라이버가 현재 암호화 방법을 사용하는 경우 이 정책은 무시됩니다. 예를 들어 사용된 공간 전용 암호화를 사용하는 드라이브가 확장되면 전체 암호화를 사용하는 드라이브의 경우처럼 사용 가능한 새 공간이 초기화되지 않습니다. 사용자는 명령을 manage-bde -w사용하여 사용된 공간 전용 드라이브의 여유 공간을 초기화할 수 있습니다. 볼륨이 축소되면 새 사용 가능한 공간에 대해 아무 작업도 수행되지 않습니다.

BitLocker를 관리하는 도구에 대한 자세한 내용은 manage-bde를 참조하세요.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 FDVEncryptionType_Name
이름 고정 데이터 드라이브에 드라이브 암호화 유형 적용
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 고정 데이터 드라이브
레지스트리 키 이름 SOFTWARE\Policies\Microsoft\FVE
레지스트리 값 이름 FDVEncryptionType
ADMX 파일 이름 VolumeEncryption.admx

FixedDrivesRecoveryOptions

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1703 [10.0.15063] 이상
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions

이 정책 설정을 사용하면 필요한 자격 증명이 없는 경우 BitLocker로 보호되는 고정 데이터 드라이브를 복구하는 방법을 제어할 수 있습니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다.

"데이터 복구 에이전트 허용" 확인란은 BitLocker로 보호되는 고정 데이터 드라이브와 함께 데이터 복구 에이전트를 사용할 수 있는지 여부를 지정하는 데 사용됩니다. 데이터 복구 에이전트를 사용하려면 먼저 그룹 정책 관리 콘솔 또는 로컬 그룹 정책 편집기에서 공개 키 정책 항목에서 추가해야 합니다. 데이터 복구 에이전트 추가에 대한 자세한 내용은 Microsoft TechNet의 BitLocker 드라이브 암호화 배포 가이드를 참조하세요.

"BitLocker 복구 정보의 사용자 스토리지 구성"에서 사용자가 48자리 복구 암호 또는 256비트 복구 키를 생성할 수 있는지, 필수인지 여부를 선택합니다.

사용자가 드라이브에서 BitLocker를 켤 때 복구 옵션을 지정하지 못하도록 하려면 "BitLocker 설정 마법사에서 복구 옵션 생략"을 선택합니다. 즉, BitLocker를 켤 때 사용할 복구 옵션을 지정할 수 없으며 대신 드라이브에 대한 BitLocker 복구 옵션은 정책 설정에 따라 결정됩니다.

"Active Directory Domain Services에 BitLocker 복구 정보 저장"에서 고정 데이터 드라이브에 대해 AD DS에 저장할 BitLocker 복구 정보를 선택합니다. "백업 복구 암호 및 키 패키지"를 선택하면 BitLocker 복구 암호와 키 패키지가 모두 AD DS에 저장됩니다. 키 패키지를 저장하면 물리적으로 손상된 드라이브에서 데이터를 복구할 수 있습니다. "백업 복구 암호만"을 선택하면 복구 암호만 AD DS에 저장됩니다.

컴퓨터가 도메인에 연결되어 있고 BitLocker 복구 정보를 AD DS에 백업하는 데 성공하지 않는 한 사용자가 BitLocker를 사용하도록 설정하지 못하도록 하려면 "복구 정보가 고정 데이터 드라이브의 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정 안 함" 확인란을 선택합니다.

참고

"고정 데이터 드라이브에 대한 AD DS에 복구 정보가 저장될 때까지 BitLocker를 사용하도록 설정 안 함" 확인란이 선택되면 복구 암호가 자동으로 생성됩니다.

  • 이 정책 설정을 사용하도록 설정하면 BitLocker로 보호되는 고정 데이터 드라이브에서 데이터를 복구하는 데 사용할 수 있는 메서드를 제어할 수 있습니다.

  • 이 정책 설정이 구성되거나 사용하지 않도록 설정되지 않은 경우 BitLocker 복구에 대한 기본 복구 옵션이 지원됩니다. 기본적으로 DRA가 허용되고 복구 암호 및 복구 키를 포함하여 사용자가 복구 옵션을 지정할 수 있으며 복구 정보는 AD DS에 백업되지 않습니다.

데이터 ID 요소:

  • FDVAllowDRA_Name: 데이터 복구 에이전트 허용
  • FDVRecoveryPasswordUsageDropDown_Name 및 FDVRecoveryKeyUsageDropDown_Name: BitLocker 복구 정보의 사용자 스토리지 구성
  • FDVHideRecoveryPage_Name: BitLocker 설치 마법사에서 복구 옵션 생략
  • FDVActiveDirectoryBackup_Name: Active Directory Domain Services에 BitLocker 복구 정보 저장
  • FDVActiveDirectoryBackupDropDown_Name: AD DS에 대한 BitLocker 복구 정보의 스토리지 구성
  • FDVRequireActiveDirectoryBackup_Name: 고정 데이터 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정하지 마세요.

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다.

<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>

'xx'의 가능한 값은 다음과 같습니다.

  • true = 명시적으로 허용
  • false = 정책이 설정되지 않음

'yy'의 가능한 값은 다음과 같습니다.

  • 0 = 허용되지 않음
  • 1 = 필수
  • 2 = 허용됨

'zz'의 가능한 값은 다음과 같습니다.

  • 1 = 복구 암호 및 키 패키지 저장
  • 2 = 복구 암호만 저장

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 FDVRecoveryUsage_Name
이름 BitLocker로 보호된 고정 드라이브를 복구하는 방법 선택
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 고정 데이터 드라이브
레지스트리 키 이름 SOFTWARE\Policies\Microsoft\FVE
레지스트리 값 이름 FDVRecovery
ADMX 파일 이름 VolumeEncryption.admx

:

이 정책을 사용하지 않도록 설정하려면 다음 SyncML을 사용합니다.

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

고정드라이브암호화필요

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1703 [10.0.15063] 이상
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption

이 정책 설정은 고정 데이터 드라이브를 컴퓨터에서 쓸 수 있도록 BitLocker 보호가 필요한지 여부를 결정합니다.

  • 이 정책 설정을 사용하도록 설정하면 BitLocker로 보호되지 않는 모든 고정 데이터 드라이브가 읽기 전용으로 탑재됩니다. 드라이브가 BitLocker로 보호되는 경우 읽기 및 쓰기 액세스 권한으로 탑재됩니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 컴퓨터의 모든 고정 데이터 드라이브가 읽기 및 쓰기 액세스 권한으로 탑재됩니다.

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다. <enabled/>

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 FDVDenyWriteAccess_Name
이름 BitLocker에 의해 보호되지 않는 고정 드라이브에 대한 쓰기 액세스 거부
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 고정 데이터 드라이브
레지스트리 키 이름 System\CurrentControlSet\Policies\Microsoft\FVE
레지스트리 값 이름 FDVDenyWriteAccess
ADMX 파일 이름 VolumeEncryption.admx

:

이 정책을 사용하지 않도록 설정하려면 다음 SyncML을 사용합니다.

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

IdentificationField

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/BitLocker/IdentificationField

이 정책 설정을 사용하면 고유한 조직 식별자를 BitLocker로 사용하도록 설정된 새 드라이브에 연결할 수 있습니다. 이러한 식별자는 식별 필드 및 허용된 식별 필드로 저장됩니다. 식별 필드를 사용하면 고유한 조직 식별자를 BitLocker로 보호된 드라이브에 연결할 수 있습니다. 이 식별자는 새 BitLocker로 보호되는 드라이브에 자동으로 추가되며 manage-bde 명령줄 도구를 사용하여 기존 BitLocker로 보호된 드라이브에서 업데이트할 수 있습니다. Id 필드는 BitLocker로 보호된 드라이브에서 인증서 기반 데이터 복구 에이전트를 관리하고 BitLocker To Go Reader에 대한 잠재적 업데이트를 위해 필요합니다. BitLocker는 드라이브의 식별 필드가 식별 필드에 구성된 값과 일치하는 경우에만 데이터 복구 에이전트를 관리하고 업데이트합니다. 비슷한 방식으로 BitLocker는 드라이브의 식별 필드가 식별 필드에 대해 구성된 값과 일치하는 경우에만 BitLocker To Go 판독기를 업데이트합니다.

허용되는 식별 필드는 조직에서 이동식 드라이브 사용을 제어하는 데 도움이 되는 "BitLocker로 보호되지 않는 이동식 드라이브에 대한 쓰기 권한 거부" 정책 설정과 함께 사용됩니다. 조직 또는 기타 외부 조직에서 식별 필드의 쉼표로 구분된 목록입니다.

manage-bde.exe 사용하여 기존 드라이브에서 식별 필드를 구성할 수 있습니다.

  • 이 정책 설정을 사용하도록 설정하면 BitLocker로 보호된 드라이브의 식별 필드와 조직에서 사용하는 허용된 식별 필드를 구성할 수 있습니다.

BitLocker로 보호된 드라이브가 다른 BitLocker 사용 컴퓨터에 탑재되면 식별 필드와 허용된 식별 필드를 사용하여 드라이브가 외부 조직에서 온 것인지 여부를 확인합니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 식별 필드가 필요하지 않습니다.

참고

BitLocker로 보호되는 드라이브에서 인증서 기반 데이터 복구 에이전트를 관리하려면 식별 필드가 필요합니다. BitLocker는 ID 필드가 드라이브에 있고 컴퓨터에 구성된 값과 동일한 경우에만 인증서 기반 데이터 복구 에이전트를 관리하고 업데이트합니다. 식별 필드는 260자 이하의 값일 수 있습니다.

데이터 ID 요소:

  • IdentificationField: BitLocker 식별 필드입니다.
  • SecIdentificationField: 허용되는 BitLocker 식별 필드입니다.

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다.

<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 IdentificationField_Name
이름 조직의 고유 식별자 제공
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화
레지스트리 키 이름 Software\Policies\Microsoft\FVE
레지스트리 값 이름 IdentificationField
ADMX 파일 이름 VolumeEncryption.admx

RemovableDrivesConfigureBDE

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE

이 정책 설정은 이동식 데이터 드라이브에서 BitLocker 사용을 제어합니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다.

이 정책 설정을 사용하도록 설정하면 사용자가 BitLocker를 구성하는 방법을 제어하는 속성 설정을 선택할 수 있습니다. 사용자가 이동식 데이터 드라이브에서 BitLocker 설정 마법사를 실행할 수 있도록 허용하려면 "사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용하도록 허용"을 선택합니다. "사용자가 이동식 데이터 드라이브에서 BitLocker를 일시 중단 및 암호 해독하도록 허용"을 선택하여 사용자가 드라이브에서 BitLocker 드라이브 암호화를 제거하거나 유지 관리가 수행되는 동안 암호화를 일시 중단하도록 허용합니다. BitLocker 보호를 일시 중단하는 방법에 대한 자세한 내용은 BitLocker 기본 배포를 참조하세요.

  • 이 정책 설정을 구성하지 않으면 사용자는 이동식 디스크 드라이브에서 BitLocker를 사용할 수 있습니다.

  • 이 정책 설정을 사용하지 않도록 설정하면 사용자는 이동식 디스크 드라이브에서 BitLocker를 사용할 수 없습니다.

데이터 ID 요소:

  • RDVAllowBDE_Name: 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용할 수 있도록 허용합니다.
  • RDVDisableBDE_Name: 사용자가 이동식 데이터 드라이브에서 BitLocker를 일시 중단 및 암호 해독할 수 있습니다.

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다.

<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 RDVConfigureBDE
이름 이동식 드라이브에서 BitLocker 사용 제어
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 이동식 데이터 드라이브
레지스트리 키 이름 Software\Policies\Microsoft\FVE
레지스트리 값 이름 RDVConfigureBDE
ADMX 파일 이름 VolumeEncryption.admx

RemovableDrivesEncryptionType

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType

이 정책 설정을 사용하면 BitLocker 드라이브 암호화에서 사용하는 암호화 유형을 구성할 수 있습니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다. 드라이브가 이미 암호화되었거나 암호화가 진행 중인 경우에는 암호화 유형을 변경할 수 없습니다. BitLocker가 켜져 있을 때 전체 드라이브를 암호화하도록 하려면 전체 암호화를 선택합니다. BitLocker가 켜져 있을 때 데이터를 저장하는 데 사용되는 드라이브 부분만 암호화하도록 하려면 사용된 공간 전용 암호화를 선택합니다.

  • 이 정책을 사용하도록 설정하면 BitLocker가 드라이브를 암호화하는 데 사용할 암호화 유형이 이 정책에 의해 정의되고 BitLocker 설치 마법사에 암호화 유형 옵션이 표시되지 않습니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker 설정 마법사에서 BitLocker를 켜기 전에 사용자에게 암호화 유형을 선택하도록 요청합니다.

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다.

<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>

가능한 값:

  • 0: 사용자가 선택할 수 있도록 허용합니다.
  • 1: 전체 암호화.
  • 2: 사용된 공간 전용 암호화.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기
종속성 [BDEAllowed] 종속성 유형: DependsOn
종속성 URI: Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE
종속성 허용 값 형식: ADMX

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 RDVEncryptionType_Name
이름 이동식 데이터 드라이브에 드라이브 암호화 유형 적용
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 이동식 데이터 드라이브
레지스트리 키 이름 SOFTWARE\Policies\Microsoft\FVE
레지스트리 값 이름 RDVEncryptionType
ADMX 파일 이름 VolumeEncryption.admx

RemovableDrivesExcludedFromEncryption

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption

사용하도록 설정하면 BitLocker 디바이스 암호화에서 USB 인터페이스를 통해 연결된 이동식 드라이브 및 디바이스를 제외할 수 있습니다. 제외된 디바이스는 수동으로도 암호화할 수 없습니다. 또한 "BitLocker로 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부"가 구성된 경우 사용자에게 암호화를 묻는 메시지가 표시되지 않으며 드라이브가 읽기/쓰기 모드로 탑재됩니다. 디스크 디바이스의 하드웨어 ID를 사용하여 제외된 이동식 드라이브\디바이스의 쉼표로 구분된 목록을 제공합니다. 예: USBSTOR\SEAGATE_ST39102LW_______0004.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 목록(구분 기호: ,)

RemovableDrivesRequireEncryption

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1703 [10.0.15063] 이상
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption

이 정책 설정은 컴퓨터가 이동식 데이터 드라이브에 데이터를 쓸 수 있도록 BitLocker 보호가 필요한지 여부를 구성합니다.

  • 이 정책 설정을 사용하도록 설정하면 BitLocker로 보호되지 않는 모든 이동식 데이터 드라이브가 읽기 전용으로 탑재됩니다. 드라이브가 BitLocker로 보호되는 경우 읽기 및 쓰기 액세스 권한으로 탑재됩니다.

"다른 조직에 구성된 디바이스에 대한 쓰기 액세스 거부" 옵션을 선택하면 컴퓨터의 ID 필드와 일치하는 식별 필드가 있는 드라이브만 쓰기 액세스 권한이 부여됩니다. 이동식 데이터 드라이브에 액세스하면 유효한 식별 필드와 허용되는 식별 필드가 확인됩니다. 이러한 필드는 "조직의 고유 식별자 제공" 정책 설정에 의해 정의됩니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 컴퓨터의 모든 이동식 데이터 드라이브가 읽기 및 쓰기 액세스 권한으로 탑재됩니다.

참고

이 정책 설정은 사용자 구성\관리 템플릿\시스템\이동식 스토리지 액세스 아래의 정책 설정으로 재정의할 수 있습니다. "이동식 디스크: 쓰기 권한 거부" 정책 설정이 사용하도록 설정된 경우 이 정책 설정은 무시됩니다.

데이터 ID 요소:

  • RDVCrossOrg: 다른 조직에서 구성된 디바이스에 대한 쓰기 액세스 거부

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다.

 <enabled/><data id="RDVCrossOrg" value="xx"/>

'xx'의 가능한 값은 다음과 같습니다.

  • true = 명시적으로 허용
  • false = 정책이 설정되지 않음

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 RDVDenyWriteAccess_Name
이름 BitLocker에 의해 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 이동식 데이터 드라이브
레지스트리 키 이름 System\CurrentControlSet\Policies\Microsoft\FVE
레지스트리 값 이름 RDVDenyWriteAccess
ADMX 파일 이름 VolumeEncryption.admx

:

이 정책을 사용하지 않도록 설정하려면 다음 SyncML을 사용합니다.

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

RequireDeviceEncryption

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1703 [10.0.15063] 이상
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

관리자가 BitLocker\Device Encryption을 사용하여 암호화를 사용하도록 요구할 수 있습니다.

이 정책을 사용하도록 설정하기 위한 이 노드의 샘플 값:

1

정책을 사용하지 않도록 설정해도 시스템 드라이브에서 암호화가 꺼지지 않습니다. 그러나 사용자에게 켜라는 메시지를 표시하지 않습니다.

참고

현재 자동 암호화에 이 CSP를 사용하는 경우 전체 디스크 암호화만 지원됩니다. 비 자동 암호화의 경우 암호화 유형은 디바이스에 따라 SystemDrivesEncryptionType 달라지고 FixedDrivesEncryptionType 구성됩니다.

OS 볼륨 및 암호화 가능한 고정 데이터 볼륨의 상태는 가져오기 작업으로 확인됩니다. 일반적으로 BitLocker/Device Encryption은 EncryptionMethodByDriveType 정책이 설정된 값을 따릅니다. 그러나 고정 드라이브를 자체 암호화하고 OS 드라이브를 자체 암호화하는 경우 이 정책 설정은 무시됩니다.

암호화 가능한 고정 데이터 볼륨은 OS 볼륨과 유사하게 처리됩니다. 그러나 고정 데이터 볼륨은 암호화 가능한 것으로 간주되려면 다른 조건을 충족해야 합니다.

  • 동적 볼륨이 아니어야 합니다.
  • 복구 파티션이 아니어야 합니다.
  • 숨겨진 볼륨이 아니어야 합니다.
  • 시스템 파티션이 아니어야 합니다.
  • 가상 스토리지에서 백업해서는 안 됩니다.
  • BCD 저장소에 참조가 없어야 합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
기본 값 0

허용되는 값:

설명
0(기본값) 사용 안 함. 정책 설정이 설정되지 않았거나 0으로 설정된 경우 디바이스의 적용 상태가 확인되지 않습니다. 정책은 암호화를 적용하지 않으며 암호화된 볼륨의 암호를 해독하지 않습니다.
1 사용. 디바이스의 적용 상태를 확인합니다. 이 정책을 1로 설정하면 모든 드라이브의 암호화가 트리거됩니다(AllowWarningForOtherDiskEncryption 정책에 따라 자동 또는 비 자동).

:

RequireDeviceEncryption을 사용하지 않도록 설정하려면 다음을 수행합니다.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
    </SyncBody>
</SyncML>

RequireStorageCardEncryption

참고

이 정책은 더 이상 사용되지 않으며 향후 릴리스에서 제거될 수 있습니다.

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1703 [10.0.15063] 이상
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption

관리자가 디바이스에서 스토리지 카드 암호화를 요구할 수 있습니다.

이 정책은 모바일 SKU에만 유효합니다.

이 정책을 사용하도록 설정하기 위한 이 노드의 샘플 값:

1

정책을 사용하지 않도록 설정해도 스토리지 카드의 암호화가 꺼지지 않습니다. 그러나 사용자에게 켜라는 메시지를 표시하지 않습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
기본 값 0

허용되는 값:

설명
0(기본값) 스토리지 카드를 암호화할 필요가 없습니다.
1 스토리지 카드를 암호화해야 합니다.

RotateRecoveryPasswords

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1909 [10.0.18363] 이상
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords

관리자는 Microsoft Entra ID 또는 하이브리드 조인 디바이스에서 OS 및 고정 데이터 드라이브에 대한 모든 숫자 복구 암호의 일회성 회전을 푸시할 수 있습니다.

이 정책은 실행 유형이며 MDM 도구에서 발급된 경우 모든 숫자 암호를 회전합니다.

이 정책은 복구 암호에 대한 Active Directory 백업이 "필수"로 구성된 경우에만 적용됩니다.

  • OS 드라이브의 경우 "복구 정보가 운영 체제 드라이브용 Active Directory Domain Services에 저장될 때까지 BitLocker를 사용하도록 설정 안 함"을 사용하도록 설정합니다.

  • 고정 드라이브의 경우 "고정 데이터 드라이브에 대한 복구 정보가 Active Directory Domain Services에 저장될 때까지 BitLocker를 사용하도록 설정 안 함"을 사용하도록 설정합니다.

클라이언트는 DM_S_ACCEPTED_FOR_PROCESSING 상태를 반환하여 회전이 시작되었음을 나타냅니다. 서버는 다음 상태 노드를 사용하여 상태를 쿼리할 수 있습니다.

  • status\RotateRecoveryPasswordsStatus
  • status\RotateRecoveryPasswordsRequestID.

지원되는 값: 요청 ID의 문자열 형식입니다. 요청 ID의 예제 형식은 GUID입니다. 서버는 관리 도구에 따라 필요에 따라 형식을 선택할 수 있습니다.

참고

키 회전은 이러한 등록 유형에서만 지원됩니다. 자세한 내용은 deviceEnrollmentType 열거형을 참조하세요.

  • windowsAzureADJoin.
  • windowsBulkAzureDomainJoin.
  • windowsAzureADJoinUsingDeviceAuth.
  • windowsCoManagement.

키 회전 기능은 다음 경우에만 작동합니다.

  • 운영 체제 드라이브의 경우:

    • OSRequireActiveDirectoryBackup_Name 1("필수")으로 설정됩니다.
    • OSActiveDirectoryBackup_Name true로 설정됩니다.
  • 고정 데이터 드라이브의 경우:

    • FDVRequireActiveDirectoryBackup_Name 1 = ("필수")로 설정됩니다.
    • FDVActiveDirectoryBackup_Name true로 설정됩니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 Exec

상태

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1903 [10.0.18362] 이상
./Device/Vendor/MSFT/BitLocker/Status

설명 프레임워크 속성:

속성 이름 속성 값
형식 node
액세스 유형 가져오기

Status/DeviceEncryptionStatus

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1903 [10.0.18362] 이상
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus

이 노드는 시스템에서 디바이스 암호화의 준수 상태를 보고합니다.

값 '0'은 디바이스가 규격임을 의미합니다. 다른 모든 값은 비준수 디바이스를 나타냅니다.

이 값은 각 비트와 다음 표에 설명된 해당 오류 코드가 포함된 비트 마스크를 나타냅니다.

비트 오류 코드
0 BitLocker 정책을 사용하려면 사용자가 BitLocker 드라이브 암호화 마법사를 시작하여 OS 볼륨의 암호화를 시작해야 하지만 사용자가 동의하지 않았습니다.
1 OS 볼륨의 암호화 방법이 BitLocker 정책과 일치하지 않습니다.
2 OS 볼륨이 보호되지 않습니다.
3 BitLocker 정책에는 OS 볼륨에 대한 TPM 전용 보호기가 필요하지만 TPM 보호는 사용되지 않습니다.
4 BitLocker 정책에는 OS 볼륨에 대한 TPM+PIN 보호가 필요하지만 TPM+PIN 보호기는 사용되지 않습니다.
5 BitLocker 정책에는 OS 볼륨에 대한 TPM+시작 키 보호가 필요하지만 TPM+시작 키 보호기는 사용되지 않습니다.
6 BitLocker 정책에는 OS 볼륨에 대한 TPM+PIN+시작 키 보호가 필요하지만 TPM+PIN+시작 키 보호기는 사용되지 않습니다.
7 BitLocker 정책에는 OS 볼륨을 보호하기 위해 TPM 보호기가 필요하지만 TPM은 사용되지 않습니다.
8 복구 키 백업에 실패했습니다.
9 고정 드라이브가 보호되지 않습니다.
10 고정 드라이브의 암호화 방법이 BitLocker 정책과 일치하지 않습니다.
11 드라이브를 암호화하려면 BitLocker 정책을 사용하려면 사용자가 관리자 권한으로 로그인하거나 디바이스가 Microsoft Entra ID에 조인된 경우 AllowStandardUserEncryption 정책을 1로 설정해야 합니다.
12 WinRE(Windows 복구 환경)가 구성되지 않았습니다.
13 TPM은 BitLocker가 없거나 레지스트리에서 사용할 수 없게 되었거나 OS가 이동식 드라이브에 있기 때문에 사용할 수 없습니다.
14 TPM이 BitLocker에 대해 준비되지 않았습니다.
15 복구 키 백업에 필요한 네트워크를 사용할 수 없습니다.
16 전체 디스크 및 사용된 공간 전용 암호화에 대한 OS 볼륨의 암호화 유형은 BitLocker 정책과 일치하지 않습니다.
17 전체 디스크 및 사용된 공간 전용 암호화에 대한 고정 드라이브의 암호화 유형은 BitLocker 정책과 일치하지 않습니다.
18-31 나중에 사용할 수 있습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 가져오기

Status/RemovableDrivesEncryptionStatus

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus

이 노드는 제거 드라이브 암호화의 준수 상태를 보고합니다. "0" 값은 모든 설정된 제거 드라이브 설정에 따라 제거 드라이브가 암호화됨을 의미합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 가져오기

Status/RotateRecoveryPasswordsRequestID

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1909 [10.0.18363] 이상
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID

이 노드는 RotateRecoveryPasswordsStatus에 해당하는 RequestID를 보고합니다.

상태가 요청 ID와 올바르게 일치하도록 하려면 RotateRecoveryPasswordsStatus와 동기화 시 이 노드를 쿼리해야 합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 가져오기

Status/RotateRecoveryPasswordsStatus

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1909 [10.0.18363] 이상
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus

이 노드는 RotateRecoveryPasswords 요청의 상태를 보고합니다.

상태 코드는 다음 중 하나일 수 있습니다.

NotStarted(2), 보류 중(1), Pass(0), 오류 발생 시 기타 오류 코드

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 가져오기

SystemDrivesDisallowStandardUsersCanChangePIN

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN

이 정책 설정을 사용하면 표준 사용자가 기존 PIN을 먼저 제공할 수 있는 경우 BitLocker 볼륨 PIN을 변경할 수 있는지 여부를 구성할 수 있습니다.

이 정책 설정은 BitLocker를 켤 때 적용됩니다.

  • 이 정책 설정을 사용하도록 설정하면 표준 사용자가 BitLocker PIN 또는 암호를 변경할 수 없습니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 표준 사용자가 BitLocker PIN 및 암호를 변경할 수 있습니다.

참고

PIN 또는 암호를 변경하려면 사용자가 현재 PIN 또는 암호를 제공할 수 있어야 합니다.

이 정책을 사용하지 않도록 설정하는 이 노드의 샘플 값은 다음과 같습니다. <disabled/>

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 DisallowStandardUsersCanChangePIN_Name
이름 표준 사용자가 PIN 또는 암호를 변경하지 못하도록 허용
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브
레지스트리 키 이름 Software\Policies\Microsoft\FVE
레지스트리 값 이름 DisallowStandardUserPINReset
ADMX 파일 이름 VolumeEncryption.admx

SystemDrivesEnablePrebootInputProtectorsOnSlates

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates

이 정책 설정을 사용하면 플랫폼에 사전 부팅 입력 기능이 없는 경우에도 사용자가 부팅 전 환경의 사용자 입력이 필요한 인증 옵션을 켤 수 있습니다.

Windows 터치 키보드(예: 태블릿에서 사용됨)는 BitLocker에 PIN 또는 암호와 같은 추가 정보가 필요한 부팅 전 환경에서 사용할 수 없습니다.

  • 이 정책 설정을 사용하도록 설정하면 디바이스에 사전 부팅 입력(예: 연결된 USB 키보드)의 대체 수단이 있어야 합니다.

  • 이 정책을 사용하도록 설정하지 않은 경우 BitLocker 복구 암호의 입력을 지원하려면 태블릿에서 Windows 복구 환경을 사용하도록 설정해야 합니다. Windows 복구 환경을 사용하도록 설정하지 않고 이 정책을 사용하도록 설정하지 않으면 Windows 터치 키보드를 사용하는 디바이스에서 BitLocker를 켤 수 없습니다.

이 정책 설정을 사용하도록 설정하지 않으면 "시작 시 추가 인증 필요" 정책의 옵션을 이러한 디바이스에서 사용할 수 없을 수 있습니다. 이러한 옵션은 다음과 같습니다.

  • TPM 시작 PIN 구성: 필수/허용
  • TPM 시작 키 및 PIN 구성: 필수/허용
  • 운영 체제 드라이브에 대한 암호 사용을 구성합니다.

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다. <enabled/>

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 EnablePrebootInputProtectorsOnSlates_Name
이름 슬레이트에서 시험판 키보드 입력이 필요한 BitLocker 인증 사용
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브
레지스트리 키 이름 Software\Policies\Microsoft\FVE
레지스트리 값 이름 OSEnablePrebootInputProtectorsOnSlates
ADMX 파일 이름 VolumeEncryption.admx

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

이 정책 설정을 사용하면 InstantGo 또는 Microsoft HSTI(하드웨어 보안 테스트 인터페이스)를 준수하는 디바이스의 사용자가 사전 부팅 인증을 위한 PIN을 가질 수 없습니다. 이렇게 하면 규정 준수 하드웨어에 대한 "시작 시 추가 인증 필요" 정책의 "TPM을 사용하여 시작 PIN 필요" 및 "TPM으로 시작 키 및 PIN 필요" 옵션을 재정의합니다.

  • 이 정책 설정을 사용하도록 설정하면 InstantGo 및 HSTI 규격 디바이스의 사용자는 사전 부팅 인증 없이 BitLocker를 켤 수 있습니다.

  • 이 정책을 사용하도록 설정하지 않으면 "시작 시 추가 인증 필요" 정책 옵션이 적용됩니다.

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다. <enabled/>

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 EnablePreBootPinExceptionOnDECapableDevice_Name
이름 InstantGo 또는 HSTI를 준수하는 디바이스가 사전 부팅 PIN을 옵트아웃하도록 허용합니다.
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브
레지스트리 키 이름 Software\Policies\Microsoft\FVE
레지스트리 값 이름 OSEnablePreBootPinExceptionOnDECapableDevice
ADMX 파일 이름 VolumeEncryption.admx

SystemDrivesEncryptionType

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType

이 정책 설정을 사용하면 BitLocker 드라이브 암호화에서 사용하는 암호화 유형을 구성할 수 있습니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다. 드라이브가 이미 암호화되었거나 암호화가 진행 중인 경우에는 암호화 유형을 변경할 수 없습니다. BitLocker가 켜져 있을 때 전체 드라이브를 암호화하도록 하려면 전체 암호화를 선택합니다. BitLocker가 켜져 있을 때 데이터를 저장하는 데 사용되는 드라이브 부분만 암호화하도록 하려면 사용된 공간 전용 암호화를 선택합니다.

  • 이 정책을 사용하도록 설정하면 BitLocker가 드라이브를 암호화하는 데 사용할 암호화 유형이 이 정책에 의해 정의되고 BitLocker 설치 마법사에 암호화 유형 옵션이 표시되지 않습니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker 설정 마법사에서 BitLocker를 켜기 전에 사용자에게 암호화 유형을 선택하도록 요청합니다.

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다.

<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>

가능한 값:

  • 0: 사용자가 선택할 수 있도록 허용합니다.
  • 1: 전체 암호화.
  • 2: 사용된 공간 전용 암호화.

참고

볼륨을 축소하거나 확장할 때 이 정책은 무시되며 BitLocker 드라이버는 현재 암호화 방법을 사용합니다. 예를 들어 사용된 공간 전용 암호화를 사용하는 드라이브가 확장되면 전체 암호화를 사용하는 드라이브의 경우처럼 새 사용 가능한 공간이 초기화되지 않습니다. 사용자는 명령을 manage-bde -w사용하여 사용된 공간 전용 드라이브의 여유 공간을 초기화할 수 있습니다. 볼륨이 축소되면 새 사용 가능한 공간에 대해 아무 작업도 수행되지 않습니다.

BitLocker를 관리하는 도구에 대한 자세한 내용은 manage-bde를 참조하세요.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 OSEncryptionType_Name
이름 운영 체제 드라이브에 드라이브 암호화 유형 적용
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브
레지스트리 키 이름 SOFTWARE\Policies\Microsoft\FVE
레지스트리 값 이름 OSEncryptionType
ADMX 파일 이름 VolumeEncryption.admx

SystemDrivesEnhancedPIN

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN

이 정책 설정을 사용하면 향상된 시작 PIN이 BitLocker와 함께 사용되는지 여부를 구성할 수 있습니다.

향상된 시작 PIN을 사용하면 대문자 및 소문자, 기호, 숫자 및 공백을 포함한 문자를 사용할 수 있습니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다.

  • 이 정책 설정을 사용하도록 설정하면 모든 새 BitLocker 시작 PIN 집합이 향상된 PIN이 됩니다.

참고

모든 컴퓨터가 부팅 전 환경에서 향상된 PIN을 지원할 수 있는 것은 아닙니다. BitLocker를 설정하는 동안 사용자가 시스템 검사를 수행하는 것이 좋습니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 향상된 PIN이 사용되지 않습니다.

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다. <enabled/>

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 EnhancedPIN_Name
이름 시작에 향상된 PIN 허용
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브
레지스트리 키 이름 Software\Policies\Microsoft\FVE
레지스트리 값 이름 UseEnhancedPin
ADMX 파일 이름 VolumeEncryption.admx

SystemDrivesMinimumPINLength

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1703 [10.0.15063] 이상
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength

이 정책 설정을 사용하면 TPM(신뢰할 수 있는 플랫폼 모듈) 시작 PIN에 대한 최소 길이를 구성할 수 있습니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다. 시작 PIN의 최소 길이는 4자리여야 하며 최대 길이는 20자리일 수 있습니다.

  • 이 정책 설정을 사용하도록 설정하면 시작 PIN을 설정할 때 사용할 최소 자릿수가 필요할 수 있습니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자는 6~20자리 길이의 시작 PIN을 구성할 수 있습니다.

참고

최소 PIN 길이가 6자리 미만으로 설정된 경우 Windows는 PIN이 변경될 때 TPM 2.0 잠금 기간을 기본값보다 크게 업데이트하려고 시도합니다. 성공하면 Windows는 TPM이 다시 설정되는 경우에만 TPM 잠금 기간을 기본값으로 다시 설정합니다.

참고

Windows 10 버전 1703 릴리스 B에서는 최소 PIN 길이를 4자리로 사용할 수 있습니다.

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다.

<enabled/><data id="MinPINLength" value="xx"/>

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 MinimumPINLength_Name
이름 시작에 대한 최소 PIN 길이 구성
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브
레지스트리 키 이름 Software\Policies\Microsoft\FVE
ADMX 파일 이름 VolumeEncryption.admx

:

이 정책을 사용하지 않도록 설정하려면 다음 SyncML을 사용합니다.

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryMessage

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1703 [10.0.15063] 이상
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage

이 정책 설정을 사용하면 전체 복구 메시지를 구성하거나 OS 드라이브가 잠겨 있을 때 부팅 전 키 복구 화면에 표시되는 기존 URL을 바꿀 수 있습니다.

"기본 복구 메시지 및 URL 사용" 옵션을 선택하면 기본 BitLocker 복구 메시지 및 URL이 부팅 전 키 복구 화면에 표시됩니다. 이전에 사용자 지정 복구 메시지 또는 URL을 구성하고 기본 메시지로 되돌리려면 정책을 사용하도록 설정하고 "기본 복구 메시지 및 URL 사용" 옵션을 선택해야 합니다.

"사용자 지정 복구 메시지 사용" 옵션을 선택하면 "사용자 지정 복구 메시지 옵션" 텍스트 상자에 입력한 메시지가 부팅 전 키 복구 화면에 표시됩니다. 복구 URL을 사용할 수 있는 경우 메시지에 포함합니다.

"사용자 지정 복구 URL 사용" 옵션을 선택하면 "사용자 지정 복구 URL 옵션" 텍스트 상자에 입력한 URL이 기본 복구 메시지의 기본 URL을 바꿉니다. 이 URL은 부팅 전 키 복구 화면에 표시됩니다.

참고

모든 문자와 언어가 사전 부팅에서 지원되는 것은 아닙니다. 사용자 지정 메시지 또는 URL에 사용하는 문자가 부팅 전 복구 화면에 올바르게 표시되는지 테스트하는 것이 좋습니다.

데이터 ID 요소:

  • PrebootRecoveryInfoDropDown_Name: 부팅 전 복구 메시지에 대한 옵션을 선택합니다.
  • RecoveryMessage_Input: 사용자 지정 복구 메시지
  • RecoveryUrl_Input: 사용자 지정 복구 URL

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다.

<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>

'xx'의 가능한 값은 다음과 같습니다.

  • 0 = 비어 있음
  • 1 = 기본 복구 메시지 및 URL을 사용합니다(이 경우 "RecoveryMessage_Input" 또는 "RecoveryUrl_Input" 값을 지정할 필요가 없음).
  • 2 = 사용자 지정 복구 메시지가 설정됩니다.
  • 3 = 사용자 지정 복구 URL이 설정됩니다.

'yy' 및 'zz'의 가능한 값은 각각 최대 길이 900과 500의 문자열입니다.

참고

  • SystemDrivesRecoveryMessage를 사용하도록 설정하면 세 가지 설정(사전 부팅 복구 화면, 복구 메시지 및 복구 URL)에 대한 값을 지정해야 합니다. 그렇지 않으면 실패합니다(500 반환 상태). 예를 들어 메시지 및 URL에 대한 값만 지정하면 500 반환 상태가 됩니다.
  • 모든 문자와 언어가 사전 부팅에서 지원되는 것은 아닙니다. 사용자 지정 메시지 또는 URL에 사용하는 문자가 부팅 전 복구 화면에 올바르게 표시되는지 테스트하는 것이 좋습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 PrebootRecoveryInfo_Name
이름 부팅 전 복구 메시지 및 URL 구성
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브
레지스트리 키 이름 Software\Policies\Microsoft\FVE
ADMX 파일 이름 VolumeEncryption.admx

:

이 정책을 사용하지 않도록 설정하려면 다음 SyncML을 사용합니다.

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryOptions

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1703 [10.0.15063] 이상
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions

이 정책 설정을 사용하면 필요한 시작 키 정보가 없는 경우 BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법을 제어할 수 있습니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다.

"인증서 기반 데이터 복구 에이전트 허용" 확인란은 BitLocker로 보호되는 운영 체제 드라이브와 함께 데이터 복구 에이전트를 사용할 수 있는지 여부를 지정하는 데 사용됩니다. 데이터 복구 에이전트를 사용하려면 먼저 그룹 정책 관리 콘솔 또는 로컬 그룹 정책 편집기에서 공개 키 정책 항목에서 추가해야 합니다. 데이터 복구 에이전트 추가에 대한 자세한 내용은 Microsoft TechNet의 BitLocker 드라이브 암호화 배포 가이드를 참조하세요.

"BitLocker 복구 정보의 사용자 스토리지 구성"에서 사용자가 48자리 복구 암호 또는 256비트 복구 키를 생성할 수 있는지, 필수인지 여부를 선택합니다.

사용자가 드라이브에서 BitLocker를 켤 때 복구 옵션을 지정하지 못하도록 하려면 "BitLocker 설정 마법사에서 복구 옵션 생략"을 선택합니다. 즉, BitLocker를 켤 때 사용할 복구 옵션을 지정할 수 없으며 대신 드라이브에 대한 BitLocker 복구 옵션은 정책 설정에 따라 결정됩니다.

"Active Directory Domain Services에 BitLocker 복구 정보 저장"에서 운영 체제 드라이브용 AD DS에 저장할 BitLocker 복구 정보를 선택합니다. "백업 복구 암호 및 키 패키지"를 선택하면 BitLocker 복구 암호와 키 패키지가 모두 AD DS에 저장됩니다. 키 패키지를 저장하면 물리적으로 손상된 드라이브에서 데이터를 복구할 수 있습니다. "백업 복구 암호만"을 선택하면 복구 암호만 AD DS에 저장됩니다.

컴퓨터가 도메인에 연결되어 있고 BitLocker 복구 정보를 AD DS에 백업하는 데 성공하지 않는 한 사용자가 BitLocker를 사용하도록 설정하지 못하도록 하려면 "복구 정보가 운영 체제 드라이브용 AD DS에 저장될 때까지 BitLocker 사용 안 함" 확인란을 선택합니다.

참고

"운영 체제 드라이브용 AD DS에 복구 정보가 저장될 때까지 BitLocker를 사용하도록 설정 안 함" 확인란이 선택되면 복구 암호가 자동으로 생성됩니다.

  • 이 정책 설정을 사용하도록 설정하면 BitLocker로 보호되는 운영 체제 드라이브에서 데이터를 복구하는 데 사용할 수 있는 메서드를 제어할 수 있습니다.

  • 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 BitLocker 복구에 대한 기본 복구 옵션이 지원됩니다. 기본적으로 DRA가 허용되고 복구 암호 및 복구 키를 포함하여 사용자가 복구 옵션을 지정할 수 있으며 복구 정보는 AD DS에 백업되지 않습니다.

데이터 ID 요소:

  • OSAllowDRA_Name: 인증서 기반 데이터 복구 에이전트 허용
  • OSRecoveryPasswordUsageDropDown_Name 및 OSRecoveryKeyUsageDropDown_Name: BitLocker 복구 정보의 사용자 스토리지 구성
  • OSHideRecoveryPage_Name: BitLocker 설치 마법사에서 복구 옵션 생략
  • OSActiveDirectoryBackup_Name 및 OSActiveDirectoryBackupDropDown_Name: Active Directory Domain Services에 BitLocker 복구 정보 저장
  • OSRequireActiveDirectoryBackup_Name: 운영 체제 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정하지 마세요.

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다.

<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>

'xx'의 가능한 값은 다음과 같습니다.

  • true = 명시적으로 허용
  • false = 정책이 설정되지 않음

'yy'의 가능한 값은 다음과 같습니다.

  • 0 = 허용되지 않음
  • 1 = 필수
  • 2 = 허용됨

'zz'의 가능한 값은 다음과 같습니다.

  • 1 = 복구 암호 및 키 패키지를 저장합니다.
  • 2 = 복구 암호만 저장합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 OSRecoveryUsage_Name
이름 BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법 선택
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브
레지스트리 키 이름 SOFTWARE\Policies\Microsoft\FVE
레지스트리 값 이름 OSRecovery
ADMX 파일 이름 VolumeEncryption.admx

:

이 정책을 사용하지 않도록 설정하려면 다음 SyncML을 사용합니다.

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRequireStartupAuthentication

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10 버전 1703 [10.0.15063] 이상
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication

이 정책 설정을 사용하면 컴퓨터가 시작될 때마다 BitLocker에 추가 인증이 필요한지 여부와 TPM(신뢰할 수 있는 플랫폼 모듈)과 함께 BitLocker를 사용하고 있는지 여부를 구성할 수 있습니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다.

참고

시작 시 추가 인증 옵션 중 하나만 필요할 수 있습니다. 그렇지 않으면 정책 오류가 발생합니다.

TPM이 없는 컴퓨터에서 BitLocker를 사용하려면 "호환되는 TPM 없이 BitLocker 허용" 확인란을 선택합니다. 이 모드에서는 시작에 암호 또는 USB 드라이브가 필요합니다. 시작 키를 사용하는 경우 드라이브를 암호화하는 데 사용되는 키 정보가 USB 드라이브에 저장되어 USB 키를 만듭니다. USB 키를 삽입하면 드라이브에 대한 액세스가 인증되고 드라이브에 액세스할 수 있습니다. USB 키를 분실하거나 사용할 수 없거나 암호를 잊어버린 경우 BitLocker 복구 옵션 중 하나를 사용하여 드라이브에 액세스해야 합니다.

호환되는 TPM이 있는 컴퓨터에서 시작 시 네 가지 유형의 인증 방법을 사용하여 암호화된 데이터에 대한 추가 보호를 제공할 수 있습니다. 컴퓨터가 시작되면 인증에 TPM만 사용할 수 있습니다. 또는 시작 키가 포함된 USB 플래시 드라이브, 6자리에서 20자리 PIN(개인 식별 번호) 또는 둘 다를 삽입해야 할 수도 있습니다.

  • 이 정책 설정을 사용하도록 설정하면 사용자는 BitLocker 설정 마법사에서 고급 시작 옵션을 구성할 수 있습니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자는 TPM이 있는 컴퓨터에서 기본 옵션만 구성할 수 있습니다.

참고

시작 PIN 및 USB 플래시 드라이브를 사용해야 하는 경우 BitLocker 드라이브 암호화 설정 마법사 대신 명령줄 도구 manage-bde 를 사용하여 BitLocker 설정을 구성해야 합니다.

참고

  • Windows 10 버전 1703 릴리스 B에서는 최소 4자리 PIN을 사용할 수 있습니다. 6자리보다 짧은 PIN을 허용하려면 SystemDrivesMinimumPINLength 정책을 설정해야 합니다.
  • HSTI(하드웨어 보안 테스트 가능성 사양) 유효성 검사 또는 최신 대기 디바이스를 통과하는 디바이스는 이 CSP를 사용하여 시작 PIN을 구성할 수 없습니다. 사용자는 PIN을 수동으로 구성해야 합니다. 데이터 ID 요소:
  • ConfigureNonTPMStartupKeyUsage_Name = 호환되는 TPM 없이 BitLocker 허용(USB 플래시 드라이브의 암호 또는 시작 키 필요).
  • ConfigureTPMStartupKeyUsageDropDown_Name = (TPM이 있는 컴퓨터의 경우) TPM 시작 키 구성
  • ConfigurePINUsageDropDown_Name = (TPM이 있는 컴퓨터의 경우) TPM 시작 PIN을 구성합니다.
  • ConfigureTPMPINKeyUsageDropDown_Name = (TPM이 있는 컴퓨터의 경우) TPM 시작 키 및 PIN을 구성합니다.
  • ConfigureTPMUsageDropDown_Name = (TPM이 있는 컴퓨터의 경우) TPM 시작 구성

이 정책을 사용하도록 설정하는 이 노드의 샘플 값은 다음과 같습니다.

<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>

'xx'의 가능한 값은 다음과 같습니다.

  • true = 명시적으로 허용
  • false = 정책이 설정되지 않음

'yy'의 가능한 값은 다음과 같습니다.

  • 2 = 선택 사항
  • 1 = 필수
  • 0 = 허용되지 않음

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 ConfigureAdvancedStartup_Name
이름 시작 시 추가 인증 필요
위치 컴퓨터 구성
경로 Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브
레지스트리 키 이름 SOFTWARE\Policies\Microsoft\FVE
레지스트리 값 이름 UseAdvancedStartup
ADMX 파일 이름 VolumeEncryption.admx

:

이 정책을 사용하지 않도록 설정하려면 다음 SyncML을 사용합니다.

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SyncML 예제

다음 예제는 적절한 형식을 표시하기 위해 제공되며 권장 사항으로 간주해서는 안 됩니다.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>

      <!-- Phone only policy -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <!-- All of the following policies are only supported on desktop SKU -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
            <data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
            <data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
            <data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigurePINUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMUsageDropDown_Name" value="2"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="MinPINLength" value="6"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RecoveryMessage_Input" value="blablablabla"/>
            <data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
            <data id="RecoveryUrl_Input" value="blablabla"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="OSAllowDRA_Name" value="true"/>
            <data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="OSHideRecoveryPage_Name" value="true"/>
            <data id="OSActiveDirectoryBackup_Name" value="true"/>
            <data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="FDVAllowDRA_Name" value="true"/>
            <data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="FDVHideRecoveryPage_Name" value="true"/>
            <data id="FDVActiveDirectoryBackup_Name" value="true"/>
            <data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RDVCrossOrg" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Final/>
    </SyncBody>
</SyncML>

구성 서비스 공급자 참조