Intune에서 디바이스 암호화 모니터링
Microsoft Intune 암호화 보고서는 디바이스의 암호화 상태에 관한 세부 정보를 확인하고 디바이스 복구 키를 관리하는 옵션을 찾을 수 있는 중앙 위치입니다. 사용할 수 있는 복구 키 옵션은 보고 있는 디바이스 유형에 따라 다릅니다.
보고서를 찾으려면 Microsoft Intune 관리 센터에 로그인합니다. 디바이스>디바이스> 관리구성을 선택하고 모니터* 탭을 선택한 다음, 디바이스 암호화 상태 선택합니다.
암호화 세부 정보 보기
암호화 보고서에는 관리하는 지원 디바이스 전반에 공통된 세부 정보가 표시됩니다. 다음 섹션에서는 Intune이 보고서에 표시하 정보를 자세히 설명합니다.
필수 구성 요소
암호화 보고서 보고는 다음 운영 체제 버전을 실행하는 디바이스에서 지원됩니다.
- macOS 10.13 이
- Windows 버전 1607 이상
보고서 세부 정보
암호화 보고서 창에는 해당 디바이스에 대한 개략적인 세부 정보로 관리하는 디바이스 목록이 표시됩니다. 목록에서 디바이스를 선택하여 드릴인하고 디바이스 디바이스 암호화 상태 창에서 추가 정보를 볼 수 있습니다.
디바이스 이름 - 디바이스 이름입니다.
OS – Windows 또는 macOS와 같은 디바이스 플랫폼입니다.
OS 버전 – 디바이스의 Windows 또는 macOS 버전입니다.
TPM 버전(Windows 10/11에만 적용됨) – Windows 디바이스에서 검색된 TPM(신뢰할 수 있는 플랫폼 모듈) 칩의 버전입니다.
TPM 버전을 쿼리하는 방법에 대한 자세한 내용은 DeviceStatus CSP - TPM 사양을 참조하세요.
암호화 준비 – BitLocker 또는 FileVault 암호화와 같은 해당 암호화 기술을 지원하기 위한 디바이스의 준비 상태를 평가합니다. 디바이스는 다음과 같이 식별됩니다.
준비됨: MDM 정책을 사용하여 디바이스를 암호화할 수 있습니다. 이렇게 하려면 디바이스가 다음 요구 사항을 충족해야 합니다.
macOS 디바이스:
- macOS 버전 10.13 이상
Windows 디바이스:
- Windows 10 버전 1709 이상의 Business, Enterprise, Education, Windows 10 버전 1809 이상의 Pro 및 Windows 11.
- 디바이스에 TPM 칩이 있어야 합니다.
암호화용 Windows 필수 조건에 대한 자세한 내용은 Windows 설명서의 BitLocker CSP(구성 서비스 공급자)를 참조하세요.
준비 안 됨: 디바이스에 완전한 암호화 기능이 없지만 여전히 암호화를 지원할 수 있습니다.
해당 없음: 이 디바이스를 분류하는 데 필요한 정보가 충분하지 않습니다.
암호화 상태 – OS 드라이브의 암호화 여부를 나타냅니다.
사용자 계정 이름 - 디바이스의 기본 사용자입니다.
디바이스 암호화 상태
암호화 보고서에서 디바이스를 선택하면 Intune에서 디바이스 암호화 상태 창이 표시됩니다. 이 창에는 다음과 같은 세부 정보가 표시됩니다.
디바이스 이름 - 보고 있는 디바이스의 이름입니다.
암호화 준비 - 활성화된 TPM을 기반으로 MDM 정책을 통해 암호화를 지원하기 위한 디바이스의 준비 상태를 평가합니다.
Windows 10/11 디바이스의 준비 상태가 준비 안 됨인 경우에도 암호화를 지원할 수 있습니다. 준비됨으로 지정하려면 Windows 디바이스에 활성화된 TPM 칩이 있어야 합니다. 그러나 디바이스를 수동으로 암호화할 수 있고 TPM 없이 암호화를 허용하도록 설정할 수 있는 MDM/그룹 정책 설정을 통해 암호화할 수도 있으므로 TPM 칩이 암호화를 지원하기 위한 필수 사항은 아닙니다.
암호화 상태 - OS 드라이브의 암호화 여부를 나타냅니다. Intune에서 디바이스 암호화 상태나 해당 상태로의 변경을 보고하는 데 최대 24시간 걸릴 수 있습니다. 이 시간에는 OS가 암호화하는 시간 및 디바이스에서 Intune에 다시 보고하는 시간이 포함됩니다.
디바이스 체크 인이 정상적으로 수행되기 전에 FileVault 암호화 상태 보고의 속도를 높이려면 암호화가 완료된 후 사용자가 디바이스를 동기화하도록 합니다.
Windows 디바이스의 경우 이 필드는 고정 드라이브와 같은 다른 드라이브가 암호화되는지 여부를 않습니다. ‘암호화 상태’는 DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance에서 옵니다.
프로필 – 이 디바이스에 적용된 디바이스 구성 프로필 목록이며 다음 값으로 구성됩니다.
macOS:
- 프로필 유형 = 엔드포인트 보호
- 설정 > FileVault > FileVault = 사용
Windows 10/11:
- 프로필 유형 = 엔드포인트 보호
- 설정 > Windows 암호화 > 디바이스 = 필요
프로필 상태 요약에 문제가 있는 것으로 나타나면 프로필 목록을 사용하여 검토할 개별 정책을 식별할 수 있습니다.
프로필 상태 요약 – 이 디바이스에 적용되는 프로필의 요약 정보입니다. 이 요약 정보는 해당하는 프로필 중에서 가장 덜 우호적인 조건을 표시합니다. 예를 들어 적용 가능한 여러 프로필 중 하나만 오류가 발생하는 경우 프로필 상태 요약 에 오류가 표시됩니다.
Intune 관리 센터에서 상태 대한 자세한 내용을 보려면디바이스 관리 디바이스>>구성>으로 이동하여 프로필을 선택합니다. 필요에 따라 디바이스 상태를 선택한 다음 디바이스를 선택합니다.
상태 세부 정보 – 디바이스의 암호화 상태에 대한 고급 정보입니다.
이 필드는 검색할 수 있는 각 해당 오류의 정보를 표시합니다. 이 정보를 사용하여 디바이스가 암호화 준비 상태가 아닌 이유를 이해할 수 있습니다.
다음은 Intune이 보고할 수 있는 상태 세부 정보의 예입니다.
macOS:
복구 키가 아직 검색되지 않았고 저장되지 않았습니다. 디바이스가 잠금 해제되지 않았거나 체크 인되지 않았을 가능성이 높습니다.
고려 사항: 이 결과는 반드시 오류 조건을 나타내는 것은 아니지만 디바이스에서 암호화 요청이 디바이스로 전송되기 전에 복구 키에 대한 에스크로를 설정해야 하는 디바이스의 타이밍 때문일 수 있는 임시 상태입니다. 이 상태 디바이스가 잠겨 있거나 최근에 Intune 체크 인하지 않았음을 나타낼 수도 있습니다. 마지막으로, 디바이스가 연결될 때까지 FileVault 암호화가 시작되지 않으므로(충전) 사용자가 아직 암호화되지 않은 디바이스에 대한 복구 키를 받을 수 있습니다..
사용자가 암호화를 연기하고 있거나 현재 암호화 중입니다.
고려 사항: FileVault가 디바이스를 암호화하기 전에 필요한 암호화 요청을 받은 후 사용자가 아직 로그아웃하지 않았거나 사용자가 디바이스의 암호를 수동으로 해독했습니다. Intune 사용자가 디바이스의 암호를 해독하는 것을 막을 수 없습니다.
디바이스가 이미 암호화되어 있습니다. 계속하려면 디바이스 사용자가 디바이스의 암호를 해독해야 합니다.
고려 사항: Intune 이미 암호화된 디바이스에서 FileVault를 설정할 수 없습니다. 그러나 디바이스가 FileVault를 사용하도록 설정하는 정책을 수신한 후 사용자는 개인 복구 키를 업로드하여 Intune 해당 디바이스에서 암호화를 관리할 수 있도록 할 수 있습니다. 또는 사용자가 디바이스의 암호를 수동으로 해독하여 나중에 Intune 정책으로 암호화할 수 있습니다. 그러나 수동 암호 해독은 디바이스를 한동안 암호화되지 않은 상태로 둘 수 있으므로 권장하지 않습니다.
macOS Catalina 이상에서 FileVault를 사용하려면 사용자가 해당 관리 프로필을 승인해야 합니다.
고려 사항: macOS 버전 10.15(Catalina)부터 사용자가 승인한 등록 설정으로 인해 사용자가 FileVault 암호화를 수동으로 승인해야 할 수 있습니다. 자세한 내용은 Intune 설명서의 사용자 승인 등록을 참조하세요.
알 수 없음.
고려 사항: 알 수 없는 상태 대한 한 가지 가능한 원인은 디바이스가 잠겨 있고 Intune 에스크로 또는 암호화 프로세스를 시작할 수 없다는 것입니다. 디바이스가 잠금 해제된 후 진행 상황을 계속할 수 있습니다..
Windows 10/11:
Windows 디바이스의 경우 Intune은 Windows 10 2019년 4월 업데이트 이상 또는 Windows 11을 실행하는 디바이스의 상태 세부 정보만 보여줍니다. 상태 세부 정보는 BitLocker CSP - Status/DeviceEncryptionStatus에서 옵니다.
BitLocker 정책은 사용자 동의가 있어야만 BitLocker 드라이브 암호화 마법사를 시작하여 OS 볼륨 암호화를 시작할 수 있지만, 사용자가 동의하지 않았습니다.
OS 볼륨의 암호화 방법이 BitLocker 정책과 일치하지 않습니다.
정책 BitLocker는 OS 볼륨을 보호할 TPM 보호기가 필요하지만, TPM이 사용되고 있지 않습니다.
BitLocker 정책은 OS 볼륨에 대한 TPM 전용 보호기가 필요하지만, TPM 보호가 사용되고 있지 않습니다.
BitLocker 정책은 OS 볼륨에 대한 TPM+PIN 보호가 필요하지만, TPM+PIN 보호기가 사용되고 있지 않습니다.
BitLocker 정책은 OS 볼륨에 대한 TPM+시작 키 보호가 필요하지만, TPM+시작 키 보호기가 사용되고 있지 않습니다.
BitLocker 정책은 OS 볼륨에 대한 TPM+PIN+시작 키 보호가 필요하지만, TPM+PIN+시작 키 보호기가 사용되고 있지 않습니다.
OS 볼륨이 보호되고 있지 않습니다.
고려 사항: OS 드라이브를 암호화하는 BitLocker 정책이 컴퓨터에 적용되었지만 OS 드라이브에 대한 암호화가 일시 중단되었거나 완료되지 않았습니다.
복구 키를 백업하지 못했습니다.
고려 사항: 이벤트 로그온 디바이스를 확인하여 복구 키 백업이 실패한 이유를 확인합니다. 수동으로 복구 키를 에스크로하려면 manage-bde 명령을 실행해야 할 수 있습니다.
고정 드라이브가 보호되고 있지 않습니다.
고려 사항: 고정 드라이브를 암호화하는 BitLocker 정책이 컴퓨터에 적용되었지만 고정 드라이브에 대한 암호화가 일시 중단되었거나 완료되지 않았습니다.
고정 드라이브의 암호화 방법이 BitLocker 정책과 일치하지 않습니다.
드라이브를 암호화하려면 BitLocker 정책을 사용하려면 사용자가 관리자로 로그인해야 하거나 디바이스가 Microsoft Entra ID 조인된 경우 AllowStandardUserEncryption 정책을 로
1
설정해야 합니다.WinRE(Windows 복구 환경)가 구성되지 않았습니다.
고려 사항: 별도의 파티션에서 WinRE를 구성하려면 명령줄을 실행해야 합니다. 검색되지 않았기 때문에 자세한 내용은 REAgentC 명령줄 옵션을 참조하세요.
TPM이 없어서 레지스트리에서 사용할 수 없거나 OS가 이동식 드라이브에 있어서 BitLocker에 TPM을 사용할 수 없습니다.
고려 사항: 이 디바이스에 적용되는 BitLocker 정책에는 TPM이 필요하지만, 이 디바이스에서 BitLocker CSP는 TPM이 BIOS 수준에서 사용되지 않을 수 있음을 검색했습니다.
TPM을 BitLocker에 사용할 준비가 되지 않았습니다.
고려 사항: BitLocker CSP는 이 디바이스에 사용 가능한 TPM이 있지만 TPM을 초기화해야 할 수 있습니다. 머신 에서 intialize-tpm 을 실행하여 TPM을 초기화하는 것이 좋습니다.
복구 키 백업에 필요한 네트워크를 사용할 수 없습니다.다.
보고서 세부 정보 내보내기
암호화 보고서 창을 보는 동안 내보내기를 선택하여 보고서 세부 정보의 ‘.csv’ 파일 다운로드를 만들 수 있습니다. 이 보고서에는 ‘암호화 보고서’ 창의 대략적인 정보와 관리하는 각 디바이스의 ‘디바이스 암호화 상태’ 정보가 포함됩니다.
이 보고서는 디바이스 그룹의 문제를 식별하는 데 유용할 수 있습니다. 예를 들어 보고서를 사용하여 모두 사용자가 FileVault를 이미 사용하도록 설정함을 보고하는 macOS 디바이스 목록을 식별할 수 있습니다. 이 상태는 먼저 디바이스를 수동으로 암호 해독해야만 Intune에서 해당 FileVault 설정을 관리할 수 있음을 나타냅니다.
복구 키 관리
복구 키 관리에 관한 자세한 내용은 Intune 설명서에서 다음을 참조하세요.
macOS FileVault:
Windows BitLocker: