개인 데이터 암호화
Windows 11 버전 22H2부터 개인 데이터 암호화는 Windows에 파일 기반 데이터 암호화 기능을 제공하는 보안 기능입니다.
개인 데이터 암호화는 비즈니스용 Windows Hello 활용하여 데이터 암호화 키를 사용자 자격 증명과 연결합니다. 사용자가 비즈니스용 Windows Hello 사용하여 디바이스에 로그인하면 암호 해독 키가 해제되고 사용자가 암호화된 데이터에 액세스할 수 있습니다.
사용자가 로그오프하면 다른 사용자가 디바이스에 로그인하더라도 암호 해독 키가 삭제되고 데이터에 액세스할 수 없습니다.
비즈니스용 Windows Hello 사용하면 다음과 같은 이점이 있습니다.
- 암호화된 콘텐츠에 액세스하기 위한 자격 증명 수를 줄입니다. 사용자는 비즈니스용 Windows Hello
- 비즈니스용 Windows Hello 사용할 때 사용할 수 있는 접근성 기능은 개인 데이터 암호화 보호 콘텐츠로 확장됩니다.
개인 데이터 암호화는 전체 볼륨 및 디스크 대신 파일을 암호화한다는 점에서 BitLocker와 다릅니다. 개인 데이터 암호화는 BitLocker와 같은 다른 암호화 방법 외에 발생합니다.
부팅 시 데이터 암호화 키를 해제하는 BitLocker와 달리 개인 데이터 암호화는 사용자가 비즈니스용 Windows Hello 사용하여 로그인할 때까지 데이터 암호화 키를 해제하지 않습니다.
필수 구성 요소
개인 데이터 암호화를 사용하려면 다음 필수 조건을 충족해야 합니다.
- Windows 11 버전 22H2 이상
- 디바이스를 Microsoft Entra 조인해야 합니다. 도메인 가입 및 Microsoft Entra 하이브리드 조인 디바이스는 지원되지 않습니다.
- 사용자는 비즈니스용 Windows Hello 사용하여 로그인해야 합니다.
중요
암호 또는 보안 키로 로그인하는 경우 개인 데이터 암호화로 보호된 콘텐츠에 액세스할 수 없습니다.
Windows 버전 및 라이선싱 요구 사항
다음 표에는 PDE(개인 데이터 암호화)를 지원하는 Windows 버전이 나와 있습니다.
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| 아니오 | 예 | 아니오 | 예 |
PDE(개인 데이터 암호화) 라이선스 권한은 다음 라이선스에 의해 부여됩니다.
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| 아니오 | 예 | 예 | 예 | 예 |
Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.
개인 데이터 암호화 보호 수준
개인 데이터 암호화는 256비트 키와 함께 AES-CBC를 사용하여 콘텐츠를 보호하고 두 가지 수준의 보호를 제공합니다. 보호 수준은 조직의 요구 사항에 따라 결정됩니다. 이러한 수준은 개인 데이터 암호화 API를 통해 설정할 수 있습니다.
| 항목 | 수준 1 | 수준 2 |
|---|---|---|
| 사용자가 비즈니스용 Windows Hello 통해 로그인한 경우 액세스할 수 있는 보호된 데이터 | 예 | 예 |
| 보호된 데이터는 Windows 잠금 화면에서 액세스할 수 있습니다. | 예 | 잠금 후 1분 동안 데이터에 액세스할 수 있으므로 더 이상 사용할 수 없습니다. |
| 사용자가 Windows에서 로그아웃한 후 보호된 데이터에 액세스할 수 있습니다. | 아니오 | 아니오 |
| 보호된 데이터는 디바이스가 종료될 때 액세스할 수 있습니다. | 아니오 | 아니오 |
| 보호된 데이터는 UNC 경로를 통해 액세스할 수 있습니다. | 아니오 | 아니오 |
| 보호된 데이터는 비즈니스용 Windows Hello 대신 Windows 암호로 서명할 때 액세스할 수 있습니다. | 아니오 | 아니오 |
| 원격 데스크톱 세션을 통해 보호된 데이터에 액세스할 수 있습니다. | 아니오 | 아니오 |
| 삭제된 개인 데이터 암호화에서 사용하는 암호 해독 키 | 사용자가 Windows에서 로그아웃한 후 | Windows 잠금 화면이 설치된 후 1분 후 또는 사용자가 Windows에서 로그아웃한 후 |
개인 데이터 암호화 보호된 콘텐츠 접근성
파일이 개인 데이터 암호화로 보호되면 해당 아이콘에 자물쇠가 표시됩니다. 사용자가 비즈니스용 Windows Hello 로컬로 로그인하지 않았거나 권한이 없는 사용자가 개인 데이터 암호화 보호된 콘텐츠에 액세스하려고 시도하는 경우 콘텐츠에 대한 액세스가 거부됩니다.
사용자가 개인 데이터 암호화 보호 콘텐츠에 대한 액세스가 거부되는 시나리오는 다음과 같습니다.
- 사용자가 비즈니스용 Windows Hello 생체 인식 또는 PIN으로 로그인하는 대신 암호를 통해 Windows에 로그인했습니다.
- 수준 2 보호를 통해 보호되는 경우 디바이스가 잠겨 있는 경우
- 원격으로 디바이스의 콘텐츠에 액세스하려고 할 때 예를 들어 UNC 네트워크 경로
- 원격 데스크톱 세션
- 비즈니스용 Windows Hello 통해 로그인하고 개인 데이터 암호화 보호된 콘텐츠로 이동할 수 있는 권한이 있더라도 콘텐츠 소유자가 아닌 디바이스의 다른 사용자
개인 데이터 암호화와 BitLocker의 차이점
개인 데이터 암호화는 BitLocker와 함께 작동합니다. 개인 데이터 암호화는 BitLocker를 대체하는 것이 아니며 BitLocker가 개인 데이터 암호화를 대체하는 것도 아닙니다. 두 기능을 함께 사용하면 BitLocker 또는 개인 데이터 암호화만 사용하는 것보다 더 나은 보안을 제공합니다. 그러나 BitLocker와 개인 데이터 암호화와 작동 방식에는 차이가 있습니다. 이러한 차이점은 이러한 차이점을 함께 사용하면 더 나은 보안을 제공하는 이유입니다.
| 항목 | 개인 데이터 암호화 | BitLocker |
|---|---|---|
| 암호 해독 키 릴리스 | 비즈니스용 Windows Hello 통해 사용자 로그인 시 | 부팅 시 |
| 삭제된 암호 해독 키 | 사용자가 Windows에서 로그아웃하거나 Windows 잠금 화면이 설치된 후 1분 후에 로그아웃하는 경우 | 종료 시 |
| 보호된 콘텐츠 | 보호된 폴더의 모든 파일 | 전체 볼륨/드라이브 |
| 보호된 콘텐츠에 액세스하기 위한 인증 | 비즈니스용 Windows Hello | TPM + PIN이 있는 BitLocker를 사용하도록 설정하면 BitLocker PIN과 Windows 로그인 |
개인 데이터 암호화와 EFS의 차이점
EFS 대신 개인 데이터 암호화를 사용하여 파일을 보호하는 기본 차이점은 파일을 보호하는 데 사용하는 방법입니다. 개인 데이터 암호화는 비즈니스용 Windows Hello 사용하여 파일을 보호하는 키를 보호합니다. EFS는 인증서를 사용하여 파일을 보호하고 보호합니다.
파일이 개인 데이터 암호화 또는 EFS로 보호되는지 확인하려면 다음을 수행합니다.
- 파일의 속성 열기
- 일반 탭에서 고급...을 선택합니다.
- 고급 특성 창에서 세부 정보를 선택합니다.
개인 데이터 암호화 보호 파일의 경우 보호 상태:개인 데이터 암호화로 나열된 항목이 있으며 On의 특성이 있습니다.
EFS로 보호된 파일의 경우 이 파일에 액세스할 수 있는 사용자:에서 파일에 액세스할 수 있는 사용자 옆에 인증서 지문 이 있습니다. 또한 복구 정책에 정의된 대로 이 파일에 대한 하위 레이블이 지정된 복구 인증서 섹션도 있습니다.
파일을 보호하는 데 사용되는 암호화 방법을 포함한 암호화 정보는 명령을 사용하여 cipher.exe /c 가져올 수 있습니다.
개인 데이터 암호화 사용에 대한 권장 사항
다음은 개인 데이터 암호화를 사용하기 위한 권장 사항입니다.
- BitLocker 드라이브 암호화를 사용하도록 설정합니다. 개인 데이터 암호화는 BitLocker 없이 작동하지만 BitLocker를 사용하도록 설정하는 것이 좋습니다. 개인 데이터 암호화는 BitLocker를 대체하는 것이 아니라 보안을 강화하기 위해 BitLocker와 함께 작동합니다.
- Microsoft 365의 OneDrive와 같은 백업 솔루션. TPM 재설정 또는 파괴적인 PIN 재설정과 같은 특정 시나리오에서는 개인 데이터 암호화에서 콘텐츠를 보호하는 데 사용하는 키가 손실되어 보호된 콘텐츠에 액세스할 수 없게 됩니다. 이러한 콘텐츠를 복구하는 유일한 방법은 백업입니다. 파일이 OneDrive에 동기화된 경우 액세스 권한을 다시 사용하려면 OneDrive를 다시 동기화해야 합니다.
- PIN 재설정 서비스를 비즈니스용 Windows Hello. 파괴적인 PIN 재설정으로 인해 개인 데이터 암호화에서 사용하는 키가 손실되는 콘텐츠를 보호하므로 개인 데이터 암호화로 보호되는 모든 콘텐츠에 액세스할 수 없게 됩니다. 파괴적인 PIN 재설정 후에는 개인 데이터 암호화로 보호되는 콘텐츠를 백업에서 복구해야 합니다. 이러한 이유로 비즈니스용 Windows Hello PIN 재설정 서비스는 비 파괴적 PIN 재설정을 제공하므로 권장됩니다.
- Windows Hello 향상된 로그인 보안은 생체 인식 또는 PIN을 통해 비즈니스용 Windows Hello 인증할 때 추가 보안을 제공합니다.
개인 데이터 암호화를 지원하는 Windows 기본 제공 애플리케이션
특정 Windows 애플리케이션은 기본 제공 개인 데이터 암호화를 지원합니다. 디바이스에서 개인 데이터 암호화를 사용하는 경우 이러한 애플리케이션은 개인 데이터 암호화를 활용합니다.
| 앱 이름 | 세부 정보 |
|---|---|
| 전자 메일 본문 및 첨부 파일 모두 보호 지원 |
다음 단계
- 개인 데이터 암호화를 구성하는 사용 가능한 옵션과 Microsoft Intune 또는 CSP(구성 서비스 공급자)를 통해 개인 데이터 암호화를 구성하는 방법에 대해 알아봅니다. 개인 데이터 암호화 설정 및 구성
- 개인 데이터 암호화 FAQ 검토