개인 데이터 암호화 설정 및 구성
이 문서에서는 개인 데이터 암호화 설정 및 Microsoft Intune 또는 CSP(구성 서비스 공급자)를 통해 구성하는 방법을 설명합니다.
참고
MDM 정책을 사용하여 개인 데이터 암호화를 구성할 수 있습니다. 개인 데이터 암호화로 보호할 콘텐츠는 개인 데이터 암호화 API를 사용하여 지정할 수 있습니다. Windows에는 개인 데이터 암호화를 사용하도록 설정하거나 개인 데이터 암호화를 사용하여 콘텐츠를 보호하는 사용자 인터페이스가 없습니다.
개인 데이터 암호화 API를 사용하여 보호할 콘텐츠와 콘텐츠를 보호할 수준을 지정하는 사용자 지정 애플리케이션 및 스크립트를 만들 수 있습니다. 또한 개인 데이터 암호화 정책을 사용하도록 설정하기 전까지는 개인 데이터 암호화 API를 사용하여 콘텐츠를 보호할 수 없습니다.
개인 데이터 암호화 설정
다음 표에는 개인 데이터 암호화를 사용하도록 설정하는 데 필요한 설정이 나와 있습니다.
| 설정 이름 | 설명 |
|---|---|
| 개인 데이터 암호화 사용 | 개인 데이터 암호화는 기본적으로 사용하도록 설정되지 않습니다. 개인 데이터 암호화를 사용하려면 먼저 사용하도록 설정해야 합니다. |
| 다시 시작한 후 자동으로 마지막 대화형 사용자 로그인 및 잠금 | Winlogon ARSO(자동 다시 시작 로그온)는 개인 데이터 암호화와 함께 사용할 수 없습니다. 개인 데이터 암호화를 사용하려면 ARSO를 사용하지 않도록 설정해야 합니다. |
개인 데이터 암호화 강화 권장 사항
다음 표에는 개인 데이터 암호화의 보안을 개선하기 위한 권장 설정이 나와 있습니다.
| 설정 이름 | 설명 |
|---|---|
| 커널 모드 크래시 덤프 및 라이브 덤프 | 커널 모드 크래시 덤프 및 라이브 덤프로 인해 개인 데이터 암호화에서 콘텐츠를 보호하는 데 사용되는 키가 노출될 수 있습니다. 보안을 강화하려면 커널 모드 크래시 덤프 및 라이브 덤프를 사용하지 않도록 설정합니다. |
| WER(Windows 오류 보고)/사용자 모드 크래시 덤프 | Windows 오류 보고 사용하지 않도록 설정하면 사용자 모드 크래시 덤프가 방지됩니다. 사용자 모드 크래시 덤프로 인해 개인 데이터 암호화에서 콘텐츠를 보호하는 데 사용되는 키가 노출될 수 있습니다. 보안을 강화하려면 사용자 모드 크래시 덤프를 사용하지 않도록 설정합니다. |
| 최대 절전 모드 | 최대 절전 모드 파일은 개인 데이터 암호화에서 콘텐츠를 노출하는 데 사용되는 키를 잠재적으로 유발할 수 있습니다. 보안을 강화하려면 최대 절전 모드를 사용하지 않도록 설정합니다. |
| 연결된 대기 상태에서 다시 시작할 때 암호가 필요한 시기를 사용자가 선택하도록 허용 | 이 정책이 Microsoft Entra 조인된 디바이스에서 구성되지 않은 경우 연결된 대기 상태 디바이스의 사용자는 디바이스를 절전 모드에서 해제하기 위해 암호가 필요하기 전에 디바이스 화면이 꺼진 후 시간을 변경할 수 있습니다. 화면이 꺼져 있지만 암호가 필요하지 않은 동안 개인 데이터 암호화에서 콘텐츠를 보호하는 데 사용하는 키가 노출될 수 있습니다. Microsoft Entra 조인된 디바이스에서 이 정책을 명시적으로 사용하지 않도록 설정하는 것이 좋습니다. |
Microsoft Intune 사용하여 개인 데이터 암호화 구성
Microsoft Intune 사용하여 디바이스를 관리하는 경우 디스크 암호화 정책, 설정 카탈로그 정책 또는 사용자 지정 프로필을 사용하여 개인 데이터 암호화를 구성할 수 있습니다.
디스크 암호화 정책
디스크 암호화 정책을 사용하여 디바이스를 구성하려면 엔드포인트 보안>디스크 암호화로 이동하여 정책 만들기를 선택합니다.
- 플랫폼>Windows
- 윤곽>개인 데이터 암호화
이름을 입력하고 다음을 선택합니다. 구성 설정 페이지에서 개인 데이터 암호화 사용을 선택하고 필요에 따라 설정을 구성합니다.
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
설정 카탈로그 정책
Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.
| 범주 | 설정 이름 | 값 |
|---|---|---|
| PDE | 개인 데이터 암호화 사용(사용자) | 개인 데이터 암호화 사용 |
| 관리 템플릿 > Windows 구성 요소 > Windows 로그온 옵션 | 다시 시작한 후 자동으로 마지막 대화형 사용자 로그인 및 잠금 | 해제됨 |
| 메모리 덤프 | 라이브 덤프 허용 | 차단 |
| 메모리 덤프 | 크래시 덤프 허용 | 차단 |
| 관리 템플릿 > Windows 구성 요소 > Windows 오류 보고 | Windows 오류 보고 사용 안 함 | 설정됨 |
| Power | 최대 절전 모드 허용 | 차단 |
| 관리 템플릿 > 시스템 > 로그온 | 연결된 대기 상태에서 다시 시작할 때 암호가 필요한 시기를 사용자가 선택하도록 허용 | 사용 안 함 |
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
팁
다음 Graph 호출을 사용하여 할당이나 scope 태그 없이 테넌트에서 설정 카탈로그 정책을 자동으로 만듭니다.
이 호출을 사용하는 경우 Graph Explorer 창에서 테넌트 인증을 수행합니다. Graph Explorer 처음 사용하는 경우 애플리케이션에 테넌트 액세스 권한을 부여하거나 기존 권한을 수정해야 할 수 있습니다. 이 그래프 호출에는 DeviceManagementConfiguration.ReadWrite.All 권한이 필요합니다.
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
CSP를 사용하여 개인 데이터 암호화 구성
또는 정책 CSP 및 개인 데이터 암호화 CSP를 사용하여 디바이스를 구성할 수 있습니다.
| OMA-URI | 형식 | 값 |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
개인 데이터 암호화 사용 안 함
개인 데이터 암호화를 사용하도록 설정하면 사용하지 않도록 설정하는 것이 좋습니다. 그러나 개인 데이터 암호화를 사용하지 않도록 설정해야 하는 경우 다음 단계를 사용하여 이 작업을 수행할 수 있습니다.
디스크 암호화 정책을 사용하여 개인 데이터 암호화 사용 안 함
디스크 암호화 정책을 사용하여 개인 데이터 암호화 디바이스를 사용하지 않도록 설정하려면 엔드포인트 보안>디스크 암호화로 이동하여 정책 만들기를 선택합니다.
- 플랫폼>Windows
- 윤곽>개인 데이터 암호화
이름을 입력하고 다음을 선택합니다. 구성 설정 페이지에서 개인 데이터 암호화 사용 안 함을 선택합니다.
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
Intune 설정 카탈로그 정책을 사용하여 개인 데이터 암호화 사용 안 함
Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.
| 범주 | 설정 이름 | 값 |
|---|---|---|
| PDE | 개인 데이터 암호화 사용(사용자) | 개인 데이터 암호화 사용 안 함 |
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
CSP를 사용하여 개인 데이터 암호화 사용 안 함
다음 설정을 사용하여 CSP에서 개인 데이터 암호화를 사용하지 않도록 설정할 수 있습니다.
| OMA-URI | 형식 | 값 |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
암호화된 콘텐츠 암호 해독
개인 데이터 암호화를 사용하지 않도록 설정해도 개인 데이터 암호화로 보호되는 콘텐츠는 암호 해독되지 않습니다. 개인 데이터 암호화 API가 추가 콘텐츠를 보호할 수 없도록 합니다. 보호된 파일은 다음 단계를 사용하여 수동으로 암호 해독할 수 있습니다.
- 파일의 속성 열기
- 일반 탭에서 고급...을 선택합니다.
- 콘텐츠를 암호화하여 데이터를 보호하는 옵션 선택 취소
- 확인을선택한 다음 확인을 다시 선택합니다.
보호된 파일은 를 사용하여 cipher.exe암호 해독할 수도 있으며, 이는 다음 시나리오에서 유용할 수 있습니다.
- 디바이스에서 많은 수의 파일 암호 해독
- 여러 디바이스에서 파일 암호 해독
를 사용하여 cipher.exe디바이스에서 파일의 암호를 해독하려면:
하위 디렉터리를 포함한 디렉터리 아래의 모든 파일 암호 해독:
cipher.exe /d /s:<path_to_directory>지정된 디렉터리에 있는 단일 파일 또는 모든 파일의 암호를 해독하지만 하위 디렉터리는 암호 해독하지 않습니다.
cipher.exe /d <path_to_file_or_directory>
중요
사용자가 수동으로 파일 암호를 해독하도록 선택하면 사용자는 개인 데이터 암호화를 사용하여 파일을 다시 수동으로 보호할 수 없습니다.