[MEM] Intune Bitlocker 구성 (구성 프로필)

https://learn.microsoft.com/ko-kr/mem/intune/protect/encrypt-devices#create-a-device-configuration-profile-for-bitlocker

Intune에서 BitLocker를 사용하여 Windows 장치 암호화 - Microsoft Intune

​

1. MEM 관리센터 > 디바이스 > 구성 프로필 > 프로필 만들기 > Windows 10 이상 > 템플릿 > 엔드포인트 보호

​

- 이름 설정

- Windows 암호화 설정 구성

​

• 디바이스 암호화: "필요"를 선택하면 BitLocker 디바이스 암호화가 사용하도록 설정됩니다. 디바이스 하드웨어 및 Windows 버전에 따라 최종 사용자에게 디바이스에 타사 암호화가 없음을 확인하는 메시지가 표시될 수 있습니다. 타사 암호화가 사용되는 동안 Windows 암호화를 켜면 디바이스가 불안정한 상태가 됩니다.
• 시작 시 추가 인증: "필요"를 선택하면 시스템 시작 시 TPM(신뢰할 수 있는 플랫폼 모듈) 사용 또는 시작 PIN 요구 사항 등 추가 인증 요구 사항을 구성할 수 있습니다.
• OS 드라이브 복구: 필요한 시작 키 정보가 없을 경우 BitLocker로 보호되는 OS 드라이브가 복구되는 방법을 제어합니다. "사용"을 선택하면 다양한 드라이브 복구 방법을 구성할 수 있습니다. "구성되지 않음"을 선택하면 DRA를 비롯한 기본 복구 옵션이 지원되며, 최종 사용자가 복구 옵션을 지정할 수 있고 복구 정보는 Azure Active Directory에 백업되지 않습니다
• Azure Active Directory에 BitLocker 복구 정보 저장: BitLocker 복구 정보가 Azure Active Directory에 저장되도록 설정합니다

- 적용 대상 지정

- 구성 프로필 생성 완료

​

2. BitLocker 정책 대상자 PC에서의 BitLocker 구성 과정

​

- 디바이스에 로그인 시 우측 하단 배너에서 "암호화 필요. 직장이나 학교에서 이 장치의 암호화를 의무화했습니다. 이 장치를 암호화하려면 알림을 선택하세요." 알림을 볼 수 있습니다.

- 해당 알림을 클릭합니다.

- 암호화 시작

이번 포스팅에서는 PIN 번호로 설정하였습니다.

복구 키 저장 위치를 선택할 수 있습니다.

​

BitLocker 관리에서는 아래 내용을 확인할 수 있었습니다.

암호화 완료

암호화된 드라이브에는 자물쇠 아이콘이 나타납니다.

Azure AD에 복구 키를 백업하였기에 [Azure AD 관리센터] > [디바이스]에서 해당 디바이스의 Bitlocker 복구 키 확인이 가능합니다.

​

3. Bitlocker 구성 후 동작

Bitlocker가 구성된 PC는 장치 부팅 시 자동으로 활성화 되어 장치를 부팅 할 때마다 PIN 입력을 요구합니다.

현재 Intune에서는 PIN 입력을 요구하는 주기를 별도로 설정할 수는 없는 것으로 보입니다.

잘못된 PIN을 입력하는 경우 아래와 같이 오류가 나타납니다.

정상적인 PIN 번호를 입력 해야만 액세스가 가능합니다.

​