Windows 디바이스를 안전하게 최신 상태로 유지하는 것은 모든 organization 가장 중요한 책임 중 하나입니다. Microsoft Intune Windows 업데이트 관리에 대한 클라우드 기반 접근 방식을 제공하여 사용자에게 제어, 예측 가능성 및 최소한의 중단을 제공합니다.
이 개요에서는 Intune Windows 업데이트를 관리하는 방법, 사용 가능한 정책 유형 및 이러한 부분이 전체 업데이트 전략에 어떻게 부합하는지 설명합니다.
Intune 사용하여 수행할 수 있는 작업
- 개별 패치를 관리하지 않고 디바이스에서 업데이트 설정을 구성합니다.
- 출시 타이밍을 제어하고 위험을 줄이기 위해 업데이트 링을 정의합니다.
- 보안 및 품질 업데이트를 적용하면서 준비가 될 때까지 디바이스가 새 기능 버전을 설치하지 못하도록 방지합니다.
Intune 업데이트 자체가 아닌 정책 할당만 저장합니다. 정책을 저장하면 Intune 구성 세부 정보를 Windows Autopatch로 보내 배포에 대해 승인된 업데이트를 결정합니다. 디바이스는 Windows 업데이트 직접 승인된 업데이트를 다운로드하여 Windows 업데이트 클라이언트 정책에 따라 해당 변경 내용을 설치하고 적용합니다.
Windows 업데이트 관리 기능
다음 정책 유형은 Intune Windows 업데이트를 관리하는 데 도움이 됩니다.
클라이언트 정책 Windows 업데이트
기본 업데이트 정책 CSP를 구성합니다. Intune 업데이트 링 및 설정 카탈로그를 통해 이러한 설정을 표시하므로 관리자는 디바이스 수준에서 세분화된 업데이트 동작을 유연하게 적용할 수 있습니다.
링 정책 업데이트
Windows 업데이트 클라이언트 정책을 디바이스 그룹에 적용합니다. 업데이트 링은 지연 기간, 기한, 다시 시작 동작 및 사용자 환경 설정을 제어하여 환경 전체에서 단계적 롤아웃을 사용하도록 설정합니다.
기능 업데이트 정책
디바이스를 특정 Windows 버전(예: Windows 11 24H2)으로 잠가줍니다. 이러한 정책은 디바이스가 대상 릴리스를 넘어 업그레이드되는 것을 방지하여 주요 OS 업그레이드에 대한 일관성과 제어를 보장합니다.
품질 업데이트 정책
보안 및 안정성에 대한 월별 누적 업데이트를 제공합니다. 지원:
- 핫패치: 적격 디바이스가 다시 부팅하지 않고 보안 패치를 수신하는지 제어합니다.
- 신속한 정책: 지연 설정을 재정의하여 중요한 보안 업데이트를 즉시 푸시합니다.
핫패치 보안 업데이트
다시 부팅하지 않고 적격 보안 패치를 제공하여 디바이스를 보다 빠르게 보호합니다. 재부팅 없는 업데이트는 월별 Windows 보안 업데이트가 제공되는 기본 방법입니다.
드라이버 업데이트 정책
Windows 업데이트 하드웨어 드라이버 업데이트 배달을 관리합니다. 드라이버 업데이트 정책은 드라이버가 설치되는 시기와 방법을 제어하여 디바이스 호환성과 안정성을 보장하는 데 도움이 될 수 있습니다.
Windows Autopatch
Windows 자동 패치는 Windows 디바이스에 배포하도록 승인된 Windows 업데이트 콘텐츠를 제어하여 최신 상태로 안전하게 유지합니다. 디바이스가 지정된 콘텐츠 형식에 대한 자동 패치 정책의 대상이 아닌 경우 Windows 업데이트 모든 최신 콘텐츠가 배포됩니다.
Microsoft Intune Windows 자동 패치를 활용하여 기능 업데이트, 품질 업데이트 및 드라이버 업데이트를 관리할 수 있습니다. 이러한 워크플로를 사용하도록 설정하려면 각 콘텐츠 형식에 대한 정책이 있습니다.
디바이스가 정책에 할당되면 해당 콘텐츠 유형에 대한 자동 패치에 등록되고 승인된 콘텐츠만 해당 디바이스에 배포됩니다. 관리자는 organization 가장 적합한 항목에 따라 자동으로 또는 수동으로 정책의 업데이트를 승인할 수 있습니다.
정책 외에도 Autopatch에서 제공하는 몇 가지 다른 강력한 Intune 기능이 있습니다.
- 자동 패치 그룹을 사용하면 동적 디바이스 그룹화, 점진적 업데이트 롤아웃, 다중 정책 만들기 및 편집 흐름이 가능합니다.
- 자동 패치 보고서는 업데이트 준비, 규정 준수 및 경고에 대한 심층적인 인사이트를 제공합니다.
- 적격 Windows 버전의 경우 최소한의 수동 구성으로 핫패치 및 신속한 업데이트와 같은 클라우드 기반 업데이트 시나리오도 사용할 수 있습니다.
다음 표에서는 정책과 함께 수동 자동 패치 구성을 사용하고 자동 패치 그룹을 사용할 때 업데이트 관리가 어떻게 다른지 비교합니다.
| 기능 | 자동 패치 정책을 사용하는 경우 | 자동 패치 그룹을 사용하는 경우 |
|---|---|---|
| 업데이트 조정 | 수동으로 Entra 그룹에 디바이스를 배포하여 업데이트 정책을 할당합니다. | 기본 설정에 따라 여러 Entra 그룹으로 디바이스 배포를 자동화합니다. 특정 그룹을 배포 시작 또는 끝에 고정합니다. |
| 링 정책 업데이트 | 지연, 마감일 및 다시 시작 동작을 제어하도록 Intune 업데이트 링 정책을 구성합니다. | 전체 릴리스에서 지연, 기한 및 다시 시작 동작의 전체 그림을 가져오도록 여러 업데이트 링을 동시에 구성합니다. 자동 패치 그룹에는 일반적인 사용 사례에 대한 권장 설정을 제공하는 선택적 사전 설정이 있습니다. |
| 기능 업데이트 정책 | 기능 업데이트 정책을 사용하여 OS 버전을 잠그거나 예약합니다. | 자동 패치 그룹의 모든 디바이스에 대한 최소 기능 업데이트 버전을 설정합니다. 업그레이드하려는 경우 점진적 기능 업데이트 출시를 예약합니다. |
| 품질 업데이트 정책 | 품질 업데이트 정책, 신속한 업데이트 및 핫패치 설정을 수동으로 구성합니다. | 품질 업데이트 정책, 신속한 업데이트 및 핫패치 설정을 수동으로 구성합니다. |
| 드라이버 업데이트 정책 | 드라이버 업데이트 정책을 사용하여 할당된 모든 디바이스에 대해 수동으로 또는 자동으로 드라이버를 검토하고 승인합니다. | 자동 패치 그룹의 모든 디바이스에 점진적 롤아웃을 시작하여 수동으로 또는 자동으로 드라이버를 검토하고 승인합니다. |
서비스 기본값
Windows 자동 패치를 사용하면 기본적으로 핫패치 보안 업데이트를 통해 디바이스를 더 빠르게 보호할 수 있습니다. 이 기본 동작은 Microsoft Intune 적합한 모든 디바이스에 적용됩니다. 다시 시작을 기다리지 않고 보안 수정을 적용하면 조직이 절반의 시간 안에 90%의 규정 준수를 얻을 수 있습니다.
언제든지 전체 테넌트 또는 품질 업데이트 정책을 사용하여 디바이스를 그룹화하기 위해 핫패치 보안 업데이트를 옵트아웃할 수 있습니다.
필수 구성 요소
각 정책 유형에는 각 설명서에 자세히 설명된 특정 필수 구성 요소가 있습니다. 일반적으로는 다음과 같습니다.
- 디바이스는 Intune 등록해야 합니다.
- 디바이스는 Microsoft Entra 조인되거나 하이브리드 조인되어야 합니다.
Microsoft Entra 등록된 디바이스는 기능 업데이트, 품질 업데이트 및 드라이버 업데이트를 포함하여 Windows Autopatch와 동일한 백 엔드 서비스를 사용하는 정책 유형에 대해 지원되지 않습니다.
Entra 등록된 디바이스의 경우 업데이트 관리는 Windows 업데이트 클라이언트 정책 및 업데이트 링 정책으로 제한됩니다. - 디바이스는 Microsoft 업데이트 엔드포인트에 액세스할 수 있어야 합니다.
기능 업데이트 정책, 품질 업데이트 정책 및 드라이버 업데이트 정책은 Windows Autopatch에 의해 오케스트레이션됩니다. 필수 구성 요소는 다음 세 가지 정책 유형에서 동일합니다.
라이선스: 자동 패치 자격이 포함된 Windows 라이선스입니다.
Windows Autopatch가 필요한 기능에 대한 새 정책을 만들 때 차단되고 ea(기업계약)를 통해 Windows 업데이트 클라이언트 정책을 사용할 수 있는 라이선스를 받는 경우 Microsoft 계정 팀 또는 라이선스를 판매한 파트너와 같은 라이선스 원본에 문의하세요. 계정 팀 또는 파트너는 테넌트의 라이선스가 Windows 자동 패치 라이선스 요구 사항을 충족하는지 확인할 수 있습니다. 기존 EA를 사용하여 구독 활성화 사용을 참조하세요.
중요
Windows Autopatch 기능에 대한 GCC 및 GCC High/DoD 클라우드 환경에는 기존 EA를 사용하여 구독 활성화를 사용하도록 설정할 수 없습니다.
원격 분석: 진단 데이터가 필수 수준으로 설정 됩니다 .
서비스: Microsoft 계정 Sign-In 도우미를 사용하도록 설정했습니다.
서비스가 차단되거나 사용 안 함으로 설정된 경우에는 업데이트를 수신하지 못합니다. 자세한 내용은 기능 업데이트가 제공되지 않지만 기타 업데이트는 제공을 참조하세요. 기본적으로 서비스는 수동(트리거 시작)으로 설정되며 필요에 따라 실행할 수 있습니다.