이벤트
11월 19일 오후 11시 - 1월 10일 오후 11시
Ignite Edition - Microsoft 보안 제품에서 기술을 구축하고 1월 10일까지 디지털 배지를 획득하세요!
지금 등록이 표에서는 패치 운영 체제와 관련된 ISM 컨트롤에 대해 간략하게 설명합니다.
ISM 컨트롤 2024년 9월 | 완성도 수준 | 제어 | 측정 |
---|---|---|---|
ISM-1694 | 1, 2, 3 | 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제에서 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 2주 이내에 적용됩니다. | 비즈니스용 Windows 업데이트 및 정의된 업데이트 링을 사용하여 패치는 2주 릴리스와 함께 설치됩니다. |
ISM-1695 | 1, 2 | 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 인터넷 연결이 아닌 네트워크 디바이스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 릴리스 후 1개월 이내에 적용됩니다. | IT 관리자는 Microsoft Configuration Manager 원하는 날짜의 최종 기한 구성으로 업데이트를 배포합니다. |
ISM-1696 | 3 | 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 비 인터넷 연결 네트워크 디바이스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체가 취약성을 중요하게 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. | IT 관리자는 Microsoft Configuration Manager 가능한 한 빨리 최종 기한 구성으로 업데이트를 배포합니다. |
ISM-1701 | 1, 2, 3 | 취약성 스캐너는 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제에서 누락된 패치 또는 업데이트가 누락된 것을 식별하기 위해 적어도 매일 사용됩니다. | 엔드포인트용 Defender에 온보딩된 디바이스. Microsoft Defender 취약성 관리 organization 디바이스에서 위험을 지속적으로 모니터링하고 감지합니다. |
ISM-1702 | 1, 2, 3 | 취약성 스캐너는 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 인터넷 연결이 아닌 네트워크 디바이스의 운영 체제에서 누락된 패치 또는 업데이트를 식별하기 위해 적어도 요새에 사용됩니다. | IT 관리자는 14일마다 한 번 이상 시스템에서 누락된 패치에 대한 검사를 실행하도록 Configuration Manager 소프트웨어 업데이트 기능을 구성합니다. |
ISM-1877 | 1, 2, 3 | 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성을 중요로 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. | 비즈니스용 Windows 업데이트 신속한 패치 배포 방법을 사용하여 패치는 48시간 이내에 설치됩니다. |
ISM-1501 | 1, 2, 3 | 공급업체에서 더 이상 지원하지 않는 운영 체제가 대체됩니다. | 정의된 링을 사용하여 WUfB는 디바이스를 최신 기능 업데이트로 자동으로 업데이트합니다. |
ISM-1879 | 3 | 드라이버의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성을 중요로 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. | 정의된 링을 사용하여 WUfB는 디바이스를 최신 기능 업데이트로 자동으로 업데이트합니다. |
ISM-1900 | 3 | 취약성 스캐너는 적어도 펌웨어의 취약성에 대한 누락된 패치 또는 업데이트를 식별하는 데 사용됩니다. | 디바이스는 엔드포인트용 Defender에 온보딩됩니다. Microsoft Defender 취약성 관리 organization 디바이스에서 위험을 지속적으로 모니터링하고 감지합니다. |
ISM-1902 | 3 | 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 비 인터넷 연결 네트워크 디바이스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 비범죄로 평가되고 작업 악용이 없는 경우 릴리스 후 1개월 이내에 적용됩니다. | IT 관리자는 14일마다 한 번 이상 시스템에서 누락된 패치에 대한 검사를 실행하도록 Configuration Manager 소프트웨어 업데이트 기능을 구성합니다. |
ISM-1903 | 3 | 펌웨어의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성이 위험으로 평가되거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. | Intune 드라이버 및 펌웨어 배포 방법은 최신 보안 드라이버 및 펌웨어 버전을 배포합니다. |
ISM-1904 | 3 | 펌웨어의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 1개월 이내에 적용됩니다. | Intune 드라이버 및 펌웨어 배포 방법은 최신 보안 드라이버 및 펌웨어 버전을 배포하는 데 사용됩니다. |
ISM-1697 | 3 | 드라이버의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 1개월 이내에 적용됩니다. | Intune 드라이버 및 펌웨어 배포 방법은 드라이버 및 펌웨어의 취약성 패치를 사용합니다. |
ISM-1703 | 3 | 취약성 스캐너는 최소한 드라이버의 취약성에 대한 누락된 패치 또는 업데이트를 식별하는 데 사용됩니다. | 디바이스는 엔드포인트용 Defender에 온보딩됩니다. Microsoft Defender 취약성 관리 organization 디바이스에서 위험을 지속적으로 모니터링하고 감지합니다. |
ISM-17041 | 1, 2, 3 | Office 생산성 제품군, 웹 브라우저 및 해당 확장, 전자 메일 클라이언트, PDF 소프트웨어, Adobe Flash Player 및 공급업체에서 더 이상 지원하지 않는 보안 제품이 제거됩니다. | Intune 애플리케이션 배포 방법은 지원되지 않는 애플리케이션 및 확장2를 제거하는 데 사용됩니다. |
ISM-18071 | 1, 2, 3 | 자동화된 자산 검색 방법은 후속 취약성 검사 활동에 대한 자산 검색을 지원하기 위해 적어도 요새에 사용됩니다. | 스캐너를 사용하여 자산 검색을 수행하고 자산 인벤토리2를 유지 관리합니다. |
ISM-18081 | 1, 2, 3 | 최신 취약성 데이터베이스가 있는 취약성 스캐너는 취약성 검사 작업에 사용됩니다. | DVM의 취약성 데이터베이스는 Microsoft 및 다른 사용자가 네트워크2에 설치된 소프트웨어의 취약성을 발견함에 따라 지속적으로 업데이트됩니다. |
참고
1 이러한 컨트롤은 Essential 8 내에서 패치 애플리케이션 및 패치 OS를 모두 다룹니다.
2 이러한 컨트롤을 구현하는 방법에 대한 자세한 내용은 애플리케이션 패치 섹션을 참조하세요.
WUfB(비즈니스용 Windows 업데이트)를 사용하면 IT 관리자가 이러한 엔드포인트를 Windows 업데이트 직접 연결하여 최신 보안 및 품질 업데이트 및 Windows 기능으로 organization Windows 디바이스를 최신 상태로 유지할 수 있습니다. IT 관리자는 Microsoft Intune WUfB 간의 통합을 사용하여 디바이스에서 업데이트 설정을 구성하고 업데이트 설치 지연을 구성할 수 있습니다.
비즈니스용 Windows 업데이트 다음과 같은 여러 유형의 업데이트에 대한 관리 정책을 제공합니다.
WUfB에는 링의 개념이 있습니다. 링은 특정 디바이스 그룹을 대상으로 하는 WUfB 설정 및 정책의 컬렉션입니다. 대부분의 조직은 Microsoft 엔드포인트 Configuration Manager 같은 다른 패치 도구에서 이전에 사용한 것보다 적은 링에 정착했지만 조직에서 필요한 만큼 링을 사용할 수 있습니다. 시작하는 권장 링 수는 3~5개 링입니다.
WUfB는 관리자가 익숙하지 않을 수 있는 몇 가지 새로운 개념과 용어를 소개합니다.
최종 기한 값 | 유예 기간 값 | 강제 업데이트 설치 시간 | 강제 재부팅 |
---|---|---|---|
0 | 0 | 검색 직후 | 설치 직후 |
2 | 2 | 검색 후 2일 | 업데이트 설치 후 2일 |
다음은 총 5개의 링이 있는 샘플 WUfB 링 구성입니다. 각 링에 대해 권장되는 지연, 기한 및 유예 기간이 나열됩니다. 참조가 용이하기 위해 각 링에 대한 전체 구성 이 제공되었습니다.
조직은 전용 테스트 디바이스로 구성된 '링 0'을 구성해야 합니다.
이러한 디바이스는 지연 없이 업데이트를 받습니다. 관리자는 이러한 디바이스를 최신 업데이트와 함께 사용하여 중요한 애플리케이션 및 기능에 대한 초기 유효성 검사를 수행할 수 있습니다.
품질 업데이트 지연 | 기능 업데이트 지연 | 최종 기한 값 | 유예 기간 값 | 강제 품질 업데이트 설치 시간 | 강제 재부팅 |
---|---|---|---|---|---|
0 | 0 | 0 | 0 | 릴리스 및 검색 직후 | 강제 업데이트 설치 직후 |
이 링에 대한 전체 구성은 비즈니스용 Windows 업데이트 링 구성을 참조하세요.
IT 직원과 선택한 얼리 어답터는 링 1로 구성되며, 일반적으로 전체 관리 디바이스의 약 1%입니다.
링 0을 사용한 초기 테스트 외에도 이 링은 확장된 수의 디바이스가 업데이트를 받기 전에 문제를 파악하기 위해 일상적인 작업을 수행하는 사용자의 첫 번째 테스트 줄을 제공합니다.
품질 업데이트 지연 | 기능 업데이트 지연 | 최종 기한 값 | 유예 기간 값 | 강제 품질 업데이트 설치 시간 | 강제 재부팅 |
---|---|---|---|---|---|
2 | 10 | 2 | 2 | 품질 업데이트 릴리스 및 검색 후 4일 | 강제 업데이트 설치 후 2일 |
이 링에 대한 전체 구성은 비즈니스용 Windows 업데이트 링 구성을 참조하세요.
참고
이 링에서 발생하는 문제를 해결하고 문제를 resolve 데 사용할 권한 있는 액세스 워크스테이션을 제외합니다. 브로드 링은 이러한 장치에 적합한 링이 될 것입니다.
조직 엔드포인트의 9%로 구성된 임의 구색을 링 2에 추가해야 합니다.
이러한 디바이스는 릴리스 후 4일 후에 업데이트를 받도록 구성되므로 organization 나머지 부분에 광범위하게 배포하기 전에 사용자 수가 증가하여 더 많은 테스트를 수행할 수 있습니다.
품질 업데이트 지연 | 기능 업데이트 지연 | 최종 기한 값 | 유예 기간 값 | 강제 품질 업데이트 설치 시간 | 강제 재부팅 |
---|---|---|---|---|---|
4 | 30 | 2 | 2 | 품질 업데이트 릴리스 및 검색 후 6일 | 강제 업데이트 설치 후 2일 |
이 링에 대한 전체 구성은 비즈니스용 Windows 업데이트 링 구성을 참조하세요.
나머지 모든 디바이스는 링 3의 일부로 구성해야 합니다.
이 단계를 통해 조직은 디바이스에 업데이트를 광범위하게 설치할 수 있다는 확신을 갖게 됩니다. 링 3은 업데이트가 자동으로 설치되기 전에 릴리스로부터 7일 지연되도록 구성합니다.
품질 업데이트 지연 | 기능 업데이트 지연 | 최종 기한 값 | 유예 기간 값 | 강제 품질 업데이트 설치 시간 | 강제 재부팅 |
---|---|---|---|---|---|
7 | 60 | 2 | 2 | 품질 업데이트 릴리스 및 검색 후 9일 | 강제 업데이트 설치 후 2일 |
이 링에 대한 전체 구성은 비즈니스용 Windows 업데이트 링 구성을 참조하세요.
일부 조직에는 소수의 중요한 디바이스(예: 임원이 사용하는 디바이스)가 있습니다.
이러한 유형의 디바이스의 경우 조직은 잠재적인 중단을 최소화하기 위해 품질 및 기능 업데이트 설치를 추가로 연기할 수 있습니다. 이러한 디바이스는 특히 이러한 중요한 디바이스의 경우 링 4의 일부가 될 것입니다.
품질 업데이트 지연 | 기능 업데이트 지연 | 유예기간 값 | 최종 기한 값 | 설치 시간 업데이트 | 강제 재부팅 |
---|---|---|---|---|---|
10 | 90 | 2 | 2 | 품질 업데이트 릴리스 및 검색 후 12일 | 강제 업데이트 설치 후 2일 |
이 링에 대한 전체 구성은 부록의 Windows 업데이트 비즈니스 링 구성을 참조하세요.
ISM 컨트롤 2024년 9월 | 완성도 수준 | 제어 | 측정 |
---|---|---|---|
1694 | 1, 2, 3 | 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제에서 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 2주 이내에 적용됩니다. | 비즈니스용 Windows 업데이트 및 정의된 업데이트 링을 사용하여 패치는 2주 릴리스와 함께 설치됩니다. |
1501 | 1, 2, 3 | 공급업체에서 더 이상 지원하지 않는 운영 체제가 대체됩니다. | 정의된 링을 사용하여 WUfB는 디바이스를 최신 기능 업데이트로 자동으로 업데이트합니다. |
Intune 품질 업데이트를 신속하게 처리하여 최신 패치 화요일 릴리스 또는 제로 데이 결함에 대한 대역 외 보안 업데이트와 같은 품질 업데이트 설치 속도를 높일 수 있는 기능을 제공합니다. 신속한 설치를 위해 신속한 업데이트는 WNS(Windows 푸시 알림 서비스) 및 푸시 알림 채널과 같은 사용 가능한 서비스를 사용하여 설치할 신속한 업데이트가 있다는 메시지를 디바이스에 전달합니다. 이 프로세스를 통해 디바이스는 업데이트를 위해 디바이스가 검사 때까지 기다리지 않고도 가능한 한 빨리 신속한 업데이트의 다운로드 및 설치를 시작할 수 있습니다.
품질 업데이트를 신속하게 수행하려면 다음을 수행합니다.
참고
다시 시작이 적용되기 전에 대기할 일 수가 0으로 설정되면 업데이트를 받으면 디바이스가 즉시 다시 시작됩니다. 사용자는 다시 부팅을 지연하는 옵션을 받지 못합니다.
ISM 컨트롤 2024년 9월 | 완성도 수준 | 제어 | 측정 |
---|---|---|---|
1877 | 1, 2, 3 | 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성을 중요로 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. | 비즈니스용 Windows 업데이트 신속한 패치 배포 방법을 사용하여 패치는 48시간 이내에 설치됩니다. |
1879 | 3 | 드라이버의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성을 중요로 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. | 정의된 링을 사용하여 WUfB는 디바이스를 최신 기능 업데이트로 자동으로 업데이트합니다. |
참고
일반적으로 패치가 모든 디바이스에 성공적으로 배포되었음을 확인하거나 다음 달 업데이트로 대체되는 신속한 품질 업데이트 정책을 제거하는 것이 좋습니다.
배달 최적화는 클라이언트가 기존 인터넷 기반 서버 외에도 대체 원본(예: 네트워크의 다른 피어)에서 업데이트를 다운로드할 수 있도록 하는 클라우드 관리형 솔루션입니다. Intune 통해 구성된 경우 업데이트 이진 파일을 다운로드할 때 인터넷 대역폭 사용량을 줄이기 위해 Windows 디바이스에 대한 배달 최적화 설정을 구성할 수 있습니다.
Microsoft Intune Windows 드라이버 업데이트 관리를 사용하면 관리되는 Windows 10 및 Windows 11 디바이스에서 드라이버 업데이트의 롤아웃을 감독하고, 배포 권한을 부여하고, 일시적으로 중지할 수 있습니다. Intune WUfB(비즈니스용 Windows 업데이트) DS(배포 서비스)와 함께 드라이버 업데이트 정책에 따라 디바이스에 대한 관련 드라이버 업데이트를 식별하는 복잡한 프로세스를 처리합니다. 이러한 업데이트는 Intune 및 WUfB-DS로 분류되어 모든 디바이스에 적합한 권장 업데이트와 특정 요구 사항에 맞게 조정된 선택적 업데이트를 구분하는 프로세스를 간소화합니다. Windows 드라이버 업데이트 정책을 통해 디바이스에 드라이버 업데이트 설치를 완전히 제어할 수 있습니다.
수행할 수 있는 작업은 다음과 같습니다.
드라이버 정책 업데이트 정책을 만들 때 IT 관리자는 자동 업데이트와 수동 업데이트 중에서 선택할 수 있습니다.
정책이 만들어지면 디바이스에서 약 하루 정도에 대한 업데이트를 검색하도록 합니다. 검토할 드라이버 열에는 수동 승인을 위해 검토할 준비가 된 새 권장 드라이버 업데이트 수가 포함됩니다. 자동 정책에서는 권장 드라이버가 자동으로 승인되므로 검토할 드라이버는 0으로 유지됩니다. 이는 새로운 드라이버가 발견되었으며 해당 드라이버 배포를 승인할지 거부할지 여부를 결정하기를 기다리고 있다는 좋은 지표입니다.
IT 관리자가 드라이버를 승인하면 나중에 승인 날짜를 추가로 제공할 수 있습니다. 드라이버가 승인되면 Intune 관리되는 Windows 디바이스는 일반적으로 8시간마다 다음 정책 동기화 주기로 수신됩니다.
ISM 컨트롤 2024년 9월 | 완성도 수준 | 제어 | 측정 |
---|---|---|---|
ISM-1697 | 3 | 드라이버의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 1개월 이내에 적용됩니다. | Intune 드라이버 및 펌웨어 배포 방법은 취약성을 완화하는 최신 버전의 드라이버를 승인하고 배포하는 데 사용됩니다. |
ISM-1903 | 3 | 펌웨어의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성이 위험으로 평가되거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. | IT 관리자는 공급업체에서 펌웨어 취약성이 위험으로 평가될 때 Intune 콘솔에서 최신 버전의 펌웨어를 승인합니다. |
ISM-1904 | 3 | 펌웨어의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 1개월 이내에 적용됩니다. | Intune 드라이버 및 펌웨어 배포 방법은 최신 보안 드라이버 및 펌웨어 버전을 배포합니다. |
참고
업데이트 규정 준수는 2023년 3월부터 더 이상 사용되지 않습니다.
업데이트 준수를 사용하면 Windows 10 또는 Windows 11 Professional, Education 및 Enterprise 버전에 대한 품질 및 기능 업데이트를 모니터링할 수 있습니다. 업데이트 준수는 Windows 클라이언트 진단 데이터를 수집하여 Windows 디바이스의 업데이트 상태 Log Analytics 작업 영역에 보고합니다. 업데이트 준수는 서비스에 온보딩된 모든 디바이스에 대한 정보를 표시하여 최신 상태인지 여부를 확인하는 데 도움이 됩니다.
업데이트 준수를 위한 Log Analytics 작업 영역을 프로비전하기 위한 필수 구성 요소에 대한 자세한 내용은 업데이트 준수 시작 - Windows 배포를 참조하세요.
통합 진단 데이터는 업데이트 준수에서 쉽게 사용할 수 있는 다양한 보고 섹션에 제공됩니다. 수집된 데이터는 업데이트 준수 내에서 28일 동안 저장됩니다.
이 섹션에서는 업데이트 준수에서 검색된 모든 Windows 클라이언트 디바이스 및 업데이트 문제에 대한 분석을 제공합니다. 이 섹션의 요약 타일은 문제가 있는 디바이스 수를 계산하는 반면 섹션 내의 블레이드는 지원되지 않는 운영 체제 버전이 있는 디바이스 및 누락된 보안 업데이트와 같이 발생한 문제를 분석합니다. 이러한 보고서에 표시되는 디바이스는 관리자의 수정이 필요합니다. 값을 제공하지만 다시 부팅 보류 중인 디바이스, 구성 일시 중지 등과 같은 다른 기본 섹션에 맞지 않는 미리 정의된 쿼리 목록도 있습니다.
이 섹션에서는 디바이스가 실행 중인 Windows 버전에 대해 릴리스된 최신 보안 업데이트에 있는 디바이스의 백분율을 나열합니다. 이 섹션을 선택하면 모든 디바이스에서 보안 업데이트의 전체 상태 요약하고 최신 두 보안 업데이트에 대한 배포 진행 상황을 요약하는 블레이드가 제공됩니다.
이 섹션에서는 지정된 디바이스에 적용할 수 있는 최신 기능 업데이트에 있는 디바이스의 백분율을 나열합니다. 이 섹션을 선택하면 모든 디바이스에서 전체 기능 업데이트 상태 요약하는 블레이드와 사용자 환경의 다양한 버전의 Windows 클라이언트에 대한 배포 상태 요약이 제공됩니다.
이 섹션에서는 사용자 환경에서 배달 최적화를 활용하여 발생하는 대역폭 절감을 요약합니다. 디바이스 간에 배달 최적화 구성을 분석하고 여러 콘텐츠 형식의 대역폭 절감 및 사용률을 요약합니다.
소프트웨어 업데이트 관리 프로세스의 가장 비싼 측면 중 하나는 디바이스(물리적 및 가상)가 항상 정상 상태인지 확인하여 각 소프트웨어 업데이트 릴리스 주기에 대한 소프트웨어 업데이트를 수신하고 보고하는 것입니다. 진행 중인 변경 관리 프로세스에 문제가 발생할 때 측정하고, 신속하게 감지하고, 수정하는 방법이 중요합니다. 높은 기술 지원팀 티켓 볼륨을 완화하고, 비용을 절감하고, 전반적인 업데이트 관리 결과를 개선하는 데 도움이 됩니다.
Windows 자동 패치는 Windows용 패치, 엔터프라이즈용 Microsoft 365 앱, Microsoft Edge, Microsoft Teams, Surface 드라이버/펌웨어, Windows 업데이트 스토어, Windows 365 및 ORGANIZATION AVD(Azure Virtual Desktop)에서 필수로 표시된 게시된 드라이버/펌웨어를 자동화하는 클라우드 서비스입니다. Windows Autopatch는 Windows 업데이트 배포할 때 문제를 완화하기 위해 organization 추가 계층을 제공합니다. Windows 자동 패치 배포 링은 디바이스 수준에서 분리됩니다. 즉, Windows 자동 패치 디바이스 등록 프로세스 중에 테스트, 첫 번째, 빠른 또는 Broad 배포 링 중 하나에 디바이스를 할당합니다.
Windows 자동 패치는 Windows 10/11 Enterprise E3 이상에 포함되어 있습니다. 출시의 일부로 간주되어야 하는 일부 네트워크 구성을 포함하여 자동 패치를 사용하기 위한 추가 필수 구성 요소가 있습니다.
준비 평가 도구는 Microsoft Intune 및 Microsoft Entra ID 설정을 확인하여 테넌트 등록의 일부로 Windows Autopatch에서 작동하는지 확인합니다.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다.
준비 평가를 사용하도록 설정하려면 다음을 수행합니다.
준비 평가 도구는 Intune 설정을 확인하여 Windows 10 이상 및 최소 관리자 요구 사항 및 허가되지 않은 관리자에 대한 배포 링을 확인합니다. 또한 공동 관리 및 라이선스를 포함하여 Microsoft Entra 설정을 확인합니다.
준비 평가 도구는 보고서를 제공하고 해결해야 하는 문제와 준비 상태로 전환 하기 위해 수행해야 하는 단계를 조언합니다. 문제가 해결되면 다음 단계로 이동할 수 있습니다.
이 단계의 목적은 Windows Autopatch Service Engineering 팀이 향후 지원 요청과 관련하여 organization 관리자에게 문의하고 등록 프로세스 중에 설정된 최소 관리자 집합을 확장할 수 있도록 organization 각 초점 영역에 대한 관리자가 있는지 확인하는 것입니다.
포커스 영역 | 설명 |
---|---|
디바이스 | 장치 등록 |
장치 상태 | |
업데이트 | Windows 품질 업데이트 |
Microsoft Office 365 ProPlus 업데이트 | |
Microsoft Edge 업데이트 | |
Microsoft Teams 업데이트 |
관리자 연락처를 추가하려면 다음 단계를 완료합니다.
참고
관리자는 특히 소규모 조직에서 여러 포커스 영역을 가질 수 있습니다.
Windows 자동 패치 디바이스 등록 프로세스는 최종 사용자에게 투명합니다.
Windows 자동 패치는 사용자를 대신하여 업데이트 배포를 관리하기 위해 기존 디바이스를 서비스에 등록해야 합니다. 디바이스 등록을 수행하려면 다음을 수행합니다.
Microsoft Entra 디바이스 ID를 포함하는 모든 디바이스(물리적 또는 가상)는 Windows 자동 패치 디바이스 등록 Microsoft Entra 그룹에 추가할 수 있습니다. 이는 직접 멤버 자격을 통해 또는 이 그룹에 중첩된 다른 Microsoft Entra 그룹(동적 또는 할당됨)의 일부가 되므로 Windows Autopatch에 등록할 수 있습니다. 유일한 예외는 Windows 365 프로비저닝 정책에서 이러한 가상 디바이스를 Windows Autopatch에 등록해야 하므로 클라우드 PC를 Windows 365.
Windows 365 Enterprise IT 관리자에게 Windows 365 프로비저닝 정책 만들기의 일부로 Windows Autopatch 서비스에 디바이스를 등록할 수 있는 옵션을 제공합니다. 이 옵션은 관리자와 사용자가 클라우드 PC를 항상 최신 상태로 유지할 수 있는 원활한 환경을 제공합니다. IT 관리자가 Windows Autopatch를 사용하여 Windows 365 클라우드 PC를 관리하기로 결정하면 Windows 365 프로비전 정책 생성 프로세스는 Windows Autopatch 디바이스 등록 API를 호출하여 IT 관리자를 대신하여 디바이스를 등록합니다. Windows 365 프로비저닝 정책에서 Windows Autopatch에 새 Windows 365 클라우드 PC 디바이스를 등록하려면 다음을 수행합니다.
이제 새로 프로비전된 Windows 365 Enterprise 클라우드 PC가 자동으로 등록되고 Windows Autopatch에서 관리됩니다.
Windows 자동 패치는 Azure Virtual Desktop에 사용할 수 있습니다. 엔터프라이즈 관리자는 물리적 머신에 따라 기존 디바이스 등록 프로세스를 사용하여 Windows Autopatch에서 관리하도록 Azure Virtual Desktop 워크로드를 프로비전할 수 있습니다. Windows Autopatch는 물리적 디바이스와 동일한 scope 가상 머신과 동일한 서비스 scope 제공합니다. 그러나 Windows Autopatch는 달리 지정하지 않는 한 Azure 지원 Azure Virtual Desktop 특정 지원을 연기합니다.
Autopatch는 Autopatch에 등록된 모든 디바이스의 현재 상태 및 기록(경도) 보고(최대 90일)에 대한 요약 dashboard 및 다양한 보고서를 제공하며, 필요한 경우 CSV 파일로 내보낼 수 있습니다. 등록된 모든 디바이스에 대한 현재 업데이트 상태 보려면 다음을 수행합니다.
모든 디바이스 보고서에는 다음이 포함됩니다.
정보 | 설명 |
---|---|
장치 이름 | 서버의 이름입니다. |
디바이스 ID Microsoft Entra | 디바이스에 대한 현재 Microsoft Entra ID 기록된 디바이스 ID입니다. |
일련 번호 | 디바이스의 현재 Intune 기록된 일련 번호입니다. |
배포 링 | 디바이스에 대해 현재 할당된 Windows 자동 패치 배포 링입니다. |
업데이트 상태 | 디바이스에 대한 현재 업데이트 상태 |
하위 상태 업데이트 | 디바이스에 대한 현재 업데이트 하위 상태 |
OS 버전 | 디바이스에 설치된 현재 버전의 Windows입니다. |
OS 수정 버전 | 디바이스에 설치된 Windows의 현재 수정 버전입니다. |
마지막 검사 시간 Intune | 디바이스가 Intune 마지막으로 체크 인한 시간입니다. |
ISM 컨트롤 2024년 9월 | 완성도 수준 | 제어 | 측정 |
---|---|---|---|
1694 | 1, 2, 3 | 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제에서 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 2주 이내에 적용됩니다. | Windows Autopatch에 등록된 디바이스의 경우 업데이트는 2주 이내에 설치됩니다. |
1877 | 1, 2, 3 | 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성을 중요로 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. | 자동 일치 그룹은 organization 필요한 경우 48시간 이내에 마감일을 유연하게 가져올 수 있도록 합니다. |
1879 | 3 | 드라이버의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성을 중요로 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. | 자동 일치 그룹은 organization 필요한 경우 48시간 이내에 마감일을 유연하게 가져올 수 있도록 합니다. |
DVM(Microsoft Defender 취약성 관리)은 Windows, macOS, Linux, Android, iOS 및 네트워크 디바이스에 대한 자산 가시성, 지능형 평가 및 기본 제공 수정 도구를 제공합니다.
필수 조건으로 엔드포인트는 엔드포인트용 Microsoft Defender 위해 온보딩되어야 합니다. DVM을 사용하기 위한 다른 추가 필수 구성 요소가 있습니다 . 온보딩되면 DVM은 취약성이 개별 디바이스에 적용되는지 평가하고 권장 조치를 제공할 수 있습니다.
디바이스가 엔드포인트용 Defender에 온보딩되면 DVM은 디바이스가 취약성에 잠재적으로 노출될 수 있는지 확인하고 식별된 각 약점에 대한 보안 권장 사항을 제공할 수 있습니다.
취약성 관리 > 인벤토리 아래의 Microsoft 보안 포털에서 엔드포인트용 Defender에 온보딩된 엔드포인트에서 식별된 소프트웨어 제품(공급업체 이름, 발견된 약점, 관련 위협 및 노출된 디바이스 포함)이 표시됩니다.
디바이스 인벤토리 페이지로 이동하여 특정 디바이스에서 소프트웨어 인벤토리를 확인할 수도 있습니다. 디바이스의 이름을 선택하여 디바이스 페이지(예: Computer1)를 연 다음 소프트웨어 인벤토리 탭을 선택하여 디바이스에 있는 알려진 모든 소프트웨어 목록을 확인합니다. 특정 소프트웨어 항목을 선택하여 추가 정보가 포함된 플라이아웃을 엽니다.
특정 소프트웨어 페이지를 열면 다음 스크린샷과 같이 애플리케이션에 대한 자세한 정보가 제공됩니다. 표시되는 세부 정보는 다음과 같습니다.
DVM 기능은 수정 요청 워크플로를 통해 보안 관리자와 IT 관리자 간의 격차를 해소하도록 설계되었습니다. DVM 수정 작업은 네이티브 통합을 사용하여 Intune 수정 작업을 생성할 수 있습니다. 또한 DVM API를 사용하여 필요한 경우 타사 도구를 사용하여 수정 프로세스 및 작업을 오케스트레이션할 수 있습니다. 다음 단계에서는 DVM 및 Intune 사용하는 수정 워크플로에 대해 설명합니다.
이 기능을 사용하려면 Microsoft Intune 연결을 사용하도록 설정합니다.
참고
DVM에서 수정 요청을 만들 때 해당 Intune 보안 작업을 만들려면 Microsoft Intune 연결을 사용하도록 설정해야 합니다. 연결이 활성화되지 않은 경우 Intune 보안 작업을 만드는 옵션이 표시되지 않습니다.
수정 요청을 제출하면 DVM 내에 수정 작업 항목이 생성되며, 이 항목은 수정 진행률을 모니터링하는 데 사용할 수 있습니다. 관리자가 보안 권장 사항 페이지에서 수정 요청을 제출하면 수정 페이지에서 추적할 수 있는 보안 작업이 생성되고 수정 티켓이 Microsoft Intune 만들어집니다. 이렇게 하면 수정이 트리거되거나 디바이스에 변경 내용이 적용되지 않습니다.
다음 이미지는 Intune 만든 보안 작업을 보여줍니다.
그런 다음 Intune 관리자는 제공된 지침에 따라 작업을 수정합니다. 지침은 필요한 수정 유형에 따라 달라집니다. 사용 가능한 경우 수정 지침에는 Intune에서 구성 관련 창을 여는 링크가 포함됩니다.
DVM에 대한 추가 정보는 패치 애플리케이션 섹션에서 찾을 수 있습니다.
ISM 컨트롤 2024년 9월 | 완성도 수준 | 제어 | 측정 |
---|---|---|---|
1701 | 1, 2, 3 | 취약성 스캐너는 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제에서 누락된 패치 또는 업데이트가 누락된 것을 식별하기 위해 적어도 매일 사용됩니다. | 디바이스는 엔드포인트용 Defender에 온보딩됩니다. Microsoft Defender 취약성 관리 organization 디바이스에서 위험을 지속적으로 모니터링하고 감지합니다. |
1703 | 3 | 취약성 스캐너는 최소한 드라이버의 취약성에 대한 누락된 패치 또는 업데이트를 식별하는 데 사용됩니다. | 디바이스는 엔드포인트용 Defender에 온보딩됩니다. Microsoft Defender 취약성 관리 organization 디바이스에서 위험을 지속적으로 모니터링하고 감지합니다. |
1900 | 3 | 취약성 스캐너는 적어도 펌웨어의 취약성에 대한 누락된 패치 또는 업데이트를 식별하는 데 사용됩니다. | 디바이스는 엔드포인트용 Defender에 온보딩됩니다. Microsoft Defender 취약성 관리 organization 디바이스에서 위험을 지속적으로 모니터링하고 감지합니다. |
Intune 규정 준수 정책은 디바이스가 하나 이상의 구성된 요구 사항을 충족할 수 있는지 여부에 따라 디바이스가 규정을 준수하는지 또는 비준수인지를 확인하는 기능을 제공합니다. 디바이스의 이 준수 상태는 조건부 액세스로 보호되는 회사 리소스에 액세스하여 리소스에 대한 액세스를 허용하거나 거부할 때 평가됩니다.
Intune 디바이스의 현재 운영 체제 버전에 따라 디바이스가 규정을 준수하는지 또는 비준수인지 확인할 수 있습니다. 조건부 액세스에서 디바이스 준수 권한 부여 제어를 사용하면 사용자는 최소 운영 체제 버전을 충족하거나 초과하는 디바이스에서만 회사 리소스에 액세스할 수 있습니다.
운영 체제 값을 기반으로 디바이스를 평가하는 일반적인 규정 준수 정책이 제공되었습니다.
참고
Windows 11 및 Windows 10 모두에 대해 최소 OS 버전에 제공된 값은 시간이 지남에 따라 증가해야 합니다.
ISM 컨트롤 2024년 9월 | 완성도 수준 | 제어 | 측정 |
---|---|---|---|
1407 | 3 | 운영 체제의 최신 릴리스 또는 이전 릴리스가 사용됩니다. | 할당된 준수 정책에 정의된 OS 버전을 충족하지 않는 디바이스를 사용하는 사용자는 조건부 액세스와 함께 사용하는 경우 회사 리소스에 액세스할 수 없습니다. |
Microsoft는 Microsoft Intune 및 Azure 업데이트 관리자 같은 클라우드 서비스를 사용하여 시스템의 OS 버전을 유지하고 취약성을 패치할 것을 제안합니다.
그러나 오프라인 상태인 시스템 및 서버의 경우 Microsoft는 Microsoft Configuration Manager 패치 관리 기능을 사용하는 것이 좋습니다. 자세한 내용은 Microsoft Configuration Manager 참조하세요.
ISM 컨트롤 2024년 9월 | 완성도 수준 | 제어 | 측정 |
---|---|---|---|
ISM-1695 | 1, 2 | 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 인터넷 연결이 아닌 네트워크 디바이스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 릴리스 후 1개월 이내에 적용됩니다. | IT 관리자는 Microsoft Configuration Manager 원하는 날짜의 최종 기한 구성으로 업데이트를 배포합니다. |
ISM-1696 | 3 | 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 비 인터넷 연결 네트워크 디바이스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체가 취약성을 중요하게 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. | IT 관리자는 Microsoft Configuration Manager 가능한 한 빨리 최종 기한 구성으로 업데이트를 배포합니다. |
ISM-1702 | 1, 2, 3 | 취약성 스캐너는 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 인터넷 연결이 아닌 네트워크 디바이스의 운영 체제에서 누락된 패치 또는 업데이트를 식별하기 위해 적어도 요새에 사용됩니다. | IT 관리자는 14일마다 한 번 이상 시스템에서 누락된 패치에 대한 검사를 실행하도록 Configuration Manager 소프트웨어 업데이트 기능을 구성합니다. |
ISM-1902 | 3 | 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 비 인터넷 연결 네트워크 디바이스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 비범죄로 평가되고 작업 악용이 없는 경우 릴리스 후 1개월 이내에 적용됩니다. | IT 관리자는 Microsoft Configuration Manager 원하는 날짜의 최종 기한 구성으로 업데이트를 배포합니다. |
이벤트
11월 19일 오후 11시 - 1월 10일 오후 11시
Ignite Edition - Microsoft 보안 제품에서 기술을 구축하고 1월 10일까지 디지털 배지를 획득하세요!
지금 등록학습
인증
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
최신 관리, 공동 관리 접근 방식 및 Microsoft Intune 통합의 필수 요소를 사용하여 엔드포인트 배포 전략을 계획하고 실행합니다.