다음을 통해 공유

Essential Eight 패치 운영 체제

  • 아티클

이 표에서는 패치 운영 체제와 관련된 ISM 컨트롤에 대해 간략하게 설명합니다.

ISM 제어 2024년 6월 완성도 수준 제어 측정
ISM-1694 1, 2, 3 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제에서 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 2주 이내에 적용됩니다. 비즈니스용 Windows 업데이트 및 정의된 업데이트 링을 사용하여 패치는 2주 릴리스와 함께 설치됩니다.
ISM-1695 1, 2 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 인터넷 연결이 아닌 네트워크 디바이스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 릴리스 후 1개월 이내에 적용됩니다. IT 관리자는 Microsoft Configuration Manager에서 원하는 날짜의 최종 기한 구성으로 업데이트를 배포합니다.
ISM-1696 3 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 비 인터넷 연결 네트워크 디바이스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체가 취약성을 중요하게 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. IT 관리자는 Microsoft Configuration Manager에서 가능한 한 빨리 최종 기한 구성으로 업데이트를 배포합니다.
ISM-1701 1, 2, 3 취약성 스캐너는 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제에서 누락된 패치 또는 업데이트가 누락된 것을 식별하기 위해 적어도 매일 사용됩니다. 엔드포인트용 Defender에 온보딩된 디바이스. Microsoft Defender 취약성 관리는 조직의 디바이스에서 위험을 지속적으로 모니터링하고 감지합니다.
ISM-1702 1, 2, 3 취약성 스캐너는 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 인터넷 연결이 아닌 네트워크 디바이스의 운영 체제에서 누락된 패치 또는 업데이트를 식별하기 위해 적어도 요새에 사용됩니다. IT 관리자는 적어도 14일마다 한 번씩 시스템에서 누락된 패치에 대한 검사를 실행하도록 Configuration Manager의 소프트웨어 업데이트 기능을 구성합니다.
ISM-1877 1, 2, 3 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성을 중요로 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. 비즈니스용 Windows 업데이트 신속한 패치 배포 방법을 사용하여 패치는 48시간 이내에 설치됩니다.
ISM-1501 1, 2, 3 공급업체에서 더 이상 지원하지 않는 운영 체제가 대체됩니다. 정의된 링을 사용하여 WUfB는 디바이스를 최신 기능 업데이트로 자동으로 업데이트합니다.
ISM-1879 3 드라이버의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성을 중요로 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. 정의된 링을 사용하여 WUfB는 디바이스를 최신 기능 업데이트로 자동으로 업데이트합니다.
ISM-1900 3 취약성 스캐너는 적어도 펌웨어의 취약성에 대한 누락된 패치 또는 업데이트를 식별하는 데 사용됩니다. 디바이스는 엔드포인트용 Defender에 온보딩됩니다. Microsoft Defender 취약성 관리는 조직의 디바이스에서 위험을 지속적으로 모니터링하고 감지합니다.
ISM-1902 3 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 비 인터넷 연결 네트워크 디바이스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 비범죄로 평가되고 작업 악용이 없는 경우 릴리스 후 1개월 이내에 적용됩니다. IT 관리자는 적어도 14일마다 한 번씩 시스템에서 누락된 패치에 대한 검사를 실행하도록 Configuration Manager의 소프트웨어 업데이트 기능을 구성합니다.
ISM-1903 3 펌웨어의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성이 위험으로 평가되거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. Intune의 드라이버 및 펌웨어 배포 방법은 최신 보안 드라이버 및 펌웨어 버전을 배포합니다.
ISM-1904 3 펌웨어의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 1개월 이내에 적용됩니다. Intune의 드라이버 및 펌웨어 배포 방법은 최신 보안 드라이버 및 펌웨어 버전을 배포하는 데 사용됩니다.
ISM-1697 3 드라이버의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 1개월 이내에 적용됩니다. Intune 드라이버 및 펌웨어 배포 방법은 드라이버 및 펌웨어의 취약성 패치를 사용합니다.
ISM-1703 3 취약성 스캐너는 최소한 드라이버의 취약성에 대한 누락된 패치 또는 업데이트를 식별하는 데 사용됩니다. 디바이스는 엔드포인트용 Defender에 온보딩됩니다. Microsoft Defender 취약성 관리는 조직의 디바이스에서 위험을 지속적으로 모니터링하고 감지합니다.
ISM-17041 1, 2, 3 Office 생산성 제품군, 웹 브라우저 및 해당 확장, 전자 메일 클라이언트, PDF 소프트웨어, Adobe Flash Player 및 공급업체에서 더 이상 지원하지 않는 보안 제품이 제거됩니다. Intune 애플리케이션 배포 방법은 지원되지 않는 애플리케이션 및 확장2를 제거하는 데 사용됩니다.
ISM-18071 1, 2, 3 자동화된 자산 검색 방법은 후속 취약성 검사 활동에 대한 자산 검색을 지원하기 위해 적어도 요새에 사용됩니다. 스캐너를 사용하여 자산 검색을 수행하고 자산 인벤토리2를 유지 관리합니다.
ISM-18081 1, 2, 3 최신 취약성 데이터베이스가 있는 취약성 스캐너는 취약성 검사 작업에 사용됩니다. DVM의 취약성 데이터베이스는 Microsoft 및 다른 사용자가 네트워크2에 설치된 소프트웨어의 취약성을 발견함에 따라 지속적으로 업데이트됩니다.

참고

1 이러한 컨트롤은 Essential 8 내에서 패치 애플리케이션 및 패치 OS를 모두 다룹니다.

2 이러한 컨트롤을 구현하는 방법에 대한 자세한 내용은 애플리케이션 패치 섹션을 참조하세요.

비즈니스용 Windows 업데이트

WUfB(비즈니스용 Windows 업데이트)를 사용하면 IT 관리자가 이러한 엔드포인트를 Windows 업데이트에 직접 연결하여 조직의 Windows 디바이스를 최신 보안 및 품질 업데이트 및 Windows 기능으로 최신 상태로 유지할 수 있습니다. IT 관리자는 Microsoft Intune과 WUfB 간의 통합을 사용하여 디바이스에서 업데이트 설정을 구성하고 업데이트 설치 지연을 구성할 수 있습니다.

비즈니스용 Windows 업데이트는 다음과 같은 여러 유형의 업데이트에 대한 관리 정책을 제공합니다.

  • 기능 업데이트: 이러한 업데이트에는 보안 및 품질 수정 버전뿐만 아니라 중요한 기능 추가 및 변경 내용도 포함됩니다. Windows 10 21H2부터 기능 업데이트는 매년 하반기에 릴리스됩니다. 기능 업데이트에 대한 릴리스 정보는 Windows 10 - 릴리스 정보 | Microsoft Docs
  • 품질 업데이트: 일반적으로 매월 두 번째 화요일에 릴리스되는 기존 운영 체제 업데이트입니다(이러한 업데이트는 언제든지 릴리스될 수 있지만). 여기에는 보안, 중요 및 드라이버 업데이트가 포함됩니다. 품질 업데이트는 누적됩니다.
  • Windows 드라이버: 관리되는 디바이스에 적용할 수 있는 디바이스 드라이버입니다.
  • Microsoft 제품 업데이트: MSI 버전의 Microsoft 365 앱 및 .NET(Dot Net) Framework와 같은 다른 Microsoft 제품에 대한 업데이트입니다. 이러한 업데이트는 비즈니스용 Windows 업데이트 정책을 사용하여 사용하거나 사용하지 않도록 설정할 수 있습니다.

비즈니스용 Windows 업데이트 링

WUfB에는 링의 개념이 있습니다. 링은 특정 디바이스 그룹을 대상으로 하는 WUfB 설정 및 정책의 컬렉션입니다. 대부분의 조직에서는 이전에 Microsoft Endpoint Configuration Manager와 같은 다른 패치 도구에 사용했던 것보다 적은 링에 정착했지만 조직은 필요한 만큼 링을 사용할 수 있습니다. 시작하는 권장 링 수는 3~5개 링입니다.

중요 비즈니스용 Windows 업데이트 설정 및 용어

WUfB는 관리자가 익숙하지 않을 수 있는 몇 가지 새로운 개념과 용어를 소개합니다.

  • 검색: 디바이스는 Windows 업데이트 서비스에 주기적으로 체크 인하여 업데이트가 제공되는지 확인합니다. 이 체크 인 및 디바이스에 대한 업데이트를 사용할 수 있다는 결정을 검색이라고 합니다.
  • 지연: 비즈니스용 Windows 업데이트는 지정된 기간 동안 디바이스에 업데이트가 제공되지 않도록 지연하는 기능을 제공합니다.
  • 최종 기한: 최종 기한 설정을 사용하면 관리자가 품질 업데이트가 디바이스에 설치되기까지의 일 수를 지정할 수 있습니다. 지정된 일 수가 경과하면 업데이트가 자동으로 설치됩니다. 최종 기한 카운트다운은 업데이트가 제공되는 시간(즉, 지연 옵션을 통해 지정된 대로 업데이트가 검색된 경우)부터 디바이스로 시작됩니다.
  • 유예 기간: 유예 기간 설정을 사용하면 관리자가 업데이트를 적용하고 설치하기 위해 다시 부팅하기 전의 일 수를 지정할 수 있습니다. 지정된 일 수가 경과하면 다시 부팅이 자동으로 발생합니다. 다시 부팅 카운트다운은 업데이트가 성공적으로 설치된 시점부터 시작됩니다.

비즈니스용 Windows 업데이트 설정 타임라인 예제

최종 기한 값 유예 기간 값 강제 업데이트 설치 시간 강제 재부팅
0 0 검색 직후 설치 직후
2 2 검색 후 2일 업데이트 설치 후 2일

비즈니스용 Windows 업데이트 링 구성

다음은 총 5개의 링이 있는 샘플 WUfB 링 구성입니다. 각 링에 대해 권장되는 지연, 기한 및 유예 기간이 나열됩니다. 참조가 용이하기 위해 각 링에 대한 전체 구성 이 제공되었습니다.

  • 링 0 – 테스트 디바이스: 전용 테스트 디바이스(중요한 앱 & 초기 스모크스크린)
  • 링 1 – 파일럿 디바이스: IT 관리자, 얼리어답터(총 디바이스의 1%로 구성됨)
  • 링 2 – 빠른 디바이스: 디바이스의 임의 구색(총 디바이스의 9%로 구성됨)
  • 링 3 – 광범위한 디바이스: 광범위한 배포(총 디바이스의 90%로 구성됨)
  • 링 4 – 중요 디바이스: 임원 직원, 중요 비즈니스용 디바이스 등

WUfB 5 링 구성.

링 0: 테스트 디바이스

  • 릴리스 후 0일 후에 업데이트를 설치합니다.

조직은 전용 테스트 디바이스로 구성된 '링 0'을 구성해야 합니다. 링 0, 테스트 디바이스.

이러한 디바이스는 지연 없이 업데이트를 받습니다. 관리자는 이러한 디바이스를 최신 업데이트와 함께 사용하여 중요한 애플리케이션 및 기능에 대한 초기 유효성 검사를 수행할 수 있습니다.

품질 업데이트 지연 기능 업데이트 지연 최종 기한 값 유예 기간 값 강제 품질 업데이트 설치 시간 강제 재부팅
0 0 0 0 릴리스 및 검색 직후 강제 업데이트 설치 직후

링에 대한 전체 구성은 비즈니스용 Windows 업데이트 링 구성 을 참조하세요.

링 1: 파일럿

  • 릴리스 2일 후 업데이트 설치(디바이스의 1% )

IT 직원과 선택한 얼리 어답터는 링 1로 구성되며, 일반적으로 전체 관리 디바이스의 약 1%입니다. 링 1, 파일럿 디바이스.

링 0을 사용한 초기 테스트 외에도 이 링은 확장된 수의 디바이스가 업데이트를 받기 전에 문제를 파악하기 위해 일상적인 작업을 수행하는 사용자의 첫 번째 테스트 줄을 제공합니다.

품질 업데이트 지연 기능 업데이트 지연 최종 기한 값 유예 기간 값 강제 품질 업데이트 설치 시간 강제 재부팅
2 10 2 2 품질 업데이트 릴리스 및 검색 후 4일 강제 업데이트 설치 후 2일

링에 대한 전체 구성은 비즈니스용 Windows 업데이트 링 구성 을 참조하세요.

참고

이 링에서 발생하는 문제를 해결하고 해결하는 데 사용할 권한 있는 액세스 워크스테이션을 제외합니다. 브로드 링은 이러한 장치에 적합한 링이 될 것입니다.

링 2: 빠른

  • 릴리스 4일 후 업데이트 설치(디바이스의 9%)

조직 엔드포인트의 9%로 구성된 임의 구색을 링 2에 추가해야 합니다. 링 2, 패스트 링.

이러한 디바이스는 릴리스 후 4일 후에 업데이트를 받도록 구성되므로 조직의 나머지 부분에 광범위하게 배포하기 전에 사용자 수가 증가하여 더 많은 테스트를 수행할 수 있습니다.

품질 업데이트 지연 기능 업데이트 지연 최종 기한 값 유예 기간 값 강제 품질 업데이트 설치 시간 강제 재부팅
4 30 2 2 품질 업데이트 릴리스 및 검색 후 6일 강제 업데이트 설치 후 2일

링에 대한 전체 구성은 비즈니스용 Windows 업데이트 링 구성 을 참조하세요.

링 3: 광범위

  • 릴리스 7일 후 업데이트 설치(디바이스의 90%)

나머지 모든 디바이스는 링 3의 일부로 구성해야 합니다. 링 3, 브로드 링.

이 단계를 통해 조직은 디바이스에 업데이트를 광범위하게 설치할 수 있다는 확신을 갖게 됩니다. 링 3은 업데이트가 자동으로 설치되기 전에 릴리스로부터 7일 지연되도록 구성합니다.

품질 업데이트 지연 기능 업데이트 지연 최종 기한 값 유예 기간 값 강제 품질 업데이트 설치 시간 강제 재부팅
7 60 2 2 품질 업데이트 릴리스 및 검색 후 9일 강제 업데이트 설치 후 2일

링에 대한 전체 구성은 비즈니스용 Windows 업데이트 링 구성 을 참조하세요.

링 4: 중요 시스템

  • 릴리스 후 14일 후에 업데이트 설치

일부 조직에는 소수의 중요한 디바이스(예: 임원이 사용하는 디바이스)가 있습니다. 링 4, 중요 링.

이러한 유형의 디바이스의 경우 조직은 잠재적인 중단을 최소화하기 위해 품질 및 기능 업데이트 설치를 추가로 연기할 수 있습니다. 이러한 디바이스는 특히 이러한 중요한 디바이스의 경우 링 4의 일부가 될 것입니다.

품질 업데이트 지연 기능 업데이트 지연 유예기간 값 최종 기한 값 설치 시간 업데이트 강제 재부팅
10 90 2 2 품질 업데이트 릴리스 및 검색 후 12일 강제 업데이트 설치 후 2일

이 링에 대한 전체 구성은 부록의 비즈니스용 Windows 업데이트 링 구성을 참조하세요.

ISM 제어 2024년 3월 완성도 수준 제어 측정
1694 1, 2, 3 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제에서 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 2주 이내에 적용됩니다. 비즈니스용 Windows 업데이트 및 정의된 업데이트 링을 사용하여 패치는 2주 릴리스와 함께 설치됩니다.
1501 1, 2, 3 공급업체에서 더 이상 지원하지 않는 운영 체제가 대체됩니다. 정의된 링을 사용하여 WUfB는 디바이스를 최신 기능 업데이트로 자동으로 업데이트합니다.

신속한 품질 업데이트

Intune은 품질 업데이트를 신속하게 처리할 수 있는 기능을 제공하여 최신 패치 화요일 릴리스 또는 제로 데이 결함에 대한 대역 외 보안 업데이트와 같은 품질 업데이트의 설치 속도를 향상합니다. 신속한 설치를 위해 신속한 업데이트는 WNS(Windows 푸시 알림 서비스) 및 푸시 알림 채널과 같은 사용 가능한 서비스를 사용하여 설치할 신속한 업데이트가 있다는 메시지를 디바이스에 전달합니다. 이 프로세스를 사용하면 디바이스가 업데이트를 체크 인할 때까지 기다리지 않고도 가능한 한 빨리 신속한 업데이트의 다운로드 및 설치를 시작할 수 있습니다.

구현 세부 정보 – 신속한 품질 업데이트

품질 업데이트를 신속하게 수행하려면 다음을 수행합니다.

  1. Windows 10 이상용 디바이스>> Windows품질 업데이트(미리 보기) 아래에서 Windows 10 이상용 품질 업데이트 만들기
  2. 이름을 입력합니다. 정책 이름은 참조가 용이하도록 신속하게 처리되는 품질 업데이트 버전에 부합하는 것이 좋습니다.
  3. 디바이스 운영 체제 버전이 보다 작은 경우 비즈니스용 Windows 업데이트에서 설치를 신속하게 처리할 수 있는 품질 업데이트를 정의합니다.
  4. 디바이스를 다시 시작할 때까지의 일 수를 정의합니다.
  5. 적용 가능한 모든 Windows 디바이스를 포함하는 그룹에 프로필 할당

참고

다시 시작이 적용되기 전에 대기할 일 수가 0으로 설정되면 업데이트를 받으면 디바이스가 즉시 다시 시작됩니다. 사용자는 다시 부팅을 지연하는 옵션을 받지 못합니다.

ISM 제어 2024년 6월 완성도 수준 제어 측정
1877 1, 2, 3 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성을 중요로 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. 비즈니스용 Windows 업데이트 신속한 패치 배포 방법을 사용하여 패치는 48시간 이내에 설치됩니다.
1879 3 드라이버의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성을 중요로 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. 정의된 링을 사용하여 WUfB는 디바이스를 최신 기능 업데이트로 자동으로 업데이트합니다.

참고

일반적으로 패치가 모든 디바이스에 성공적으로 배포되었음을 확인하거나 다음 달 업데이트로 대체되는 신속한 품질 업데이트 정책을 제거하는 것이 좋습니다.

배달 최적화

배달 최적화는 클라이언트가 기존 인터넷 기반 서버 외에도 대체 원본(예: 네트워크의 다른 피어)에서 업데이트를 다운로드할 수 있도록 하는 클라우드 관리형 솔루션입니다. Intune을 통해 구성된 경우 업데이트 이진 파일을 다운로드할 때 인터넷 대역폭 사용을 줄이기 위해 Windows 디바이스에 대한 배달 최적화 설정을 구성할 수 있습니다.

구현 세부 정보 – 배달 최적화 정책

  1. 디바이스> Windows구성 프로필>프로필 만들기플랫폼>Windows>10 이상> 프로필 >유형 템플릿>배달 최적화에서 배달 최적화 정책 만들기
  2. 정책의 이름 제공
  3. 구성 설정 페이지에서 부록의 배달 최적화 정책 설정에 따라 값을 사용하고 정책을 만듭니다.
  4. 적용 가능한 모든 Windows 디바이스를 포함하는 그룹에 프로필을 할당합니다.

Intune 드라이버 및 펌웨어 업데이트 관리

Microsoft Intune의 Windows 드라이버 업데이트 관리를 사용하면 관리되는 Windows 10 및 Windows 11 디바이스에서 드라이버 업데이트의 출시를 감독하고, 배포 권한을 부여하고, 일시적으로 중지할 수 있습니다. Intune은 WUfB(비즈니스용 Windows 업데이트) DS(배포 서비스)와 함께 드라이버 업데이트 정책에 따라 디바이스에 대한 관련 드라이버 업데이트를 식별하는 복잡한 프로세스를 처리합니다. 이러한 업데이트는 Intune 및 WUfB-DS로 분류되어 모든 디바이스에 적합한 권장 업데이트와 특정 요구 사항에 맞게 조정된 선택적 업데이트를 구분하는 프로세스를 간소화합니다. Windows 드라이버 업데이트 정책을 통해 디바이스에 드라이버 업데이트 설치를 완전히 제어할 수 있습니다.

수행할 수 있는 작업은 다음과 같습니다.

  • 권장 드라이버 업데이트에 대한 자동 승인 사용: 자동 승인을 위해 구성된 정책은 즉시 녹색으로 표시되고 정책에 할당된 디바이스에 각 새 권장 드라이버 업데이트 버전을 배포합니다. 권장 드라이버는 일반적으로 드라이버 게시자가 필수로 플래그가 지정된 최신 업데이트를 나타냅니다. 또한 현재 권장 버전으로 지정되지 않은 드라이버는 다른 드라이버로 카탈로그화되어 선택적 업데이트를 제공합니다. 그 후 OEM의 최신 드라이버 업데이트가 릴리스되고 현재 권장 드라이버 업데이트로 식별되면 Intune은 자동으로 정책에 추가하고 이전에 권장한 드라이버를 다른 드라이버 목록으로 이동합니다.
  • 모든 업데이트에 대한 수동 승인이 필요하도록 정책 구성: 이 정책은 관리자가 드라이버 업데이트를 배포하기 전에 승인해야 합니다. 이 정책을 사용하는 디바이스에 대한 최신 버전의 드라이버 업데이트는 정책에 자동으로 추가되지만 승인될 때까지 비활성 상태로 유지됩니다.
  • 배포가 승인된 드라이버 관리: 모든 드라이버 업데이트 정책을 편집하여 배포가 승인된 드라이버를 수정할 수 있습니다. 개별 드라이버 업데이트의 배포를 일시 중지하여 새 디바이스에 대한 배포를 중지한 다음, 나중에 일시 중지된 업데이트를 다시 재현하여 Windows 업데이트가 해당 디바이스에 설치를 다시 시작할 수 있도록 할 수 있습니다.

Intune 드라이버 및 펌웨어 관리 기능을 통해 드라이버 및 펌웨어 업데이트를 배포하는 단계

1단계: 드라이버 업데이트 프로필 및 배포 링 만들기

드라이버 정책 업데이트 정책을 만들 때 IT 관리자는 자동 업데이트와 수동 업데이트 중에서 선택할 수 있습니다.

  • 자동: 모든 권장 드라이버를 자동으로 승인하고 검색 후 제공을 시작하는 기간을 설정합니다.
  • 수동: 드라이버를 수동으로 승인하고, 드라이버를 승인할 때 업데이트를 제공할 날짜를 선택합니다. 이 옵션을 사용하면 수동으로 승인될 때까지 드라이버가 제공되지 않습니다. 배포 링 집합을 만들려면 다음과 같은 설정 조합을 사용하는 것이 좋습니다.
    • 승인 방법: 모든 권장 드라이버 업데이트 자동 승인
    • (일) 후에 업데이트를 사용할 수 있도록 합니다.

2단계: 사용 가능한 드라이버 검토

정책이 만들어지면 디바이스에서 약 하루 정도에 대한 업데이트를 검색하도록 합니다. 검토할 드라이버 열에는 수동 승인을 위해 검토할 준비가 된 새 권장 드라이버 업데이트 수가 포함됩니다. 자동 정책에서는 권장 드라이버가 자동으로 승인되므로 검토할 드라이버는 0으로 유지됩니다. 이는 새로운 드라이버가 발견되었으며 해당 드라이버 배포를 승인할지 거부할지 여부를 결정하기를 기다리고 있다는 좋은 지표입니다.

3단계: 드라이버 승인

IT 관리자가 드라이버를 승인하면 나중에 승인 날짜를 추가로 제공할 수 있습니다. 드라이버가 승인되면 Intune 관리 Windows 디바이스는 일반적으로 8시간마다 다음 정책 동기화 주기로 수신됩니다.

ISM 제어 2024년 6월 완성도 수준 제어 측정
ISM-1697 3 드라이버의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 1개월 이내에 적용됩니다. Intune의 드라이버 및 펌웨어 배포 방법은 취약성을 완화하는 최신 버전의 드라이버를 승인하고 배포하는 데 사용됩니다.
ISM-1903 3 펌웨어의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성이 위험으로 평가되거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. IT 관리자는 공급업체에서 펌웨어 취약성을 중요로 평가할 때 Intune 콘솔에서 최신 버전의 펌웨어를 승인합니다.
ISM-1904 3 펌웨어의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 1개월 이내에 적용됩니다. Intune의 드라이버 및 펌웨어 배포 방법은 최신 보안 드라이버 및 펌웨어 버전을 배포합니다.

업데이트 설치 모니터링

참고

업데이트 규정 준수는 2023년 3월부터 더 이상 사용되지 않습니다.

업데이트 준수를 사용한 규정 준수 보고(Log Analytics)

업데이트 준수 를 사용하면 Windows 10 또는 Windows 11 Professional, Education 및 Enterprise 버전에 대한 품질 및 기능 업데이트를 모니터링할 수 있습니다. 업데이트 준수는 Windows 클라이언트 진단 데이터를 수집하여 Windows 디바이스의 업데이트 상태를 Log Analytics 작업 영역에 보고합니다. 업데이트 준수는 서비스에 온보딩된 모든 디바이스에 대한 정보를 표시하여 최신 상태인지 여부를 확인하는 데 도움이 됩니다.

  • 보안 업데이트: 디바이스는 최신 적용 가능한 품질 업데이트가 설치될 때마다 품질 업데이트를 최신 상태로 유지합니다. 품질 업데이트는 Windows 클라이언트 버전과 관련된 월별 누적 업데이트입니다.
  • 기능 업데이트: 디바이스는 적용 가능한 최신 기능 업데이트가 설치될 때마다 기능 업데이트를 최신 상태로 유지합니다. 업데이트 준수는 업데이트 적용 가능성을 결정할 때 서비스 채널을 고려합니다.

업데이트 준수를 위한 Log Analytics 작업 영역을 프로비전하기 위한 필수 구성 요소에 대한 자세한 내용은 업데이트 준수 시작 - Windows 배포를 참조하세요.

디바이스를 업데이트 준수에 온보딩

  1. 업데이트 준수 솔루션이 만들어지면 Log Analytics 작업 영역에 대한 솔루션 탭으로 이동하여 상용 ID를 검색한 다음 WaaSUpdateInsights 솔루션을 선택합니다. CommercialID는 특정 Log Analytics 작업 영역에 할당된 전역적으로 고유한 식별자입니다.
  2. 업데이트 준수 정책과 일치하도록 정책 구성
  3. 콘솔에서 CommercialID 값을 고유한 CommercialID 로 변경합니다(1단계 중에 수집됨).
  4. 적용 가능한 모든 Windows 디바이스를 포함하는 그룹에 프로필을 할당합니다.

업데이트 준수 보고서 사용

통합 진단 데이터는 업데이트 준수에서 쉽게 사용할 수 있는 다양한 보고 섹션에 제공됩니다. 수집된 데이터는 업데이트 준수 내에서 28일 동안 저장됩니다.

주의 준수 보고서 섹션 필요

이 섹션에서는 업데이트 준수에서 검색된 모든 Windows 클라이언트 디바이스 및 업데이트 문제에 대한 분석을 제공합니다. 이 섹션의 요약 타일은 문제가 있는 디바이스 수를 계산하는 반면 섹션 내의 블레이드는 지원되지 않는 운영 체제 버전이 있는 디바이스 및 누락된 보안 업데이트와 같이 발생한 문제를 분석합니다. 이러한 보고서에 표시되는 디바이스는 관리자의 수정이 필요합니다. 값을 제공하지만 다시 부팅 보류 중인 디바이스, 일시 중지된 구성 등과 같은 다른 주요 섹션에 맞지 않는 미리 정의된 쿼리 목록도 있습니다.

주의 섹션이 필요합니다.

보안 업데이트 상태 준수 보고서 섹션

이 섹션에서는 디바이스가 실행 중인 Windows 버전에 대해 릴리스된 최신 보안 업데이트에 있는 디바이스의 백분율을 나열합니다. 이 섹션을 선택하면 모든 디바이스에서 보안 업데이트의 전반적인 상태를 요약하고 최신 두 보안 업데이트에 대한 배포 진행 상황을 요약하는 블레이드가 제공됩니다.

보안 업데이트 상태.

기능 업데이트 상태 준수 보고서 섹션

이 섹션에서는 지정된 디바이스에 적용할 수 있는 최신 기능 업데이트에 있는 디바이스의 백분율을 나열합니다. 이 섹션을 선택하면 모든 디바이스의 전체 기능 업데이트 상태를 요약하는 블레이드와 사용자 환경의 다양한 버전의 Windows 클라이언트에 대한 배포 상태 요약이 제공됩니다.

기능 업데이트 상태.

배달 최적화 상태 준수 보고서 섹션

이 섹션에서는 사용자 환경에서 배달 최적화를 활용하여 발생하는 대역폭 절감을 요약합니다. 디바이스 간에 배달 최적화 구성을 분석하고 여러 콘텐츠 형식의 대역폭 절감 및 사용률을 요약합니다.

배달 최적화 상태.

Windows 자동 패치

소프트웨어 업데이트 관리 프로세스의 가장 비싼 측면 중 하나는 디바이스(물리적 및 가상)가 항상 정상 상태인지 확인하여 각 소프트웨어 업데이트 릴리스 주기에 대한 소프트웨어 업데이트를 수신하고 보고하는 것입니다. 진행 중인 변경 관리 프로세스에 문제가 발생할 때 측정하고, 신속하게 감지하고, 수정하는 방법이 중요합니다. 높은 기술 지원팀 티켓 볼륨을 완화하고, 비용을 절감하고, 전반적인 업데이트 관리 결과를 개선하는 데 도움이 됩니다.

Windows 자동 패치 는 Windows, 엔터프라이즈용 Microsoft 365 앱, Microsoft Edge, Microsoft Teams, Surface 드라이버/펌웨어, Windows 업데이트 저장소, Windows 365 및 AVD(Azure Virtual Desktop)에서 필수로 표시된 게시된 드라이버/펌웨어에 대한 패치를 자동화하는 클라우드 서비스입니다. Windows 자동 패치는 Windows 업데이트를 배포할 때 문제를 완화하기 위해 조직에 추가 계층을 제공합니다. Windows 자동 패치 배포 링은 디바이스 수준에서 분리됩니다. 즉, Windows 자동 패치 디바이스 등록 프로세스 중에 테스트, 첫 번째, 빠른 또는 Broad 배포 링 중 하나에 디바이스를 할당합니다.

Windows 자동 패치는 Windows 10/11 Enterprise E3 이상에 포함되어 있습니다. 출시의 일부로 간주되어야 하는 일부 네트워크 구성을 포함하여 자동 패치를 사용하기 위한 추가 필수 구성 요소가 있습니다.

자동 패치 등록 단계

1단계: 준비 평가

준비 평가 도구는 Microsoft Intune 및 Microsoft Entra ID의 설정을 확인하여 테넌트 등록의 일부로 Windows Autopatch에서 작동하는지 확인합니다. 준비 평가를 사용하도록 설정하려면 다음을 수행합니다.

  1. 전역 관리자로 Intune으로 이동합니다.
  2. 왼쪽 창에서 테넌트 관리를 선택한 다음 Windows Autopatch>테넌트 등록으로 이동합니다.

그런 다음 준비 평가 도구는 Intune 설정을 확인하여 Windows 10 이상 및 최소 관리자 요구 사항 및 허가되지 않은 관리자에 대한 배포 링을 확인합니다. 또한 공동 관리 및 라이선스를 포함하여 Microsoft Entra 설정을 확인합니다.

준비 평가 도구는 보고서를 제공하며, 해결해야 하는 문제 및 준비 상태로 전환 하기 위해 수행해야 하는 단계를 알려 줍니다. 문제가 해결되면 다음 단계로 이동할 수 있습니다.

2단계: 관리자 연락처 확인

이 단계의 목적은 Windows Autopatch Service Engineering Team이 향후 지원 요청과 관련하여 조직의 관리자에게 문의하고 등록 프로세스 중에 설정된 최소 관리자 집합을 확장할 수 있도록 조직에 각 포커스 영역에 대한 관리자가 있는지 확인하는 것입니다.

포커스 영역 설명
디바이스 장치 등록
장치 상태
업데이트 Windows 품질 업데이트
Microsoft Office 365 ProPlus 업데이트
Microsoft Edge 업데이트
Microsoft Teams 업데이트

관리자 연락처를 추가하려면 다음 단계를 완료합니다.

  1. Intune에 로그인합니다.
  2. Windows 자동 패치 섹션의 테넌트 관리에서 관리자 연락처를 선택합니다.
  3. 추가를 선택합니다.
  4. 이름, 전자 메일, 전화 번호 및 기본 설정 언어를 포함한 연락처 세부 정보를 입력합니다. 지원 티켓의 경우 티켓의 기본 연락처 기본 언어에 따라 전자 메일 통신에 사용되는 언어가 결정됩니다.
  5. 포커스 영역을 선택하고 지정된 포커스 영역에 연락처의 지식 및 권한에 대한 세부 정보를 입력합니다.
  6. 저장을 선택하여 연락처를 추가합니다.
  7. 각 포커스가 영역에 대해 반복합니다.

참고

관리자는 특히 소규모 조직에서 여러 포커스 영역을 가질 수 있습니다.

3단계: 디바이스 등록

Windows 자동 패치 디바이스 등록 프로세스는 최종 사용자에게 투명합니다.

Windows 자동 패치의 디바이스 등록.

Windows 자동 패치는 사용자를 대신하여 업데이트 배포를 관리하기 위해 기존 디바이스를 서비스에 등록해야 합니다. 디바이스 등록을 수행하려면 다음을 수행합니다.

  • IT 관리자는 Windows Autopatch에 디바이스를 등록 하기 전에 Windows 자동 패치 디바이스 등록 필수 구성 요소를 검토합니다.
  • IT 관리자는 Windows 자동 패치에서 관리할 디바이스를 식별하고 Windows 자동 패치 디바이스 등록 Microsoft Entra 그룹에 추가합니다.
  • 그런 다음 Windows 자동 패치:
    • 디바이스 준비 사전 등록 수행(필수 구성 요소 검사)
    • 배포 링 배포를 계산합니다.
    • 이전 계산에 따라 배포 링에 디바이스 할당
    • 관리에 필요한 다른 Microsoft Entra 그룹에 디바이스 할당
    • 디바이스를 관리에 활성으로 표시하여 업데이트 배포 정책을 적용할 수 있습니다.
  • 그런 다음 IT 관리자는 디바이스 등록 추세를 모니터링하고 업데이트 배포 보고서 자세한 디바이스 등록 작업 흐름은 여기에서 찾을 수 있습니다.

Windows 자동 패치 디바이스 유형

Microsoft Entra 디바이스 ID가 포함된 모든 디바이스(물리적 또는 가상)는 Windows 자동 패치 디바이스 등록 Microsoft Entra 그룹에 추가할 수 있습니다. 이는 직접 멤버 자격을 통해 또는 이 그룹에 중첩된 다른 Microsoft Entra 그룹(동적 또는 할당됨)의 일부가 되므로 Windows Autopatch에 등록할 수 있습니다. 유일한 예외는 Windows 365 클라우드 PC입니다. 이러한 가상 디바이스는 Windows 365 프로비저닝 정책에서 Windows 자동 패치에 등록해야 하므로 입니다.

Windows 365용 자동 패치

Windows 365 Enterprise는 IT 관리자에게 Windows 365 프로비저닝 정책 만들기의 일부로 Windows Autopatch 서비스에 디바이스를 등록할 수 있는 옵션을 제공합니다. 이 옵션은 관리자와 사용자가 클라우드 PC를 항상 최신 상태로 유지할 수 있는 원활한 환경을 제공합니다. IT 관리자가 Windows Autopatch를 사용하여 Windows 365 클라우드 PC를 관리하기로 결정하면 Windows 365 프로비저닝 정책 만들기 프로세스는 Windows Autopatch 디바이스 등록 API를 호출하여 IT 관리자를 대신하여 디바이스를 등록합니다. Windows 365 프로비저닝 정책에서 Windows 자동 패치를 사용하여 새 Windows 365 클라우드 PC 디바이스를 등록하려면 다음을 수행합니다.

  1. Intune으로 이동합니다.
  2. 왼쪽 창에서 디바이스를 선택합니다.
  3. 프로비저닝>Windows 365로 이동합니다.
  4. 프로비저닝 정책>정책 만들기를 선택합니다.
  5. 정책 이름을 입력하고 조인 유형을 선택합니다.
  6. 다음을 선택합니다.
  7. 원하는 이미지를 선택하고 다음을 선택합니다.
  8. Microsoft 관리형 서비스 섹션에서 Windows 자동 패치를 선택합니다. 그런 후 다음을 선택합니다.
  9. 그에 따라 정책을 할당하고 다음을 선택합니다.
  10. 만들기를 선택합니다.

이제 새로 프로비전된 Windows 365 Enterprise 클라우드 PC가 자동으로 등록되고 Windows 자동 패치에서 관리됩니다.

Azure Virtual Desktop의 Windows 자동 패치

Windows 자동 패치는 Azure Virtual Desktop에 사용할 수 있습니다. 엔터프라이즈 관리자는 물리적 머신에 따라 기존 디바이스 등록 프로세스를 사용하여 Windows Autopatch에서 관리하도록 Azure Virtual Desktop 워크로드를 프로비전할 수 있습니다. Windows Autopatch는 물리적 디바이스와 동일한 범위의 가상 머신을 제공합니다. 그러나 달리 지정하지 않는 한 Windows Autopatch는 Azure 지원에 대한 Azure Virtual Desktop 특정 지원을 연기합니다.

자동 패치 대시보드 및 보고

Autopatch는 요약 대시보드 와 Autopatch에 등록된 모든 디바이스의 현재 상태 및 기록 (세로) 보고(최대 90일)에 대한 다양한 보고서를 제공하며, 필요한 경우 CSV 파일로 내보낼 수 있습니다. 등록된 모든 디바이스의 현재 업데이트 상태를 보려면 다음을 수행합니다.

  1. Intune에 로그인합니다.
  2. 보고서>Windows 자동 패치>Windows 품질 업데이트로 이동합니다.

모든 디바이스 보고서에는 다음이 포함됩니다.

정보 설명
장치 이름 서버의 이름입니다.
Microsoft Entra 디바이스 ID 디바이스에 대해 기록된 현재 Microsoft Entra ID 디바이스 ID입니다.
일련 번호 현재 Intune에서 디바이스의 일련 번호를 기록했습니다.
배포 링 디바이스에 대해 현재 할당된 Windows 자동 패치 배포 링입니다.
업데이트 상태 디바이스의 현재 업데이트 상태
하위 상태 업데이트 디바이스의 현재 업데이트 하위 상태
OS 버전 디바이스에 설치된 현재 버전의 Windows입니다.
OS 수정 버전 디바이스에 설치된 Windows의 현재 수정 버전입니다.
Intune 마지막 체크 인 시간 디바이스가 Intune에 마지막으로 체크 인한 시간입니다.
ISM 제어 2024년 6월 완성도 수준 제어 측정
1694 1, 2, 3 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제에서 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 위험하지 않은 것으로 평가되고 작업 악용이 없는 경우 릴리스 후 2주 이내에 적용됩니다. Windows Autopatch에 등록된 디바이스의 경우 업데이트는 2주 이내에 설치됩니다.
1877 1, 2, 3 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성을 중요로 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. 자동 패치 그룹을 사용하면 필요한 경우 48시간 이내에 최종 기한을 유연하게 적용할 수 있습니다.
1879 3 드라이버의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체에서 취약성을 중요로 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. 자동 패치 그룹을 사용하면 필요한 경우 48시간 이내에 최종 기한을 유연하게 적용할 수 있습니다.

Microsoft Defender 취약성 관리를 사용하여 취약성 식별

DVM(Microsoft Defender 취약성 관리 )은 Windows, macOS, Linux, Android, iOS 및 네트워크 디바이스에 대한 자산 가시성, 지능형 평가 및 기본 제공 수정 도구를 제공합니다.

필수 조건으로 엔드포인트를 엔드포인트용 Microsoft Defender에 온보딩해야 합니다. DVM을 사용하기 위한 다른 추가 필수 구성 요소가 있습니다 . 온보딩되면 DVM은 취약성이 개별 디바이스에 적용되는지 평가하고 권장 조치를 제공할 수 있습니다.

구현 세부 정보 – 엔드포인트용 Microsoft Defender에 엔드포인트 온보딩

  1. 엔드포인트용 Microsoft Defender템플릿> 유형(Windows 10 이상을 실행하는 데스크톱 디바이스)을 사용하여 새 Windows 구성 프로필을 만듭니다.
  2. Expedite 원격 분석 보고 빈도를 사용으로 설정합니다.
  3. 적용 가능한 모든 Windows 디바이스를 포함하는 그룹에 프로필을 할당합니다.

Microsoft Defender 취약성 관리를 사용하여 취약성 검색

디바이스가 엔드포인트용 Defender에 온보딩되면 DVM은 디바이스가 취약성에 잠재적으로 노출될 수 있는지 확인하고 식별된 각 약점에 대한 보안 권장 사항을 제공할 수 있습니다.

취약성 관리 > 인벤토리 아래의 Microsoft 보안 포털에서 엔드포인트용 Defender에 온보딩된 엔드포인트에서 식별된 소프트웨어 제품(공급업체 이름, 발견된 약점, 관련 위협 및 노출된 디바이스 포함)이 표시됩니다.

소프트웨어 인벤토리.

디바이스 인벤토리 페이지로 이동하여 특정 디바이스에서 소프트웨어 인벤토리를 확인할 수도 있습니다. 디바이스의 이름을 선택하여 디바이스 페이지(예: Computer1)를 연 다음 소프트웨어 인벤토리 탭을 선택하여 디바이스에 있는 알려진 모든 소프트웨어 목록을 확인합니다. 특정 소프트웨어 항목을 선택하여 추가 정보가 포함된 플라이아웃을 엽니다.

소프트웨어 세부 정보.

특정 소프트웨어 페이지를 열면 다음 스크린샷과 같이 애플리케이션에 대한 자세한 정보가 제공됩니다. 표시되는 세부 정보는 다음과 같습니다.

  • 식별된 약점 및 취약성에 대한 해당 보안 권장 사항입니다.
  • 검색된 취약성의 명명된 CVE입니다.
  • 소프트웨어가 설치된 디바이스(디바이스 이름, 도메인, OS 등).
  • 소프트웨어 버전 목록(버전이 설치된 디바이스 수, 검색된 취약성 수 및 설치된 디바이스의 이름 포함).

선택한 취약성 화면 1에 대한 수정을 요청합니다.

Microsoft Intune을 사용하여 취약성 수정

DVM 기능은 수정 요청 워크플로를 통해 보안 관리자와 IT 관리자 간의 격차를 해소하도록 설계되었습니다. DVM 수정 작업은 네이티브 통합을 사용하여 Intune에서 수정 작업을 생성할 수 있습니다. 또한 DVM API를 사용하여 필요한 경우 타사 도구를 사용하여 수정 프로세스 및 작업을 오케스트레이션할 수 있습니다. 다음 단계에서는 DVM 및 Intune을 사용하는 수정 워크플로에 대해 설명합니다.

이 기능을 사용하려면 Microsoft Intune 연결을 사용하도록 설정합니다.

  1. Microsoft Defender 포털에서
  2. 설정>엔드포인트>일반>고급 기능으로 이동합니다.
  3. 아래로 스크롤하여 Microsoft Intune 연결을 찾습니다.
  4. 기본적으로 토글은 꺼져 있습니다. Microsoft Intune 연결 토글을 기로 설정합니다.

참고

DVM에서 수정 요청을 만들 때 해당 Intune 보안 작업을 만들려면 Microsoft Intune에 대한 연결을 사용하도록 설정해야 합니다. 연결을 사용하도록 설정하지 않은 경우 Intune 보안 작업을 만드는 옵션이 표시되지 않습니다.

  1. Microsoft Defender 포털의 취약성 관리 탐색 메뉴로 이동하여 권장 사항을 선택합니다.
  2. 수정을 요청하려는 보안 권장 사항을 선택한 다음 수정 옵션을 선택합니다.
  3. 수정을 요청하는 항목, 해당 디바이스 그룹, 우선 순위, 기한 및 선택적 메모를 포함하여 양식을 작성합니다.

선택한 취약성에 대한 수정 요청 화면 2. 선택한 취약성에 대한 수정 요청 화면 3.

수정 요청을 제출하면 DVM 내에 수정 작업 항목이 생성되며, 이 항목은 수정 진행률을 모니터링하는 데 사용할 수 있습니다. 관리자가 보안 권장 사항 페이지에서 수정 요청을 제출하면 수정 페이지에서 추적할 수 있는 보안 작업이 생성되고 Microsoft Intune에서 수정 티켓이 만들어집니다. 이렇게 하면 수정이 트리거되거나 디바이스에 변경 내용이 적용되지 않습니다.

다음 이미지는 Intune에서 만든 보안 작업을 보여줍니다.

Intune의 보안 작업입니다.

  1. Intune 관리자는 보안 작업을 선택하여 작업에 대한 세부 정보를 봅니다. 그런 다음 관리자는 수락을 선택하여 Intune 및 엔드포인트용 Defender의 상태를 수락됨으로 업데이트합니다.

그런 다음 Intune 관리자는 제공된 지침에 따라 작업을 수정합니다. 지침은 필요한 수정 유형에 따라 달라집니다. 사용 가능한 경우 수정 지침에는 Intune에서 구성 관련 창을 여는 링크가 포함됩니다.

DVM에 대한 추가 정보는 패치 애플리케이션 섹션에서 찾을 수 있습니다.

ISM 제어 2024년 6월 완성도 수준 제어 측정
1701 1, 2, 3 취약성 스캐너는 인터넷 연결 서버 및 인터넷 연결 네트워크 디바이스의 운영 체제에서 누락된 패치 또는 업데이트가 누락된 것을 식별하기 위해 적어도 매일 사용됩니다. 디바이스는 엔드포인트용 Defender에 온보딩됩니다. Microsoft Defender 취약성 관리는 조직의 디바이스에서 위험을 지속적으로 모니터링하고 감지합니다.
1703 3 취약성 스캐너는 최소한 드라이버의 취약성에 대한 누락된 패치 또는 업데이트를 식별하는 데 사용됩니다. 디바이스는 엔드포인트용 Defender에 온보딩됩니다. Microsoft Defender 취약성 관리는 조직의 디바이스에서 위험을 지속적으로 모니터링하고 감지합니다.
1900 3 취약성 스캐너는 적어도 펌웨어의 취약성에 대한 누락된 패치 또는 업데이트를 식별하는 데 사용됩니다. 디바이스는 엔드포인트용 Defender에 온보딩됩니다. Microsoft Defender 취약성 관리는 조직의 디바이스에서 위험을 지속적으로 모니터링하고 감지합니다.

디바이스의 운영 체제 버전에 따른 규정 준수

Intune의 규정 준수 정책은 디바이스가 하나 이상의 구성된 요구 사항을 충족할 수 있는지 여부에 따라 디바이스가 규정을 준수하는지 또는 비준수인지를 확인하는 기능을 제공합니다. 디바이스의 이 준수 상태는 조건부 액세스로 보호되는 회사 리소스에 액세스하여 리소스에 대한 액세스를 허용하거나 거부할 때 평가됩니다.

Intune은 디바이스가 디바이스의 현재 운영 체제 버전에 따라 호환되는지 또는 비준수인지를 확인할 수 있습니다. 조건부 액세스에서 디바이스 준수 권한 부여 제어를 사용하면 사용자는 최소 운영 체제 버전을 충족하거나 초과하는 디바이스에서만 회사 리소스에 액세스할 수 있습니다.

구현 세부 정보: Windows 업데이트 준수 정책

  1. 디바이스 Windows 규정 준수 정책에서 Windows 규정 준수 정책 만들기 정책 플랫폼 > Windows 10 이상에서 Windows 규정 준수 정책을 >> 만듭니다.>>
  2. 정책의 이름을 입력합니다.
  3. 디바이스 속성을 선택하고 최소 OS 버전에서 규격으로 간주할 최소 운영 체제 버전을 입력합니다.
  4. 적용 가능한 모든 Windows 디바이스를 포함하는 그룹에 프로필을 할당합니다.

운영 체제 값을 기반으로 디바이스를 평가하는 일반적인 규정 준수 정책이 제공되었습니다.

참고

Windows 11Windows 10의 최소 OS 버전에 제공된 값은 시간이 지남에 따라 증가해야 합니다.

ISM 제어 2024년 6월 완성도 수준 제어 측정
1407 3 운영 체제의 최신 릴리스 또는 이전 릴리스가 사용됩니다. 할당된 준수 정책에 정의된 OS 버전을 충족하지 않는 디바이스를 사용하는 사용자는 조건부 액세스와 함께 사용하는 경우 회사 리소스에 액세스할 수 없습니다.

인터넷 연결이 아닌 시스템 패치

Microsoft는 Microsoft IntuneAzure Update Manager 와 같은 클라우드 서비스를 사용하여 시스템의 OS 버전을 유지하고 취약성을 패치할 것을 제안합니다.

그러나 오프라인 상태인 시스템 및 서버의 경우 Microsoft Configuration Manager의 패치 관리 기능을 사용하는 것이 좋습니다. 자세한 내용은 Microsoft Configuration Manager 를 참조하세요.

ISM 제어 2024년 6월 완성도 수준 제어 측정
ISM-1695 1, 2 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 인터넷 연결이 아닌 네트워크 디바이스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 릴리스 후 1개월 이내에 적용됩니다. IT 관리자는 Microsoft Configuration Manager에서 원하는 날짜의 최종 기한 구성으로 업데이트를 배포합니다.
ISM-1696 3 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 비 인터넷 연결 네트워크 디바이스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 공급업체가 취약성을 중요하게 평가하거나 작업 악용이 있을 때 릴리스 후 48시간 이내에 적용됩니다. IT 관리자는 Microsoft Configuration Manager에서 가능한 한 빨리 최종 기한 구성으로 업데이트를 배포합니다.
ISM-1702 1, 2, 3 취약성 스캐너는 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 인터넷 연결이 아닌 네트워크 디바이스의 운영 체제에서 누락된 패치 또는 업데이트를 식별하기 위해 적어도 요새에 사용됩니다. IT 관리자는 적어도 14일마다 한 번씩 시스템에서 누락된 패치에 대한 검사를 실행하도록 Configuration Manager의 소프트웨어 업데이트 기능을 구성합니다.
ISM-1902 3 워크스테이션 운영 체제, 비 인터넷 연결 서버 및 비 인터넷 연결 네트워크 디바이스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화는 취약성이 공급업체에 의해 비범죄로 평가되고 작업 악용이 없는 경우 릴리스 후 1개월 이내에 적용됩니다. IT 관리자는 Microsoft Configuration Manager에서 원하는 날짜의 최종 기한 구성으로 업데이트를 배포합니다.