인터넷을 통해 작업 순서 배포

적용 대상: Configuration Manager(현재 분기)

Configuration Manager는 인터넷을 통해 원격 클라이언트에 작업 순서를 배포하는 다양한 방법을 지원합니다. Windows 업그레이드를 배포하거나, 부팅 가능한 미디어를 사용하거나, 소프트웨어 센터에서 시작할 수 있습니다. 이 문서에서는 이러한 시나리오에 대한 특정 구성을 설명합니다. 먼저 작업 순서 배포를 사용하여 기본 배포를 만듭니다. 그런 다음 이 문서의 구성을 사용하여 인터넷 기반 클라이언트에 맞게 사용자 지정합니다.

경고

위험 수준이 높은 작업 순서 배포에 대한 동작을 관리할 수 있습니다. 위험 수준이 높은 배포는 자동으로 설치되고 원치 않는 결과가 발생할 가능성이 있는 배포입니다. 예를 들어 OS를 배포하는 필수 의 목적이 있는 작업 순서는 고위험 배포로 간주됩니다. 자세한 내용은 고위험 배포 관리를 위한 설정을 참조하세요.

인터넷에서 작업 순서 실행 허용

소프트웨어 배포 마법사의 사용자 환경 페이지에서 인터넷에서 클라이언트에 대해 작업 순서를 실행할 수 있도록 배포를 구성할 수 있습니다. 이 설정은 모든 인터넷 기반 클라이언트 시나리오에 필요합니다. 다음 섹션에서는 이 설정을 사용하도록 설정할 때의 주요 시나리오를 다룹니다.

참고

다른 프로그램 실행을 위한 작업 순서 고급 설정은 CMG(클라우드 관리 게이트웨이)를 통해 통신하는 클라이언트에서 실행되는 작업 순서에는 적용되지 않습니다. 이 옵션은 CMG를 통해 액세스할 수 없는 패키지의 UNC 네트워크 경로를 사용합니다.

Windows 현재 위치 업그레이드

CMG(클라우드 관리 게이트웨이)를 통해 Windows 현재 위치 업그레이드 작업 순서를 인터넷 기반 클라이언트에 배포하려면 이 설정을 사용합니다. 지원되는 모든 버전의 Configuration Manager는 이 시나리오를 지원합니다. 자세한 내용은 CMG를 통해 Windows 현재 위치 업그레이드 배포를 참조하세요.

소프트웨어 센터에서 Windows 이미징 작업 순서 설치

버전 2006부터 CMG를 통해 통신하는 디바이스에 부팅 이미지가 있는 작업 순서를 배포할 수 있습니다. 사용자는 소프트웨어 센터에서 작업 순서를 시작해야 합니다.

참고

Microsoft Entra 조인 클라이언트가 OS 배포 작업 순서를 실행하면 새 OS의 클라이언트가 Microsoft Entra ID에 자동으로 조인되지 않습니다. Microsoft Entra가 조인되지 않았더라도 클라이언트는 여전히 관리됩니다.

인터넷 기반 클라이언트에서 OS 배포 작업 순서를 실행하는 경우 Microsoft Entra 조인 또는 토큰 기반 인증을 사용하는 경우 Windows 및 ConfigMgr 설정 단계에서 CCMHOSTNAME 속성을 지정해야 합니다.

부팅 가능한 미디어를 사용하여 Windows 이미징 작업 순서 설치

버전 2010부터 부팅 가능한 미디어를 사용하여 CMG를 통해 연결하는 인터넷 기반 디바이스를 이미지로 다시 설치할 수 있습니다. 이 시나리오는 원격 작업자를 더 잘 지원하는 데 도움이 됩니다. 사용자가 소프트웨어 센터에 액세스할 수 있도록 Windows가 시작되지 않으면 이제 USB 드라이브를 보내 Windows를 다시 설치할 수 있습니다. 자세한 내용은 부팅 가능한 미디어를 사용하여 CMG를 통해 OS 배포를 참조하세요.

버전 2002 이하에서는 부팅 미디어가 필요한 작업이 이 설정에서 지원되지 않습니다. 표준 OS에서 작업을 실행하는 일반 소프트웨어 설치 또는 스크립트 기반 작업 순서에 대해서만 인터넷에서 작업 순서를 실행할 수 있습니다.

참고

버전 2002 이하의 모든 인터넷 기반 작업 순서 시나리오의 경우 소프트웨어 센터에서 작업 순서를 시작합니다. Windows PE, PXE 또는 작업 순서 미디어를 지원하지 않습니다.

CMG를 통해 Windows 현재 위치 업그레이드 배포

Windows 현재 위치 업그레이드 작업 순서는 CMG( 클라우드 관리 게이트웨이 )를 통해 관리되는 인터넷 기반 클라이언트에 대한 배포를 지원합니다. 이 기능을 사용하면 원격 사용자가 인트라넷에 연결할 필요 없이 Windows로 더 쉽게 업그레이드할 수 있습니다.

현재 위치 업그레이드 작업 순서에서 참조하는 모든 콘텐츠가 콘텐츠 사용 CMG에 배포되었는지 확인합니다. CMG 설정 사용: CMG가 클라우드 배포 지점으로 작동하고 Azure Storage의 콘텐츠를 제공하도록 허용합니다. 그렇지 않으면 디바이스가 작업 순서를 실행할 수 없습니다.

업그레이드 작업 순서를 배포하는 경우 다음 설정을 사용합니다.

• 배포의 사용자 환경 탭에 있는 인터넷의 클라이언트에 대해 작업 순서를 실행할 수 있습니다.

• 배포의 배포 지점 탭에서 다음 옵션 중 하나를 선택합니다.

  • 실행 중인 작업 순서에서 필요한 경우 로컬로 콘텐츠를 다운로드합니다. 작업 순서 엔진은 콘텐츠 사용 CMG에서 주문형 패키지를 다운로드할 수 있습니다. 이 옵션은 인터넷 기반 디바이스에 대한 Windows 현재 위치 업그레이드 배포를 통해 추가적인 유연성을 제공합니다.

  • 작업 순서를 시작하기 전에 모든 콘텐츠를 로컬로 다운로드합니다. 이 옵션을 사용하면 Configuration Manager 클라이언트는 작업 순서를 시작하기 전에 클라우드 원본에서 콘텐츠를 다운로드합니다.

• (선택 사항) 배포의 일반 탭에서 이 작업 순서에 대한 콘텐츠를 미리 다운로드합니다. 자세한 내용은 사전 캐시 콘텐츠 구성을 참조하세요.

참고

소프트웨어 센터에서 작업 순서를 시작합니다. 이 시나리오에서는 Windows PE, PXE 또는 작업 순서 미디어를 지원하지 않습니다.

클라우드 기반 콘텐츠에 대한 부팅 가능한 미디어 지원

버전 2010부터 부팅 가능한 미디어는 클라우드 기반 콘텐츠를 다운로드할 수 있습니다. 예를 들어 원격 사무실의 사용자에게 USB 키를 보내 디바이스를 이미지로 다시 설치합니다. 또는 로컬 PXE 서버가 있지만 디바이스가 클라우드 서비스의 우선 순위를 가능한 한 많이 지정하려는 사무실입니다. 대규모 OS 배포 콘텐츠를 다운로드하기 위해 WAN에 더 많은 세금을 부과하지 않고 부팅 미디어 및 PXE 배포는 이제 클라우드 기반 원본에서 콘텐츠를 가져올 수 있습니다. 예를 들어 콘텐츠를 공유할 수 있는 CMG(클라우드 관리 게이트웨이)입니다.

참고

디바이스에는 관리 지점에 대한 인트라넷 연결이 여전히 필요합니다.

작업 순서가 실행되면 클라우드 기반 원본에서 콘텐츠를 다운로드합니다. 클라이언트에서 smsts.log 검토합니다.

부팅 가능한 미디어의 필수 구성 요소

• Cloud Services 그룹에서 다음 클라이언트 설정을 사용하도록 설정합니다. 클라우드 배포 지점에 대한 액세스를 허용합니다. 클라이언트 설정이 대상 클라이언트에 배포되었는지 확인합니다. 자세한 내용은 클라이언트 설정 정보 - 클라우드 서비스를 참조하세요.

• 클라이언트가 있는 경계 그룹의 경우:

  • 콘텐츠 사용 CMG를 연결합니다. 자세한 내용은 경계 그룹 구성을 참조하세요.

  • 다음 옵션을 사용하도록 설정합니다. 온-프레미스 원본보다 클라우드 기반 원본을 선호합니다. 자세한 내용은 피어 다운로드에 대한 경계 그룹 옵션을 참조하세요.

• 작업 순서에서 참조하는 콘텐츠를 콘텐츠 사용 CMG에 배포합니다.

부팅 가능한 미디어를 사용하여 CMG를 통해 OS 배포

버전 2010부터 부팅 미디어를 사용하여 CMG를 통해 연결하는 인터넷 기반 디바이스를 이미지로 다시 설치할 수 있습니다. 이 시나리오는 원격 작업자를 더 잘 지원하는 데 도움이 됩니다. 사용자가 소프트웨어 센터에 액세스할 수 있도록 Windows가 시작되지 않으면 이제 USB 드라이브를 보내 Windows를 다시 설치할 수 있습니다.

CMG를 통한 부팅 미디어의 필수 구성 요소

• CMG 설정

• 작업 순서에서 참조되는 모든 콘텐츠의 경우 콘텐츠 사용 CMG에 배포합니다. 자세한 내용은 콘텐츠 배포를 참조하세요.

• 클라우드 서비스 그룹에서 다음 클라이언트 설정을 사용하도록 설정합니다.

  • 클라우드 배포 지점에 대한 액세스 허용

  • 클라이언트가 클라우드 관리 게이트웨이를 사용할 수 있도록 설정

• 작업 그룹에 조인하도록 네트워크 설정 적용 작업 순서 단계를 구성합니다. 작업 순서 중에 디바이스는 온-프레미스 Active Directory 도메인에 조인할 수 없습니다. 도메인에 가입하기 위해 도메인 컨트롤러에 연결되어 있지 않습니다.

• 컬렉션에 작업 순서를 배포하는 경우 다음 설정을 구성합니다.

  • 사용자 환경 페이지: 인터넷에서 클라이언트에 대해 작업 순서를 실행할 수 있도록 허용

  • 배포 설정 페이지: 미디어를 포함하는 옵션을 사용할 수 있도록 합니다.

  • 배포 지점 페이지, 배포 옵션: 실행 중인 작업 순서에서 필요한 경우 로컬로 콘텐츠를 다운로드합니다. 자세한 내용은 배포 옵션을 참조하세요.

• 작업 순서가 실행되는 동안 디바이스에 일정한 인터넷 연결이 있는지 확인합니다. Windows PE는 무선 네트워크를 지원하지 않으므로 디바이스에 유선 네트워크 연결이 필요합니다.

• 부팅 미디어에 PKI 기반 인증서를 사용하는 경우 Microsoft 고급 RSA 및 AES 공급자를 사용하여 SHA256에 대해 구성합니다. 이 인증서 구성은 권장되지만 필수는 아닙니다. 인증서는 v3(CNG) 인증서일 수 있습니다.

• 버전 2010 및 2103에서 관리 지점을 인터넷 전용 연결 허용으로 구성하는 경우 CMG를 통해 부팅 미디어를 사용할 수 없습니다. 이 문제를 해결하려면 관리 지점을 인트라넷 및 인터넷 연결 허용으로 구성합니다.

• CMG에서 PKI 기반 인증서를 사용하는 경우 신뢰할 수 있는 루트 인증서를 부팅 이미지에 추가해야 합니다. 그렇지 않으면 WINDOWS PE는 CMG의 인증서를 신뢰하지 않으므로 CMG와 통신할 수 없습니다. 자세한 내용은 부팅 이미지에 신뢰할 수 있는 루트 인증서 추가를 참조하세요.

CMG를 사용하는 부팅 미디어 만들기

부팅 가능한 미디어에 대한 작업 순서 미디어 만들기 마법사를 시작합니다. 자세한 내용은 부팅 가능한 미디어 만들기를 참조하세요. 다음 단계를 사용하여 표준 프로세스를 수정합니다.

• 마법사의 미디어 관리 페이지에서 사이트 기반 미디어에 대한 옵션을 선택합니다.

• 보안 페이지에서 강력한 암호를 설정하여 이 미디어를 보호합니다.

• 부팅 이미지 페이지의 관리 지점에서 관리 지점추가 대화 상자에서 클라우드 관리 게이트웨이를 선택합니다.

이 미디어를 사용하여 인터넷에 연결된 디바이스를 부팅하면 지정된 CMG와 통신합니다. 부팅 미디어는 CMG를 통해 작업 순서 배포에 대한 정책을 다운로드합니다. 작업 순서가 실행되면 인터넷을 통해 추가 콘텐츠 및 정책을 다운로드합니다.

작업 순서가 실행되면 클라이언트는 토큰 기반 인증을 사용합니다.

부팅 이미지에 신뢰할 수 있는 루트 인증서 추가

CMG에서 PKI 기반 인증서를 사용하는 경우 신뢰할 수 있는 루트 인증서를 부팅 이미지에 추가해야 합니다. 그렇지 않으면 WINDOWS PE는 CMG의 인증서를 신뢰하지 않으므로 CMG와 통신할 수 없습니다.

1단계: 인증서 레지스트리 Blob 내보내기

신뢰할 수 있는 루트 인증서가 설치된 시스템에서 다음을 수행합니다.

1. 시작 메뉴를 엽니다. 를 입력 run 하여 실행 창을 엽니다. 을 엽니다 mmc.

2. 파일 메뉴에서 스냅인 추가/제거...를 선택합니다.

3. 스냅인 추가 또는 제거 대화 상자에서 인증서를 선택한 다음 , 추가를 선택합니다.

   1. 인증서 스냅인 대화 상자에서 컴퓨터 계정을 선택한 다음, 다음을 선택합니다.

   2. 컴퓨터 선택 대화 상자에서 로컬 컴퓨터를 선택한 다음 마침을 선택합니다.

   3. 스냅인 추가 또는 제거 대화 상자에서 확인을 선택합니다.

4. 인증서를 확장하고 신뢰할 수 있는 루트 인증 기관을 확장하고 인증서를 선택합니다.

5. 루트 인증서를 선택합니다. 작업 메뉴에서 열기를 선택합니다.

6. 세부 정보 탭으로 전환합니다.

7. 인증서의 지문 값을 복사합니다. 예를 들어 eb971f84c0c44b9eb22a378fecb45747eb971f84

8. 시작 메뉴에서 를 실행합니다 regedit.

9. 레지스트리 키 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates로 이동합니다. 이 레지스트리 키에 대한 자세한 내용은 시스템 저장소 위치를 참조하세요.

10. 루트 인증서의 지문과 일치하는 레지스트리 키를 선택합니다.

11. 파일 메뉴에서 내보내기를 선택합니다. 파일 이름을 지정하고 파일을 저장합니다 .reg .

12. 메모장에서 파일을 편집합니다. 키 경로에서 를 로 winpe-offline변경 SOFTWARE 하고 파일을 저장합니다. 예:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

13. 다음 단계를 위해 액세스할 수 있는 위치에 이 파일을 복사합니다.

2단계: 인증서 레지스트리 Blob을 오프라인 부팅 이미지로 가져오기

부팅 이미지 파일이 있는 시스템에서 다음을 수행합니다.

1. WIM 파일을 탑재합니다. 예를 들면 DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount와 같습니다.

2. 시작 메뉴에서 를 실행합니다 regedit.

3. HKEY_LOCAL_MACHINE 선택합니다. 파일 메뉴에서 Hive 로드를 선택합니다.

4. 소프트웨어로 이동하여 C:\Mount\Windows\System32\config 선택합니다. 이 파일은 에 탑재된 Windows PE 이미지의 오프라인 레지스트리 하이브입니다 C:\Mount.

   중요

   이 경로가 기본 Windows OS 경로가 아닌 탑재된 Windows PE 이미지에 대한 경로인지 확인합니다.

5. 로드된 하이브의 키 이름을 로 지정합니다 winpe-offline.

6. 파일 메뉴에서 가져오기를 선택합니다. 이전에 내보내고 수정한 수정 .reg 된 파일로 이동합니다. 열기를 선택합니다.

7. 다음 레지스트리 키로 이동하여 새 키가 Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates 추가되어 있는지 확인합니다.

8. 레지스트리 키를 Computer\HKEY_LOCAL_MACHINE\winpe-offline선택합니다. 파일 메뉴에서 Hive 언로드를 선택하고 예를 선택합니다.

9. 레지스트리 편집기 및 에서 파일을 참조하는 다른 창을 닫습니다 C:\Mount.

10. 부팅 이미지를 분리 하고 변경 내용을 커밋합니다. 예를 들면 DISM /Unmount-image /Commit /MountDir:C:\Mount

이제 부팅 이미지에 신뢰할 수 있는 루트 인증서가 포함됩니다.

다음 단계

OS 배포 모니터링

작업 순서를 관리하여 작업 자동화